Detalhes da iniciativa interna de Conformidade Regulatória ISO 27001:2013
O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no ISO 27001:2013. Para obter mais informações sobre esse padrão de conformidade, confira ISO 27001:2013. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .
Os seguintes mapeamentos referem-se aos controles ISO 27001:2013. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de Conformidade Regulatória ISO 27001:2013.
Importante
Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.
Criptografia
Política sobre o uso de controles de criptografia
ID: ISO 27001:2013 A.10.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível | AuditIfNotExists, desabilitado | 2.0.0 |
As variáveis da conta de automação devem ser criptografadas | É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais | Audit, Deny, desabilitado | 1.1.0 |
Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Documentar e distribuir uma política de privacidade | CMA_0188 - Documentar e distribuir uma política de privacidade | Manual, Desabilitado | 1.1.0 |
Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
Implementar métodos de entrega de avisos de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente | Audit, Deny, desabilitado | 1.1.0 |
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada | A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desabilitado | 2.0.0 |
Gerenciamento de chaves
ID: ISO 27001:2013 A.10.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia | Manual, Desabilitado | 1.1.0 |
Determinar os requisitos da declaração | CMA_0136 – Determinar os requisitos da declaração | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
Emitir certificados de chave pública | CMA_0347 – Emitir certificados de chave pública | Manual, Desabilitado | 1.1.0 |
Gerenciar chaves de criptografia simétricas | CMA_0367 – Gerenciar chaves de criptografia simétricas | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a chaves privadas | CMA_0445 – Restringir o acesso a chaves privadas | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Encerrar as credenciais da conta controlada pelo cliente | CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente | Manual, Desabilitado | 1.1.0 |
Segurança Física e Ambiental
Perímetro de segurança física
ID: ISO 27001:2013 A.11.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desabilitado | 1.1.0 |
Gerenciar um sistema de câmera de vigilância seguro | CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Controles físicos de entrada
ID: ISO 27001:2013 A.11.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
Designar pessoal para supervisionar as atividades de manutenção não autorizada | CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizada | Manual, Desabilitado | 1.1.0 |
Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Manter lista de pessoal de manutenção remota autorizado | CMA_C1420 - Manter lista de pessoal de manutenção remota autorizado | Manual, Desabilitado | 1.1.0 |
Gerenciar a equipe de manutenção | CMA_C1421 - Gerenciar a equipe de manutenção | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Proteger escritórios, salas e instalações
ID: ISO 27001:2013 A.11.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Definir um processo de gerenciamento de chave física | CMA_0115 – Definir um processo de gerenciamento de chave física | Manual, Desabilitado | 1.1.0 |
Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Proteção contra ameaças ambientais e externas
ID: ISO 27001:2013 A.11.1.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Criar sites de armazenamento alternativos e primários separados | CMA_C1269 - Criar sites de armazenamento alternativos e primários separados | Manual, Desabilitado | 1.1.0 |
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário | CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário | Manual, Desabilitado | 1.1.0 |
Garantir que houve falha no sistema de informações do estado conhecido | CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido | Manual, Desabilitado | 1.1.0 |
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desabilitado | 1.1.0 |
Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Identificar e reduzir possíveis problemas no site de armazenamento alternativo | CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desabilitado | 1.1.0 |
Planejar a continuação de funções de negócios essenciais | CMA_C1255 – Planejar a continuação de funções de negócios essenciais | Manual, Desabilitado | 1.1.0 |
Trabalhando em áreas seguras
ID: ISO 27001:2013 A.11.1.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Áreas de entrega e carregamento
ID: ISO 27001:2013 A.11.1.6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Definir requisitos para gerenciar ativos | CMA_0125 - Definir requisitos para gerenciar ativos | Manual, Desabilitado | 1.1.0 |
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desabilitado | 1.1.0 |
Gerenciar um sistema de câmera de vigilância seguro | CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro | Manual, Desabilitado | 1.1.0 |
Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Proteção e guarda de equipamentos
ID: ISO 27001:2013 A.11.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Utilitários de suporte
ID: ISO 27001:2013 A.11.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Usar iluminação de emergência automática | CMA_0209 - Usar iluminação de emergência automática | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos para provedores de serviços de Internet | CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Segurança de cabeamento
ID: ISO 27001:2013 A.11.2.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Manutenção de equipamentos
ID: ISO 27001:2013 A.11.2.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatizar atividades de manutenção remota | CMA_C1402 - Automatizar atividades de manutenção remota | Manual, Desabilitado | 1.1.0 |
Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Produzir registros completos das atividades de manutenção remota | CMA_C1403 - Produzir registros completos das atividades de manutenção remota | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer suporte de manutenção dentro do prazo | CMA_C1425 - Fornecer suporte de manutenção dentro do prazo | Manual, Desabilitado | 1.1.0 |
Remoção de ativos
ID: ISO 27001:2013 A.11.2.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
Definir requisitos para gerenciar ativos | CMA_0125 - Definir requisitos para gerenciar ativos | Manual, Desabilitado | 1.1.0 |
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Segurança de equipamentos e ativos fora das instalações
ID: ISO 27001:2013 A.11.2.6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir requisitos do dispositivo móvel | CMA_0122 - Definir requisitos do dispositivo móvel | Manual, Desabilitado | 1.1.0 |
Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas | CMA_C1183 - Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas | Manual, Desabilitado | 1.1.0 |
Estabelecer termos e condições para acessar recursos | CMA_C1076 - Estabelecer termos e condições para acessar recursos | Manual, Desabilitado | 1.1.0 |
Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Não permitir que os sistemas de informação acompanhem pessoas | CMA_C1182 - Não permitir que os sistemas de informação acompanhem pessoas | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Verificar os controles de segurança para sistemas de informações externos | CMA_0541 - Verificar controles de segurança para sistemas de informações externos | Manual, Desabilitado | 1.1.0 |
Descarte seguro ou reutilização de equipamentos
ID: ISO 27001:2013 A.11.2.7 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Equipamento de usuário autônomo
ID: ISO 27001:2013 A.11.2.8 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Encerrar a sessão do usuário automaticamente | CMA_C1054 – Encerrar a sessão do usuário automaticamente | Manual, Desabilitado | 1.1.0 |
Política de limpeza de mesa e tela
ID: ISO 27001:2013 A.11.2.9 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Segurança de operações
Procedimentos operacionais documentados
ID: ISO 27001:2013 A.12.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
Distribuir a documentação do sistema de informações | CMA_C1584 - Distribuir a documentação do sistema de informações | Manual, Desabilitado | 1.1.0 |
Documentar ações definidas pelo cliente | CMA_C1582 - Documentar ações definidas pelo cliente | Manual, Desabilitado | 1.1.0 |
Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Obter documentação de administração | CMA_C1580 - Obter documentação de administração | Manual, Desabilitado | 1.1.0 |
Obter documentação da função de segurança do usuário | CMA_C1581 - Obter documentação da função de segurança do usuário | Manual, Desabilitado | 1.1.0 |
Proteger documentação do administrador e do usuário | CMA_C1583 - Proteger documentação do administrador e do usuário | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de avaliação de risco | CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Mudar a gestão
ID: ISO 27001:2013 A.12.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desabilitado | 1.1.0 |
Automatizar a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas | Manual, Desabilitado | 1.1.0 |
Automatizar a implementação de notificações de alterações aprovadas | CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para documentar as alterações implementadas | CMA_C1195 - Automatizar o processo para documentar alterações implementadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para destacar propostas de alteração não visualizadas | CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar as alterações documentadas propostas | CMA_C1191 - Automatizar as alterações documentadas propostas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de desenvolvimento de software seguro | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desabilitado | 1.1.0 |
Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores implementem somente alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores gerenciem a integridade da alteração | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração | Manual, Desabilitado | 1.1.0 |
Gerenciamento de capacidade
ID: ISO 27001:2013 A.12.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar um planejamento de capacidade | CMA_C1252 - Faça um planejamento da capacidade | Manual, Desabilitado | 1.1.0 |
Controlar e monitorar atividades de processamento de auditoria | CMA_0289 – Controlar e monitorar atividades de processamento de auditoria | Manual, Desabilitado | 1.1.0 |
Separação de ambientes operacionais, de teste e de desenvolvimento
ID: ISO 27001:2013 A.12.1.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Garantir que não existam autenticadores estáticos sem criptografia | CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger informações de identificação pessoal | CMA_C1839 - Implementar controles para proteger informações de identificação pessoal | Manual, Desabilitado | 1.1.0 |
Incorporar práticas de segurança e privacidade de dados no processamento de pesquisa | CMA_0331 - Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Controles contra malware
ID: ISO 27001:2013 A.12.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
Controlar as atividades de manutenção e reparo | CMA_0080 - Controlar as atividades de manutenção e reparo | Manual, Desabilitado | 1.1.0 |
Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
Gerenciar atividades de diagnóstico e manutenção não locais | CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais | Manual, Desabilitado | 1.1.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento periódico sobre conscientização de segurança | CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de conscientização de segurança atualizado | CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado | Manual, Desabilitado | 1.1.0 |
Examinar o relatório de detecções de malware semanalmente | CMA_0475 – Examinar o relatório de detecções de malware semanalmente | Manual, Desabilitado | 1.1.0 |
Examinar o status de proteção contra ameaças semanalmente | CMA_0479 – Examinar o status de proteção contra ameaças semanalmente | Manual, Desabilitado | 1.1.0 |
Atualizar definições de antivírus | CMA_0517 – Atualizar as definições de antivírus | Manual, Desabilitado | 1.1.0 |
Backup de informações
ID: ISO 27001:2013 A.12.3.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
Realizar backup da documentação do sistema de informações | CMA_C1289 - Realizar backup da documentação do sistema de informações | Manual, Desabilitado | 1.1.0 |
Criar sites de armazenamento alternativos e primários separados | CMA_C1269 - Criar sites de armazenamento alternativos e primários separados | Manual, Desabilitado | 1.1.0 |
Garantir que houve falha no sistema de informações do estado conhecido | CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido | Manual, Desabilitado | 1.1.0 |
Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Implementar a recuperação com base na transação | CMA_C1296 - Implementar a recuperação com base na transação | Manual, Desabilitado | 1.1.0 |
Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
Planejar a continuação de funções de negócios essenciais | CMA_C1255 – Planejar a continuação de funções de negócios essenciais | Manual, Desabilitado | 1.1.0 |
Armazenar informações de backup separadamente | CMA_C1293 - Armazenar informações de backup separadamente | Manual, Desabilitado | 1.1.0 |
Transferir informações de cópia de backup para um site de armazenamento alternativo | CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo | Manual, Desabilitado | 1.1.0 |
Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Log de eventos
ID: ISO 27001:2013 A.12.4.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 – versão prévia |
Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
Alertar o pessoal sobre vazamento de informações | CMA_0007 – Alertar o pessoal sobre vazamento de informações | Manual, Desabilitado | 1.1.0 |
Auditar configuração de diagnóstico para tipos de recursos selecionados | Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
Autorizar, monitorar e controlar VoIP | CMA_0025 – Autorizar, monitorar e controlar VoIP | Manual, Desabilitado | 1.1.0 |
Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
Configurar as funcionalidades da Auditoria do Azure | CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure | Manual, Desabilitado | 1.1.1 |
Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Descobrir os indicadores de comprometimento | CMA_C1702 – Descobrir os indicadores de comprometimento | Manual, Desabilitado | 1.1.0 |
Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais | Manual, Desabilitado | 1.1.0 |
Aplicar e auditar restrições de acesso | CMA_C1203 - Aplicar e auditar restrições de acesso | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
Implementar métodos para solicitações de consumidor | CMA_0319 - Implementar métodos para solicitações de consumidor | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 |
Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Obter opinião jurídica para monitorar atividades do sistema | CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema | Manual, Desabilitado | 1.1.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Fornecer informações de monitoramento conforme o necessário | CMA_C1689 – Fornecer informações de monitoramento conforme o necessário | Manual, Desabilitado | 1.1.0 |
Publicar procedimentos de acesso em SORNs | CMA_C1848 - Publicar procedimentos de acesso em SORNs | Manual, Desabilitado | 1.1.0 |
Publicar regras e regulamentos que acessem os registros da Lei de Privacidade | CMA_C1847 - Publicar regras e regulamentos que acessem os registros da Lei de Privacidade | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar os eventos definidos em AU-02 | CMA_C1106 – Revisar e atualizar os eventos definidos em AU-02 | Manual, Desabilitado | 1.1.0 |
Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Analisar alterações em toda alteração não autorizada | CMA_C1204 – Analisar alterações em toda alteração não autorizada | Manual, Desabilitado | 1.1.0 |
Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
Rotear o tráfego por meio de pontos de acesso à rede gerenciada | CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada | Manual, Desabilitado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Proteção das informações de log
ID: ISO 27001:2013 A.12.4.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
Definir as tarefas dos processadores | CMA_0127 – Definir as tarefas dos processadores | Manual, Desabilitado | 1.1.0 |
Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Registrar divulgações de PII para terceiros | CMA_0422 – Registrar divulgações de PII para terceiros | Manual, Desabilitado | 1.1.0 |
Treinar pessoal sobre o compartilhamento de PII e suas consequências | CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências | Manual, Desabilitado | 1.1.0 |
Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Logs de administrador e operador
ID: ISO 27001:2013 A.12.4.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 – versão prévia |
Auditar configuração de diagnóstico para tipos de recursos selecionados | Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
Autorizar, monitorar e controlar VoIP | CMA_0025 – Autorizar, monitorar e controlar VoIP | Manual, Desabilitado | 1.1.0 |
Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise completa do texto de comandos privilegiados registrados | CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados | Manual, Desabilitado | 1.1.0 |
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 |
Gerenciar gateways | CMA_0363 – Gerenciar gateways | Manual, Desabilitado | 1.1.0 |
Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Monitorar a atividade da conta | CMA_0377 – Monitorar atividade da conta | Manual, Desabilitado | 1.1.0 |
Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Obter opinião jurídica para monitorar atividades do sistema | CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema | Manual, Desabilitado | 1.1.0 |
Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Fornecer informações de monitoramento conforme o necessário | CMA_C1689 – Fornecer informações de monitoramento conforme o necessário | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
Rotear o tráfego por meio de pontos de acesso à rede gerenciada | CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada | Manual, Desabilitado | 1.1.0 |
Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Sincronização de relógio
ID: ISO 27001:2013 A.12.4.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas | Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 – versão prévia |
Auditar configuração de diagnóstico para tipos de recursos selecionados | Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desabilitado | 2.0.0 |
Compilar registros de auditoria em auditoria de todo o sistema | CMA_C1140 - Compilar registros de auditoria na Auditoria de todo o sistema | Manual, Desabilitado | 1.1.0 |
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. | AuditIfNotExists, desabilitado | 2.0.0 |
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas | Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. | AuditIfNotExists, desabilitado | 2.0.1 |
Usar relógios do sistema para registros de auditoria | CMA_0535 – Usar relógios do sistema para registros de auditoria | Manual, Desabilitado | 1.1.0 |
Instalação do software de sistemas operacionais
ID: ISO 27001:2013 A.12.5.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatizar a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas | Manual, Desabilitado | 1.1.0 |
Automatizar a implementação de notificações de alterações aprovadas | CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para documentar as alterações implementadas | CMA_C1195 - Automatizar o processo para documentar alterações implementadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para destacar propostas de alteração não visualizadas | CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar as alterações documentadas propostas | CMA_C1191 - Automatizar as alterações documentadas propostas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Controlar a conformidade de provedores dos serviço de nuvem | CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
Gerenciamento de vulnerabilidades técnicas
ID: ISO 27001:2013 A.12.6.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais | Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. | AuditIfNotExists, desabilitado | 3.0.0 |
Realizar a avaliação de risco | CMA_C1543 – Realizar a avaliação de risco | Manual, Desabilitado | 1.1.0 |
Realizar a avaliação de risco e distribuir os resultados | CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados | Manual, Desabilitado | 1.1.0 |
Realizar a avaliação de risco e documentar resultados | CMA_C1542 – Realizar a avaliação de risco e documentar resultados | Manual, Desabilitado | 1.1.0 |
Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança | Manual, Desabilitado | 1.1.0 |
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas | Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desabilitado | 3.1.0 |
Restrições de instalação de software
ID: ISO 27001:2013 A.12.6.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatizar a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas | Manual, Desabilitado | 1.1.0 |
Automatizar a implementação de notificações de alterações aprovadas | CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para documentar as alterações implementadas | CMA_C1195 - Automatizar o processo para documentar alterações implementadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para destacar propostas de alteração não visualizadas | CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar as alterações documentadas propostas | CMA_C1191 - Automatizar as alterações documentadas propostas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Controlar a conformidade de provedores dos serviço de nuvem | CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Exibir e configurar dados de diagnóstico do sistema | CMA_0544 – Exibir e configurar dados de diagnóstico do sistema | Manual, Desabilitado | 1.1.0 |
Controles de auditoria de sistemas da informação
ID: ISO 27001:2013 A.12.7.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar uma equipe independente para teste de penetração | CMA_C1171 – Empregar uma equipe independente para teste de penetração | Manual, Desabilitado | 1.1.0 |
Segurança de comunicações
Controles de rede
ID: ISO 27001:2013 A.13.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. | AuditIfNotExists, desabilitado | 3.0.0 |
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
Empregar proteção de limite para isolar sistemas da informação | CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Estabelecer termos e condições para acessar recursos | CMA_C1076 - Estabelecer termos e condições para acessar recursos | Manual, Desabilitado | 1.1.0 |
Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Implementar a interface gerenciada para cada serviço externo | CMA_C1626 – Implementar a interface gerenciada para cada serviço externo | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Notificar usuários sobre logon ou acesso do sistema | CMA_0382 – Notificar usuários sobre logon ou acesso do sistema | Manual, Desabilitado | 1.1.0 |
Impedir a divisão de túneis para dispositivos remotos | CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos | Manual, Desabilitado | 1.1.0 |
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Autenticar novamente ou encerrar uma sessão de usuário | CMA_0421 – Autenticar novamente ou encerrar uma sessão de usuário | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
Separar funcionalidade de gerenciamento de usuário e sistema de informações | CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações | Manual, Desabilitado | 1.1.0 |
As contas de armazenamento devem restringir o acesso da rede | O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet | Audit, Deny, desabilitado | 1.1.1 |
Usar computadores dedicados para tarefas administrativas | CMA_0527 – Usar computadores dedicados para tarefas administrativas | Manual, Desabilitado | 1.1.0 |
Verificar os controles de segurança para sistemas de informações externos | CMA_0541 - Verificar controles de segurança para sistemas de informações externos | Manual, Desabilitado | 1.1.0 |
Segurança de serviços de rede
ID: ISO 27001:2013 A.13.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de certificado e assinatura eletrônica | CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Impedir a divisão de túneis para dispositivos remotos | CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos | Manual, Desabilitado | 1.1.0 |
Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Exigir contratos de segurança de interconexão | CMA_C1151 – Exigir contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
Rotear o tráfego por meio de pontos de acesso à rede gerenciada | CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada | Manual, Desabilitado | 1.1.0 |
Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Atualizar contratos de segurança de interconexão | CMA_0519 – Atualizar contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
Diferenciação de redes
ID: ISO 27001:2013 A.13.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Empregar proteção de limite para isolar sistemas da informação | CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação | Manual, Desabilitado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Implementar a interface gerenciada para cada serviço externo | CMA_C1626 – Implementar a interface gerenciada para cada serviço externo | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança | Manual, Desabilitado | 1.1.0 |
Impedir a divisão de túneis para dispositivos remotos | CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos | Manual, Desabilitado | 1.1.0 |
Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
Separar funcionalidade de gerenciamento de usuário e sistema de informações | CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações | Manual, Desabilitado | 1.1.0 |
Usar computadores dedicados para tarefas administrativas | CMA_0527 – Usar computadores dedicados para tarefas administrativas | Manual, Desabilitado | 1.1.0 |
Políticas e procedimentos de transferência de informações
ID: ISO 27001:2013 A.13.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Definir requisitos do dispositivo móvel | CMA_0122 - Definir requisitos do dispositivo móvel | Manual, Desabilitado | 1.1.0 |
Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Estabelecer termos e condições para acessar recursos | CMA_C1076 - Estabelecer termos e condições para acessar recursos | Manual, Desabilitado | 1.1.0 |
Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desabilitado | 1.1.0 |
Notificação explícita do uso de dispositivos de computação colaborativa | CMA_C1649 – Notificação explícita do uso de dispositivos de computação colaborativa | Manual, Desabilitado | 1.1.1 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Implementar a interface gerenciada para cada serviço externo | CMA_C1626 – Implementar a interface gerenciada para cada serviço externo | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança | Manual, Desabilitado | 1.1.0 |
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas | Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão | Audit, Deny, desabilitado | 1.0.0 |
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
Proibir a ativação remota de dispositivos de computação colaborativa | CMA_C1648 – Proibir a ativação remota de dispositivos de computação colaborativa | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Exigir contratos de segurança de interconexão | CMA_C1151 – Exigir contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
A transferência segura para contas de armazenamento deve ser habilitada | Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão | Audit, Deny, desabilitado | 2.0.0 |
Atualizar contratos de segurança de interconexão | CMA_0519 – Atualizar contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
Verificar os controles de segurança para sistemas de informações externos | CMA_0541 - Verificar controles de segurança para sistemas de informações externos | Manual, Desabilitado | 1.1.0 |
Contratos de transferência de informações
ID: ISO 27001:2013 A.13.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
Identificar provedores de serviços externos | CMA_C1591 – Identificar provedores de serviços externos | Manual, Desabilitado | 1.1.0 |
Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Exigir contratos de segurança de interconexão | CMA_C1151 – Exigir contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Atualizar contratos de segurança de interconexão | CMA_0519 – Atualizar contratos de segurança de interconexão | Manual, Desabilitado | 1.1.0 |
Mensagens eletrônicas
ID: ISO 27001:2013 A.13.2.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Confidencialidade ou contratos de confidencialidade
ID: ISO 27001:2013 A.13.2.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Desenvolver política de código da organização | CMA_0159 – Desenvolver política de código de conduta da organização | Manual, Desabilitado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
Documentar contratos de acesso organizacional | CMA_0192 – Documentar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | Manual, Desabilitado | 1.1.0 |
Proibir práticas injustas | CMA_0396 – Proibir práticas injustas | Manual, Desabilitado | 1.1.0 |
Exigir que os usuários assinem o contrato de acesso | CMA_0440 – Exigir que os usuários assinem o contrato de acesso | Manual, Desabilitado | 1.1.0 |
Revisar e assinar regras de comportamento revisadas | CMA_0465 – Revisar e assinar regras de comportamento revisadas | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Atualizar contratos de acesso organizacional | CMA_0520 – Atualizar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
Atualizar regras de comportamento e contratos de acesso | CMA_0521 – Atualizar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Atualizar regras de comportamento e contratos de acesso a cada três anos | CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos | Manual, Desabilitado | 1.1.0 |
Aquisição, Desenvolvimento e Manutenção do Sistema
Especificação e análise de requisitos de segurança da informação
ID: ISO 27001:2013 A.14.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir responsabilidades e funções de segurança da informação | CMA_C1565 – Definir funções e responsabilidades de segurança da informação | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Desenvolver um conceito de operações (CONOPS) | CMA_0141 – Desenvolver um conceito de operações (CONOPS) | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
Desenvolver um SSP que atenda aos critérios | CMA_C1492 – Desenvolver um SSP que atenda aos critérios | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Identificar provedores de serviços externos | CMA_C1591 – Identificar provedores de serviços externos | Manual, Desabilitado | 1.1.0 |
Identificar os indivíduos com funções e responsabilidades de segurança | CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança | Manual, Desabilitado | 1.1.1 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Integrar o processo de gerenciamento de riscos ao SDLC | CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar a arquitetura de segurança da informação | CMA_C1504 – Revisar e atualizar a arquitetura de segurança da informação | Manual, Desabilitado | 1.1.0 |
Revisar o processo, os padrões e as ferramentas de desenvolvimento | CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento | Manual, Desabilitado | 1.1.0 |
Protegendo serviços de aplicativo em redes públicas
ID: ISO 27001:2013 A.14.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Notificar usuários sobre logon ou acesso do sistema | CMA_0382 – Notificar usuários sobre logon ou acesso do sistema | Manual, Desabilitado | 1.1.0 |
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
Protegendo transações de serviços de aplicativo
ID: ISO 27001:2013 A.14.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
Empregar proteção de limite para isolar sistemas da informação | CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação | Manual, Desabilitado | 1.1.0 |
Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Implementar a proteção de limites do sistema | CMA_0328 – Implementar a proteção de limites do sistema | Manual, Desabilitado | 1.1.0 |
Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança | Manual, Desabilitado | 1.1.0 |
Impedir a divisão de túneis para dispositivos remotos | CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos | Manual, Desabilitado | 1.1.0 |
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Proteger a interface para sistemas externos | CMA_0491 – Proteger a interface para sistemas externos | Manual, Desabilitado | 1.1.0 |
Separar funcionalidade de gerenciamento de usuário e sistema de informações | CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações | Manual, Desabilitado | 1.1.0 |
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
Usar computadores dedicados para tarefas administrativas | CMA_0527 – Usar computadores dedicados para tarefas administrativas | Manual, Desabilitado | 1.1.0 |
Política de desenvolvimento seguro
ID: ISO 27001:2013 A.14.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir responsabilidades e funções de segurança da informação | CMA_C1565 – Definir funções e responsabilidades de segurança da informação | Manual, Desabilitado | 1.1.0 |
Identificar os indivíduos com funções e responsabilidades de segurança | CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança | Manual, Desabilitado | 1.1.1 |
Integrar o processo de gerenciamento de riscos ao SDLC | CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores criem uma arquitetura de segurança | CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança | CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança | CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança | Manual, Desabilitado | 1.1.0 |
Revisar o processo, os padrões e as ferramentas de desenvolvimento | CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento | Manual, Desabilitado | 1.1.0 |
Procedimentos de controle de alterações do sistema
ID: ISO 27001:2013 A.14.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desabilitado | 1.1.0 |
Automatizar a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas | Manual, Desabilitado | 1.1.0 |
Automatizar a implementação de notificações de alterações aprovadas | CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para documentar as alterações implementadas | CMA_C1195 - Automatizar o processo para documentar alterações implementadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para destacar propostas de alteração não visualizadas | CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar as alterações documentadas propostas | CMA_C1191 - Automatizar as alterações documentadas propostas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de desenvolvimento de software seguro | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores implementem somente alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores gerenciem a integridade da alteração | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração | Manual, Desabilitado | 1.1.0 |
Revisão técnica dos aplicativos após alterações na plataforma operacional
ID: ISO 27001:2013 A.14.2.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Automatizar a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas | Manual, Desabilitado | 1.1.0 |
Automatizar a implementação de notificações de alterações aprovadas | CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para documentar as alterações implementadas | CMA_C1195 - Automatizar o processo para documentar alterações implementadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para destacar propostas de alteração não visualizadas | CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar as alterações documentadas propostas | CMA_C1191 - Automatizar as alterações documentadas propostas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Restrições em alterações nos pacotes de software
ID: ISO 27001:2013 A.14.2.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desabilitado | 1.1.0 |
Automatizar a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas | Manual, Desabilitado | 1.1.0 |
Automatizar a implementação de notificações de alterações aprovadas | CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para documentar as alterações implementadas | CMA_C1195 - Automatizar o processo para documentar alterações implementadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para destacar propostas de alteração não visualizadas | CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas | Manual, Desabilitado | 1.1.0 |
Automatizar o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas | Manual, Desabilitado | 1.1.0 |
Automatizar as alterações documentadas propostas | CMA_C1191 - Automatizar as alterações documentadas propostas | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Impor definições de configuração de segurança | CMA_0249 – Impor definições de configuração de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de desenvolvimento de software seguro | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de risco | CMA_0388 - Executar uma avaliação de risco | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores implementem somente alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores gerenciem a integridade da alteração | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração | Manual, Desabilitado | 1.1.0 |
Princípios de engenharia de sistema seguros
ID: ISO 27001:2013 A.14.2.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Executar validação de entrada de informações | CMA_C1723 – Executar validação de entrada de informações | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores criem uma arquitetura de segurança | CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança | CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança | CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança | Manual, Desabilitado | 1.1.0 |
Revisar o processo, os padrões e as ferramentas de desenvolvimento | CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento | Manual, Desabilitado | 1.1.0 |
Proteja o ambiente de desenvolvimento
ID: ISO 27001:2013 A.14.2.6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Definir funções e responsabilidades de segurança da informação | CMA_C1565 – Definir funções e responsabilidades de segurança da informação | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Identificar os indivíduos com funções e responsabilidades de segurança | CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança | Manual, Desabilitado | 1.1.1 |
Integrar o processo de gerenciamento de riscos ao SDLC | CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Desenvolvimento terceirizado
ID: ISO 27001:2013 A.14.2.7 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desabilitado | 1.1.0 |
Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de desenvolvimento de software seguro | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores implementem somente alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores gerenciem a integridade da alteração | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança | CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Teste de segurança do sistema
ID: ISO 27001:2013 A.14.2.8 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar controles de segurança | CMA_C1145 – Avaliar controles de segurança | Manual, Desabilitado | 1.1.0 |
Fornecer resultados da avaliação de segurança | CMA_C1147 – Fornecer resultados da avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de avaliação de segurança | CMA_C1144 – Desenvolver plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Garantir que não existam autenticadores estáticos sem criptografia | CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Produzir relatórios de avaliação de segurança | CMA_C1146 – Produzir relatórios de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança | CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Teste de aceitação do sistema
ID: ISO 27001:2013 A.14.2.9 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir um funcionário de autorização (AO) | CMA_C1158 – Atribuir um funcionário de autorização (AO) | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Garantir que os recursos sejam autorizados | CMA_C1159 – Garantir que os recursos sejam autorizados | Manual, Desabilitado | 1.1.0 |
Garantir que não existam autenticadores estáticos sem criptografia | CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia | Manual, Desabilitado | 1.1.0 |
Proteção dos dados de teste
ID: ISO 27001:2013 A.14.3.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
Realizar uma análise de impacto de segurança | CMA_0057 - Realizar uma análise de impacto de segurança | Manual, Desabilitado | 1.1.0 |
Garantir que não existam autenticadores estáticos sem criptografia | CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Executar uma avaliação de impacto de privacidade | CMA_0387 - Executar uma avaliação de impacto de privacidade | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Executar revisão de disposição | CMA_0391 - Executar revisão de disposição | Manual, Desabilitado | 1.1.0 |
Executar verificações de vulnerabilidade | CMA_0393 – Executar verificações de vulnerabilidade | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Verificar se os dados pessoais foram excluídos ao final do processamento | CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento | Manual, Desabilitado | 1.1.0 |
Relações com Fornecedores
Política de segurança de informações para relações com fornecedores
ID: ISO 27001:2013 A.15.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Abordagem da segurança no contrato do fornecedor
ID: ISO 27001:2013 A.15.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desabilitado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Desenvolver política de código da organização | CMA_0159 – Desenvolver política de código de conduta da organização | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
Identificar provedores de serviços externos | CMA_C1591 – Identificar provedores de serviços externos | Manual, Desabilitado | 1.1.0 |
Proibir práticas injustas | CMA_0396 – Proibir práticas injustas | Manual, Desabilitado | 1.1.0 |
Revisar e assinar regras de comportamento revisadas | CMA_0465 – Revisar e assinar regras de comportamento revisadas | Manual, Desabilitado | 1.1.0 |
Atualizar regras de comportamento e contratos de acesso | CMA_0521 – Atualizar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Atualizar regras de comportamento e contratos de acesso a cada três anos | CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos | Manual, Desabilitado | 1.1.0 |
Cadeia de fornecedores de tecnologia da informação e comunicação
ID: ISO 27001:2013 A.15.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar o risco em relacionamentos de terceiros | CMA_0014 – Avaliar o risco em relacionamentos de terceiros | Manual, Desabilitado | 1.1.0 |
Definir requisitos para o fornecimento de bens e serviços | CMA_0126 – Definir requisitos para o fornecimento de bens e serviços | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos | Manual, Desabilitado | 1.1.0 |
Monitoramento e revisão dos serviços de fornecedores
ID: ISO 27001:2013 A.15.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Gerenciando alterações nos serviços de fornecedores
ID: ISO 27001:2013 A.15.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Gerenciamento de Incidentes de Segurança de Informação
Responsabilidades e procedimentos
ID: ISO 27001:2013 A.16.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Manter registros de violação de dados | CMA_0351 – Manter registros de violação de dados | Manual, Desabilitado | 1.1.0 |
Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Proteger o plano de resposta a incidentes | CMA_0405 – Proteger o plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Relatório de eventos de segurança de informações
ID: ISO 27001:2013 A.16.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Correlacionar os registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
Documentar operações de segurança | CMA_0202 – Documentar operações de segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
Informar comportamento atípico nas contas de usuário | CMA_C1025 - Informar comportamento atípico nas contas de usuário | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Informando falhas na segurança das informações
ID: ISO 27001:2013 A.16.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar operações de segurança | CMA_0202 – Documentar operações de segurança | Manual, Desabilitado | 1.1.0 |
Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Corrigir falhas do sistema de informações | CMA_0427 – Corrigir falhas do sistema de informações | Manual, Desabilitado | 1.1.0 |
Informar comportamento atípico nas contas de usuário | CMA_C1025 - Informar comportamento atípico nas contas de usuário | Manual, Desabilitado | 1.1.0 |
Avaliação e decisão sobre eventos de segurança da informação
ID: ISO 27001:2013 A.16.1.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Correlacionar registros de auditoria | CMA_0087 – Correlacionar registros de auditoria | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos para revisão e relatórios de auditoria | CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria | Manual, Desabilitado | 1.1.0 |
Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Integrar revisão de auditoria, análise e relatórios | CMA_0339 – Integrar revisão de auditoria, análise e relatórios | Manual, Desabilitado | 1.1.0 |
Integrar a segurança do aplicativo em nuvem a um SIEM | CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM | Manual, Desabilitado | 1.1.0 |
Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Informar comportamento atípico nas contas de usuário | CMA_C1025 - Informar comportamento atípico nas contas de usuário | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar atribuições de administrador semanalmente | CMA_0461 – Revisar atribuições de administrador semanalmente | Manual, Desabilitado | 1.1.0 |
Examinar dados de auditoria | CMA_0466 – Examinar dados de auditoria | Manual, Desabilitado | 1.1.0 |
Revisar a visão geral do relatório de identidade na nuvem | CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem | Manual, Desabilitado | 1.1.0 |
Revisar eventos de acesso controlado a pastas | CMA_0471 – Revisar eventos de acesso controlado a pastas | Manual, Desabilitado | 1.1.0 |
Revisar a atividade de arquivo e pasta | CMA_0473 – Revisar a atividade de arquivo e pasta | Manual, Desabilitado | 1.1.0 |
Revisar alterações de grupo de funções semanalmente | CMA_0476 – Revisar alterações de grupo de funções semanalmente | Manual, Desabilitado | 1.1.0 |
Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Resposta a incidentes de segurança de informações
ID: ISO 27001:2013 A.16.1.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Informar comportamento atípico nas contas de usuário | CMA_C1025 - Informar comportamento atípico nas contas de usuário | Manual, Desabilitado | 1.1.0 |
Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Aprendizagem com incidentes de segurança da informação
ID: ISO 27001:2013 A.16.1.6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar eventos de segurança da informação | CMA_0013 – Avaliar eventos de segurança da informação | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de resposta a incidentes | CMA_0145 – Desenvolver um plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
Descobrir os indicadores de comprometimento | CMA_C1702 – Descobrir os indicadores de comprometimento | Manual, Desabilitado | 1.1.0 |
Habilitar a proteção de rede | CMA_0238 – Habilitar a proteção de rede | Manual, Desabilitado | 1.1.0 |
Erradicar informações contaminadas | CMA_0253 – Erradicar informações contaminadas | Manual, Desabilitado | 1.1.0 |
Executar ações em resposta a despejos de informações | CMA_0281 – Executar ações em resposta a despejos de informações | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Manter plano de resposta a incidentes | CMA_0352 – Manter plano de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Executar uma análise de tendências de ameaças | CMA_0389 – Executar uma análise de tendências de ameaças | Manual, Desabilitado | 1.1.0 |
Informar comportamento atípico nas contas de usuário | CMA_C1025 - Informar comportamento atípico nas contas de usuário | Manual, Desabilitado | 1.1.0 |
Exibir e investigar usuários restritos | CMA_0545 – Exibir e investigar usuários restritos | Manual, Desabilitado | 1.1.0 |
Coleção de evidências
ID: ISO 27001:2013 A.16.1.7 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Obedecer os períodos de retenção definidos | CMA_0004 – Obedecer os períodos de retenção definidos | Manual, Desabilitado | 1.1.0 |
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desabilitado | 1.1.0 |
Determinar eventos auditáveis | CMA_0137 – Determinar eventos auditáveis | Manual, Desabilitado | 1.1.0 |
Implementar tratamento de incidentes | CMA_0318 – Implementar tratamento de incidentes | Manual, Desabilitado | 1.1.0 |
Informar comportamento atípico nas contas de usuário | CMA_C1025 - Informar comportamento atípico nas contas de usuário | Manual, Desabilitado | 1.1.0 |
Reter procedimentos e políticas de segurança | CMA_0454 – Reter procedimentos e políticas de segurança | Manual, Desabilitado | 1.1.0 |
Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Aspectos de Segurança da Informação da Gestão de Continuidade de Negócios
Planejamento da continuidade de segurança das informações
ID: ISO 27001:2013 A.17.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Comunicar alterações no plano de contingência | CMA_C1249 - Comunicar alterações no plano de contingência | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de contingência | CMA_C1244 – Desenvolver plano de contingência | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de planejamento de contingências | CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências | Manual, Desabilitado | 1.1.0 |
Distribuir procedimentos e políticas | CMA_0185 - Distribuir procedimentos e políticas | Manual, Desabilitado | 1.1.0 |
Planejar a retomada das funções essenciais do negócio | CMA_C1253 – Planejar a retomada das funções essenciais do negócio | Manual, Desabilitado | 1.1.0 |
Retomar todas as funções da missão e do negócio | CMA_C1254 - Retomar todas as funções da missão e do negócio | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar o plano de contingência | CMA_C1247 – Revisar o plano de contingência | Manual, Desabilitado | 1.1.0 |
Atualizar o plano de contingência | CMA_C1248 – Atualizar o plano de contingência | Manual, Desabilitado | 1.1.0 |
Implementando a continuidade da segurança das informações
ID: ISO 27001:2013 A.17.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Comunicar alterações no plano de contingência | CMA_C1249 - Comunicar alterações no plano de contingência | Manual, Desabilitado | 1.1.0 |
Realizar backup da documentação do sistema de informações | CMA_C1289 - Realizar backup da documentação do sistema de informações | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Criar sites de armazenamento alternativos e primários separados | CMA_C1269 - Criar sites de armazenamento alternativos e primários separados | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de contingência | CMA_C1244 – Desenvolver plano de contingência | Manual, Desabilitado | 1.1.0 |
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário | CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário | Manual, Desabilitado | 1.1.0 |
Garantir que houve falha no sistema de informações do estado conhecido | CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido | Manual, Desabilitado | 1.1.0 |
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desabilitado | 1.1.0 |
Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos para provedores de serviços de Internet | CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet | Manual, Desabilitado | 1.1.0 |
Identificar e reduzir possíveis problemas no site de armazenamento alternativo | CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Implementar a recuperação com base na transação | CMA_C1296 - Implementar a recuperação com base na transação | Manual, Desabilitado | 1.1.0 |
Planejar a continuação de funções de negócios essenciais | CMA_C1255 – Planejar a continuação de funções de negócios essenciais | Manual, Desabilitado | 1.1.0 |
Planejar a retomada das funções essenciais do negócio | CMA_C1253 – Planejar a retomada das funções essenciais do negócio | Manual, Desabilitado | 1.1.0 |
Recuperar e reconstituir recursos após qualquer interrupção | CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção | Manual, Desabilitado | 1.1.1 |
Retomar todas as funções da missão e do negócio | CMA_C1254 - Retomar todas as funções da missão e do negócio | Manual, Desabilitado | 1.1.0 |
Verificar, revisar e avaliar a continuidade da segurança das informações
ID: ISO 27001:2013 A.17.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Iniciar o plano de contingência testando ações corretivas | CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência | Manual, Desabilitado | 1.1.0 |
Revisar os resultados do teste do plano de contingência | CMA_C1262 - Revisar os resultados do teste do plano de contingência | Manual, Desabilitado | 1.1.0 |
Testar o plano de continuidade dos negócios e recuperação de desastres | CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres | Manual, Desabilitado | 1.1.0 |
Disponibilidade de instalações de processamento de informações
ID: ISO 27001:2013 A.17.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Comunicar alterações no plano de contingência | CMA_C1249 - Comunicar alterações no plano de contingência | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Criar sites de armazenamento alternativos e primários separados | CMA_C1269 - Criar sites de armazenamento alternativos e primários separados | Manual, Desabilitado | 1.1.0 |
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de contingência | CMA_C1244 – Desenvolver plano de contingência | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de planejamento de contingências | CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências | Manual, Desabilitado | 1.1.0 |
Distribuir procedimentos e políticas | CMA_0185 - Distribuir procedimentos e políticas | Manual, Desabilitado | 1.1.0 |
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário | CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário | Manual, Desabilitado | 1.1.0 |
Garantir que houve falha no sistema de informações do estado conhecido | CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido | Manual, Desabilitado | 1.1.0 |
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desabilitado | 1.1.0 |
Estabelecer um site de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desabilitado | 1.1.0 |
Identificar e reduzir possíveis problemas no site de armazenamento alternativo | CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo | Manual, Desabilitado | 1.1.0 |
Planejar a continuação de funções de negócios essenciais | CMA_C1255 – Planejar a continuação de funções de negócios essenciais | Manual, Desabilitado | 1.1.0 |
Planejar a retomada das funções essenciais do negócio | CMA_C1253 – Planejar a retomada das funções essenciais do negócio | Manual, Desabilitado | 1.1.0 |
Retomar todas as funções da missão e do negócio | CMA_C1254 - Retomar todas as funções da missão e do negócio | Manual, Desabilitado | 1.1.0 |
Revisar o plano de contingência | CMA_C1247 – Revisar o plano de contingência | Manual, Desabilitado | 1.1.0 |
Atualizar o plano de contingência | CMA_C1248 – Atualizar o plano de contingência | Manual, Desabilitado | 1.1.0 |
Conformidade
Identificação de requisitos contratuais e legislação aplicável
ID: ISO 27001:2013 A.18.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Proteger o plano de programa de segurança da informação | CMA_C1732 – Proteger o plano do programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de avaliação de risco | CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Atualizar o plano, as políticas e os procedimentos de privacidade | CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade | Manual, Desabilitado | 1.1.0 |
Direitos de propriedade intelectual
ID: ISO 27001:2013 A.18.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Exigir conformidade com direitos de propriedade intelectual | CMA_0432 – Exigir conformidade com os direitos de propriedade intelectual | Manual, Desabilitado | 1.1.0 |
Acompanhar o uso de licenças de software | CMA_C1235 – Acompanhar o uso de licenças de software | Manual, Desabilitado | 1.1.0 |
Proteção de registros
ID: ISO 27001:2013 A.18.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Realizar backup da documentação do sistema de informações | CMA_C1289 - Realizar backup da documentação do sistema de informações | Manual, Desabilitado | 1.1.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Habilitar a autorização dupla ou conjunta | CMA_0226 – Habilitar a autorização dupla ou conjunta | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Garantir que houve falha no sistema de informações do estado conhecido | CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido | Manual, Desabilitado | 1.1.0 |
Estabelecer políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Implementar a recuperação com base na transação | CMA_C1296 - Implementar a recuperação com base na transação | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Proteger informações de auditoria | CMA_0401 – Proteger informações de auditoria | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Privacidade e proteção de informações de identificação pessoal
ID: ISO 27001:2013 A.18.1.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Gerenciar atividades de conformidade | CMA_0358 – Gerenciar atividades de conformidade | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Regulamentação dos controles criptográficos
ID: ISO 27001:2013 A.18.1.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autenticar-se no módulo de criptografia | CMA_0021 – Autenticar-se no módulo de criptografia | Manual, Desabilitado | 1.1.0 |
Definir o uso de criptografia | CMA_0120 – Definir o uso de criptografia | Manual, Desabilitado | 1.1.0 |
Revisão independente da segurança de informações
ID: ISO 27001:2013 A.18.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar uma equipe independente para teste de penetração | CMA_C1171 – Empregar uma equipe independente para teste de penetração | Manual, Desabilitado | 1.1.0 |
Estabelecer uma estratégia de gerenciamento de riscos | CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos | Manual, Desabilitado | 1.1.0 |
Conformidade com os padrões e políticas de segurança
ID: ISO 27001:2013 A.18.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar controles de segurança | CMA_C1145 – Avaliar controles de segurança | Manual, Desabilitado | 1.1.0 |
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desabilitado | 1.1.0 |
Configurar lista de permissões de detecção | CMA_0068 – Configurar lista de permissões de detecção | Manual, Desabilitado | 1.1.0 |
Fornecer resultados da avaliação de segurança | CMA_C1147 – Fornecer resultados da avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de avaliação de segurança | CMA_C1144 – Desenvolver plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Produzir relatórios de avaliação de segurança | CMA_C1146 – Produzir relatórios de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Proteger o plano de programa de segurança da informação | CMA_C1732 – Proteger o plano do programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de avaliação de risco | CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Ativar sensores para a solução de segurança de ponto de extremidade | CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Atualizar o plano, as políticas e os procedimentos de privacidade | CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade | Manual, Desabilitado | 1.1.0 |
Análise de conformidade técnica
ID: ISO 27001:2013 A.18.2.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Avaliar controles de segurança | CMA_C1145 – Avaliar controles de segurança | Manual, Desabilitado | 1.1.0 |
Fornecer resultados da avaliação de segurança | CMA_C1147 – Fornecer resultados da avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de avaliação de segurança | CMA_C1144 – Desenvolver plano de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Empregar uma equipe independente para teste de penetração | CMA_C1171 – Empregar uma equipe independente para teste de penetração | Manual, Desabilitado | 1.1.0 |
Produzir relatórios de avaliação de segurança | CMA_C1146 – Produzir relatórios de avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Políticas de Segurança da Informação
Políticas para segurança de informações
ID: ISO 27001:2013 A.5.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de privacidade para prestadores e provedores de serviço | CMA_C1810 – Estabelecer requisitos de privacidade para prestadores e provedores de serviço | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Gerenciar atividades de conformidade | CMA_0358 – Gerenciar atividades de conformidade | Manual, Desabilitado | 1.1.0 |
Proteger o plano de programa de segurança da informação | CMA_C1732 – Proteger o plano do programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de avaliação de risco | CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Atualizar o plano, as políticas e os procedimentos de privacidade | CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade | Manual, Desabilitado | 1.1.0 |
Revisão das políticas de segurança da informação
ID: ISO 27001:2013 A.5.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Proteger o plano de programa de segurança da informação | CMA_C1732 – Proteger o plano do programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de avaliação de risco | CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Atualizar o plano, as políticas e os procedimentos de privacidade | CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade | Manual, Desabilitado | 1.1.0 |
Organização da segurança das informações
Responsabilidades e funções de segurança das informações
ID: ISO 27001:2013 A.6.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Nomear um responsável pela segurança da informação sênior | CMA_C1733 – Nomear um responsável pela segurança da informação sênior | Manual, Desabilitado | 1.1.0 |
Comunicar alterações no plano de contingência | CMA_C1249 - Comunicar alterações no plano de contingência | Manual, Desabilitado | 1.1.0 |
Coordenar os planos de contingência com os planos relacionados | CMA_0086 - Coordenar os planos de contingência com os planos relacionados | Manual, Desabilitado | 1.1.0 |
Criar proteção para o plano de configurações | CMA_C1233 – Criar proteção para o plano de configurações | Manual, Desabilitado | 1.1.0 |
Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
Definir funções e responsabilidades de segurança da informação | CMA_C1565 – Definir funções e responsabilidades de segurança da informação | Manual, Desabilitado | 1.1.0 |
Designar os indivíduos para cumprir funções e responsabilidades específicas | CMA_C1747 - Designar indivíduos para cumprir funções e responsabilidades específicas | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres | Manual, Desabilitado | 1.1.0 |
Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desabilitado | 1.1.0 |
Desenvolver e manter configurações de linha de base | CMA_0153 – Desenvolver e manter configurações de linha de base | Manual, Desabilitado | 1.1.0 |
Desenvolver políticas e procedimentos de auditoria e responsabilidade | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de identificação do item de configuração | CMA_C1231 – Desenvolver um plano de identificação do item de configuração | Manual, Desabilitado | 1.1.0 |
Desenvolver um plano de gerenciamento de configuração | CMA_C1232 – Desenvolver um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Desenvolver plano de contingência | CMA_C1244 – Desenvolver plano de contingência | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de planejamento de contingências | CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de segurança de informações | CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações | Manual, Desabilitado | 1.1.0 |
Distribuir procedimentos e políticas | CMA_0185 - Distribuir procedimentos e políticas | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar e implementar procedimentos de reclamação de privacidade | CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de segurança de pessoal terceirizado | CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Garantir que as informações do programa de privacidade estejam disponíveis publicamente | CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança de pessoal terceirizado | CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
Identificar os indivíduos com funções e responsabilidades de segurança | CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança | Manual, Desabilitado | 1.1.1 |
Implementar uma ferramenta de gerenciamento de configuração automatizada | CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada | Manual, Desabilitado | 1.1.0 |
Implementar princípios de engenharia de segurança para os sistemas de informações | CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Integrar o processo de gerenciamento de riscos ao SDLC | CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC | Manual, Desabilitado | 1.1.0 |
Gerenciar o estado de segurança dos sistemas de informações | CMA_C1746 - Gerenciar estado de segurança de sistemas de informações | Manual, Desabilitado | 1.1.0 |
Monitorar a conformidade do provedor de terceiros | CMA_C1533 – Monitorar a conformidade do provedor de terceiros | Manual, Desabilitado | 1.1.0 |
Planejar a retomada das funções essenciais do negócio | CMA_C1253 – Planejar a retomada das funções essenciais do negócio | Manual, Desabilitado | 1.1.0 |
Proteger o plano de programa de segurança da informação | CMA_C1732 – Proteger o plano do programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Exigir notificação da transferência ou rescisão de pessoal terceirizado | CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal | CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Retomar todas as funções da missão e do negócio | CMA_C1254 - Retomar todas as funções da missão e do negócio | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento de contingência | CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de resposta a incidentes | CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de segurança de pessoal | CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar as políticas e procedimentos físicos e ambientais | CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de avaliação de risco | CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desabilitado | 1.1.0 |
Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desabilitado | 1.1.0 |
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
Revisar o plano de contingência | CMA_C1247 – Revisar o plano de contingência | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de autorização e avaliação de segurança | CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Atualizar o plano de contingência | CMA_C1248 – Atualizar o plano de contingência | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Atualizar o plano, as políticas e os procedimentos de privacidade | CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade | Manual, Desabilitado | 1.1.0 |
Diferenciação de tarefas
ID: ISO 27001:2013 A.6.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Um máximo de três proprietários deve ser designado para sua assinatura | Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. | AuditIfNotExists, desabilitado | 3.0.0 |
Definir autorizações de acesso para dar suporte à separação de tarefas | CMA_0116 – Definir autorizações de acesso para dar suporte à separação de tarefas | Manual, Desabilitado | 1.1.0 |
Documentar separação de tarefas | CMA_0204 – Documentar separação de tarefas | Manual, Desabilitado | 1.1.0 |
Separar tarefas de indivíduos | CMA_0492 – Separar tarefas de indivíduos | Manual, Desabilitado | 1.1.0 |
Deve haver mais de um proprietário atribuído à sua assinatura | Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desabilitado | 3.0.0 |
Contato com as autoridades
ID: ISO 27001:2013 A.6.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Gerenciar contatos para autoridades e grupos de interesse especiais | CMA_0359 – Gerenciar contatos para autoridades e grupos de interesses especiais | Manual, Desabilitado | 1.1.0 |
Contato com grupos de interesse especial
ID: ISO 27001:2013 A.6.1.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Divulgar alertas de segurança para o pessoal | CMA_C1705 – Divulgar alertas de segurança para o pessoal | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de inteligência contra ameaças | CMA_0260 – Estabelecer um programa de inteligência contra ameaças | Manual, Desabilitado | 1.1.0 |
Gerar alertas de segurança internos | CMA_C1704 – Gerar alertas de segurança internos | Manual, Desabilitado | 1.1.0 |
Implementar diretivas de segurança | CMA_C1706 – Implementar diretivas de segurança | Manual, Desabilitado | 1.1.0 |
Gerenciar contatos para autoridades e grupos de interesse especiais | CMA_0359 – Gerenciar contatos para autoridades e grupos de interesses especiais | Manual, Desabilitado | 1.1.0 |
Segurança de informações no gerenciamento de projetos
ID: ISO 27001:2013 A.6.1.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Alinhar os objetivos de negócios e os objetivos de TI | CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI | Manual, Desabilitado | 1.1.0 |
Alocar recursos para determinar os requisitos do sistema de informações | CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações | Manual, Desabilitado | 1.1.0 |
Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
Definir funções e responsabilidades de segurança da informação | CMA_C1565 – Definir funções e responsabilidades de segurança da informação | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Estabelecer um item de linha discreto na documentação do orçamento | CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Controlar a alocação de recursos | CMA_0293 – Controlar a alocação de recursos | Manual, Desabilitado | 1.1.0 |
Identificar os indivíduos com funções e responsabilidades de segurança | CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança | Manual, Desabilitado | 1.1.1 |
Integrar o processo de gerenciamento de riscos ao SDLC | CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC | Manual, Desabilitado | 1.1.0 |
Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
Revisar o processo, os padrões e as ferramentas de desenvolvimento | CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento | Manual, Desabilitado | 1.1.0 |
Garantir o comprometimento da liderança | CMA_0489 – Garantir o comprometimento da liderança | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Política de dispositivos móveis
ID: ISO 27001:2013 A.6.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Definir requisitos do dispositivo móvel | CMA_0122 - Definir requisitos do dispositivo móvel | Manual, Desabilitado | 1.1.0 |
Documentar e implementar diretrizes de acesso sem fio | CMA_0190 – Documentar e implementar diretrizes de acesso sem fio | Manual, Desabilitado | 1.1.0 |
Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Notificar usuários sobre logon ou acesso do sistema | CMA_0382 – Notificar usuários sobre logon ou acesso do sistema | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger acesso sem fio | CMA_0411 – Proteger acesso sem fio | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Trabalho remoto
ID: ISO 27001:2013 A.6.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso remoto | CMA_0024 – Autorizar o acesso remoto | Manual, Desabilitado | 1.1.0 |
Documentar o treinamento de mobilidade | CMA_0191 – Documentar o treinamento de mobilidade | Manual, Desabilitado | 1.1.0 |
Documentar as diretrizes de acesso remoto | CMA_0196 – Documentar as diretrizes de acesso remoto | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar dispositivos de rede | CMA_0296 – Identificar e autenticar dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger sites de trabalho alternativos | CMA_0315 – Implementar controles para proteger sites de trabalho alternativos | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Notificar usuários sobre logon ou acesso do sistema | CMA_0382 – Notificar usuários sobre logon ou acesso do sistema | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Segurança dos Recursos Humanos
Triagem
ID: ISO 27001:2013 A.7.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desmarcar o pessoal com acesso às informações confidenciais | CMA_0054 – Desmarcar o pessoal com acesso às informações classificadas | Manual, Desabilitado | 1.1.0 |
Implementar triagem de pessoal | CMA_0322 – Implementar triagem de pessoal | Manual, Desabilitado | 1.1.0 |
Reexaminar indivíduos em uma frequência definida | CMA_C1512 – Reexaminar indivíduos em uma frequência definida | Manual, Desabilitado | 1.1.0 |
Termos e condições de contratação
ID: ISO 27001:2013 A.7.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Desenvolver proteções de segurança | CMA_0161 – Desenvolver proteções de segurança | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar contratos de acesso organizacional | CMA_0192 – Documentar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
Documentar aceitação do pessoal de requisitos de privacidade | CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | Manual, Desabilitado | 1.1.0 |
Garantir que as informações do programa de privacidade estejam disponíveis publicamente | CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de privacidade | CMA_0257 – Estabelecer um programa de privacidade | Manual, Desabilitado | 1.1.0 |
Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desabilitado | 1.1.0 |
Obter consentimento antes da coleta ou processamento de dados pessoais | CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desabilitado | 1.1.0 |
Exigir que os usuários assinem o contrato de acesso | CMA_0440 – Exigir que os usuários assinem o contrato de acesso | Manual, Desabilitado | 1.1.0 |
Atualizar contratos de acesso organizacional | CMA_0520 – Atualizar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
Responsabilidades de gerenciamento
ID: ISO 27001:2013 A.7.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Definir e documentar supervisão governamental | CMA_C1587 – Definir e documentar supervisão governamental | Manual, Desabilitado | 1.1.0 |
Determinar as obrigações do contrato de fornecedor | CMA_0140 – Determinar as obrigações do contrato de fornecedor | Manual, Desabilitado | 1.1.0 |
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Documentar critérios de aceitação do contrato de aquisição | CMA_0187 – Documentar critérios de aceitação do contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar contratos de acesso organizacional | CMA_0192 – Documentar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados pessoais em contratos de aquisição | CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de informações de segurança em contratos de aquisição | CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos para o uso de dados compartilhados em contratos | CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de garantia de segurança em contratos de aquisição | CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de documentação de segurança no contrato de aquisição | CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos funcionais de segurança nos contratos de aquisição | CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar o ambiente do sistema de informações em contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Documentar a proteção de dados de titulares em contratos terceirizados | CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de segurança de pessoal terceirizado | CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de segurança de pessoal terceirizado | CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Monitorar a conformidade do provedor de terceiros | CMA_C1533 – Monitorar a conformidade do provedor de terceiros | Manual, Desabilitado | 1.1.0 |
Exigir que provedores de serviços externos cumpram os requisitos de segurança | CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança | Manual, Desabilitado | 1.1.0 |
Exigir notificação da transferência ou rescisão de pessoal terceirizado | CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado | Manual, Desabilitado | 1.1.0 |
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal | CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal | Manual, Desabilitado | 1.1.0 |
Exigir que os usuários assinem o contrato de acesso | CMA_0440 – Exigir que os usuários assinem o contrato de acesso | Manual, Desabilitado | 1.1.0 |
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem | Manual, Desabilitado | 1.1.0 |
Passar por revisão de segurança independente | CMA_0515 – Passar por revisão de segurança independente | Manual, Desabilitado | 1.1.0 |
Atualizar contratos de acesso organizacional | CMA_0520 – Atualizar contratos de acesso organizacional | Manual, Desabilitado | 1.1.0 |
Conscientização, educação e treinamento sobre segurança da informação
ID: ISO 27001:2013 A.7.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Documentar atividades de treinamento de privacidade e segurança | CMA_0198 - Documentar atividades de treinamento de privacidade e segurança | Manual, Desabilitado | 1.1.0 |
Aplicar ambiente de treinamento automatizado | CMA_C1357 – Aplicar ambiente de treinamento automatizado | Manual, Desabilitado | 1.1.0 |
Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação | CMA_C1752 – Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação | Manual, Desabilitado | 1.1.0 |
Monitorar a conclusão dos treinamentos de segurança e privacidade | CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de contingência | CMA_0412 – Fornecer treinamento de contingência | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de vazamento de informações | CMA_0413 – Fornecer treinamento de vazamento de informações | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento periódico de segurança baseada em funções | CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento periódico sobre conscientização de segurança | CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de privacidade | CMA_0415 – Fornecer treinamento de privacidade | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança baseada em funções | CMA_C1094 – Fornecer treinamentos de segurança baseada em funções | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desabilitado | 1.1.0 |
Fornecer treinamento de conscientização de segurança atualizado | CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado | Manual, Desabilitado | 1.1.0 |
Reter registros de treinamento | CMA_0456 – Reter registros de treinamento | Manual, Desabilitado | 1.1.0 |
Treinar o pessoal sobre a divulgação de informações não públicas | CMA_C1084 – Treinar o pessoal sobre a divulgação de informações não públicas | Manual, Desabilitado | 1.1.0 |
Processo disciplinar
ID: ISO 27001:2013 A.7.2.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar processo formal de sanções | CMA_0317 – Implementar processo formal de sanções | Manual, Desabilitado | 1.1.0 |
Notificar o pessoal sobre as sanções | CMA_0380 – Notificar o pessoal sobre sanções | Manual, Desabilitado | 1.1.0 |
Término ou alteração das responsabilidades do emprego
ID: ISO 27001:2013 A.7.3.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar entrevista de saída após a rescisão | CMA_0058 – Realizar entrevista de saída após a rescisão | Manual, Desabilitado | 1.1.0 |
Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
Iniciar ações de transferência ou reatribuição | CMA_0333 – Iniciar ações de transferência ou reatribuição | Manual, Desabilitado | 1.1.0 |
Modificar autorizações de acesso após a transferência de pessoal | CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
Notificar após a rescisão ou transferência | CMA_0381 – Notificar após a rescisão ou transferência | Manual, Desabilitado | 1.1.0 |
Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo | CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo | Manual, Desabilitado | 1.1.0 |
Reavaliar o acesso após a transferência de pessoal | CMA_0424 – Reavaliar o acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Gerenciamento de Ativos
Inventário de ativos
ID: ISO 27001:2013 A.8.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Propriedade de ativos
ID: ISO 27001:2013 A.8.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
Controlar o uso de dispositivos de armazenamento portáteis | CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis | Manual, Desabilitado | 1.1.0 |
Criar um estoque de dados | CMA_0096 – Criar um estoque de dados | Manual, Desabilitado | 1.1.0 |
Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Manter registros de processamento de dados pessoais | CMA_0353 – Manter registros de processamento de dados pessoais | Manual, Desabilitado | 1.1.0 |
Restringir uso de mídia | CMA_0450 – Restringir uso de mídia | Manual, Desabilitado | 1.1.0 |
Uso aceitável de ativos
ID: ISO 27001:2013 A.8.1.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver procedimentos e políticas de uso aceitáveis | CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis | Manual, Desabilitado | 1.1.0 |
Aplicar regras de comportamento e contratos de acesso | CMA_0248 – Aplicar regras de comportamento e contratos de acesso | Manual, Desabilitado | 1.1.0 |
Retorno de ativos
ID: ISO 27001:2013 A.8.1.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Realizar entrevista de saída após a rescisão | CMA_0058 – Realizar entrevista de saída após a rescisão | Manual, Desabilitado | 1.1.0 |
Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
Iniciar ações de transferência ou reatribuição | CMA_0333 – Iniciar ações de transferência ou reatribuição | Manual, Desabilitado | 1.1.0 |
Modificar autorizações de acesso após a transferência de pessoal | CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
Notificar após a rescisão ou transferência | CMA_0381 – Notificar após a rescisão ou transferência | Manual, Desabilitado | 1.1.0 |
Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo | CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo | Manual, Desabilitado | 1.1.0 |
Reavaliar o acesso após a transferência de pessoal | CMA_0424 – Reavaliar o acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
Reter dados de usuário removido | CMA_0455 – Reter dados de usuário removido | Manual, Desabilitado | 1.1.0 |
Classificação de informações
ID: ISO 27001:2013 A.8.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Categorizar informações | CMA_0052 – Categorizar informações | Manual, Desabilitado | 1.1.0 |
Desenvolver esquemas de classificação de negócios | CMA_0155 – Desenvolver esquemas de classificação de negócios | Manual, Desabilitado | 1.1.0 |
Garantir a aprovação da categorização de segurança | CMA_C1540 – Garantir a aprovação da categorização de segurança | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. | AuditIfNotExists, desabilitado | 4.1.0 |
Rotulagem de informações
ID: ISO 27001:2013 A.8.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Manuseio de ativos
ID: ISO 27001:2013 A.8.2.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
Configurar as estações de trabalho para verificar certificados digitais | CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais | Manual, Desabilitado | 1.1.0 |
Controlar o fluxo de informações | CMA_0079 – Controlar o fluxo de informações | Manual, Desabilitado | 1.1.0 |
Controlar o acesso físico | CMA_0081 – Controlar o acesso físico | Manual, Desabilitado | 1.1.0 |
Controlar o uso de dispositivos de armazenamento portáteis | CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis | Manual, Desabilitado | 1.1.0 |
Definir requisitos para gerenciar ativos | CMA_0125 - Definir requisitos para gerenciar ativos | Manual, Desabilitado | 1.1.0 |
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Estabelecer um procedimento de gerenciamento de vazamento de dados | CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Estabelecer padrões de configuração de firewall e roteador | CMA_0272 – Estabelecer padrões de configuração de firewall e roteador | Manual, Desabilitado | 1.1.0 |
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desabilitado | 1.1.0 |
Identificar e gerenciar trocas de informações downstream | CMA_0298 – Identificar e gerenciar trocas de informações downstream | Manual, Desabilitado | 1.1.0 |
Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desabilitado | 1.1.0 |
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados | Manual, Desabilitado | 1.1.0 |
Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desabilitado | 1.1.0 |
Proteger dados em trânsito usando criptografia | CMA_0403 – Proteger dados em trânsito usando criptografia | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Proteger informações especiais | CMA_0409 – Proteger informações especiais | Manual, Desabilitado | 1.1.0 |
Fornecer serviços seguros de resolução de endereço e nome | CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome | Manual, Desabilitado | 1.1.0 |
Restringir uso de mídia | CMA_0450 – Restringir uso de mídia | Manual, Desabilitado | 1.1.0 |
Examinar a atividade e a análise de rótulos | CMA_0474 – Examinar a atividade e a análise de rótulos | Manual, Desabilitado | 1.1.0 |
Gerenciamento de mídia removível
ID: ISO 27001:2013 A.8.3.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Bloquear processos não assinados e não confiáveis executados por USB | CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB | Manual, Desabilitado | 1.1.0 |
Controlar o uso de dispositivos de armazenamento portáteis | CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis | Manual, Desabilitado | 1.1.0 |
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Restringir uso de mídia | CMA_0450 – Restringir uso de mídia | Manual, Desabilitado | 1.1.0 |
Descarte de mídia
ID: ISO 27001:2013 A.8.3.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Empregar um mecanismo de limpeza de mídia | CMA_0208 - Empregar um mecanismo de limpeza de mídia | Manual, Desabilitado | 1.1.0 |
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Transferência de mídia física
ID: ISO 27001:2013 A.8.3.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Implementar controles para proteger todas as mídias | CMA_0314 – Implementar controles para proteger todas as mídias | Manual, Desabilitado | 1.1.0 |
Gerenciar o transporte de ativos | CMA_0370 - Gerenciar o transporte de ativos | Manual, Desabilitado | 1.1.0 |
Controle de acesso
Política de controle de acesso
ID: ISO 27001:2013 A.9.1.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Controlar políticas e procedimentos | CMA_0292 - Controlar políticas e procedimentos | Manual, Desabilitado | 1.1.0 |
Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desabilitado | 1.1.0 |
Acesso a redes e serviços de rede
ID: ISO 27001:2013 A.9.1.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
Auditar os computadores Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas | AuditIfNotExists, desabilitado | 3.1.0 |
Auditar VMs que não usam discos gerenciados | Essa política audita VMs que não usam discos gerenciados | auditoria | 1.0.0 |
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
Habilitar a detecção de dispositivos de rede | CMA_0220 – Habilitar a detecção de dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de certificado e assinatura eletrônica | CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica | Manual, Desabilitado | 1.1.0 |
Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Rotear o tráfego por meio de pontos de acesso à rede gerenciada | CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada | Manual, Desabilitado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança | Audit, Deny, desabilitado | 1.0.0 |
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança | Audit, Deny, desabilitado | 1.0.0 |
Registro e cancelamento de registros de usuários
ID: ISO 27001:2013 A.9.2.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir gerentes de conta | CMA_0015 – Atribuir gerentes de conta | Manual, Desabilitado | 1.1.0 |
Atribuir identificadores de sistema | CMA_0018 – Atribuir identificadores de sistema | Manual, Desabilitado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
Documentar privilégios de acesso | CMA_0186 – Documentar privilégios de acesso | Manual, Desabilitado | 1.1.0 |
Habilitar a detecção de dispositivos de rede | CMA_0220 – Habilitar a detecção de dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
Estabelecer condições para associação de função | CMA_0269 – Estabelecer condições para associação de função | Manual, Desabilitado | 1.1.0 |
Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador | Manual, Desabilitado | 1.1.0 |
Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
Gerenciar autenticadores | CMA_C1321 – Gerenciar autenticadores | Manual, Desabilitado | 1.1.0 |
Notificar os gerentes de conta das contas controladas pelo cliente | CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente | Manual, Desabilitado | 1.1.0 |
Impedir a reutilização do identificador pelo período de tempo definido | CMA_C1314 – Impedir a reutilização do identificador pelo período de tempo definido | Manual, Desabilitado | 1.1.0 |
Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
Reemitir autenticadores para contas e grupos alterados | CMA_0426 – Reemitir autenticadores para contas e grupos alterados | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar e reavaliar privilégios | CMA_C1207 – Revisar e reavaliar privilégios | Manual, Desabilitado | 1.1.0 |
Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
Verificar identidade antes de distribuir autenticadores | CMA_0538 – Verificar identidade antes de distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
Provisionamento do acesso do usuário
ID: ISO 27001:2013 A.9.2.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir gerentes de conta | CMA_0015 – Atribuir gerentes de conta | Manual, Desabilitado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
Documentar privilégios de acesso | CMA_0186 – Documentar privilégios de acesso | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer condições para associação de função | CMA_0269 – Estabelecer condições para associação de função | Manual, Desabilitado | 1.1.0 |
Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desabilitado | 1.1.0 |
Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Notificar os gerentes de conta das contas controladas pelo cliente | CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente | Manual, Desabilitado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar e reavaliar privilégios | CMA_C1207 – Revisar e reavaliar privilégios | Manual, Desabilitado | 1.1.0 |
Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
Gerenciamento de direitos de acesso privilegiado
ID: ISO 27001:2013 A.9.2.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL | Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft | AuditIfNotExists, desabilitado | 1.0.0 |
Atribuir gerentes de conta | CMA_0015 – Atribuir gerentes de conta | Manual, Desabilitado | 1.1.0 |
Auditar funções com privilégios | CMA_0019 – Auditar funções com privilégios | Manual, Desabilitado | 1.1.0 |
Auditoria o uso de funções personalizadas do RBAC | Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças | Audit, desabilitado | 1.0.1 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
Documentar privilégios de acesso | CMA_0186 – Documentar privilégios de acesso | Manual, Desabilitado | 1.1.0 |
Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Estabelecer condições para associação de função | CMA_0269 – Estabelecer condições para associação de função | Manual, Desabilitado | 1.1.0 |
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desabilitado | 1.1.0 |
Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Monitorar atribuição de função com privilégios | CMA_0378 – Monitorar atribuição de função com privilégios | Manual, Desabilitado | 1.1.0 |
Notificar os gerentes de conta das contas controladas pelo cliente | CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente | Manual, Desabilitado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar e reavaliar privilégios | CMA_C1207 – Revisar e reavaliar privilégios | Manual, Desabilitado | 1.1.0 |
Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente | Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric | Audit, Deny, desabilitado | 1.1.0 |
Usar o Privileged Identity Management | CMA_0533 – Usar o Privileged Identity Management | Manual, Desabilitado | 1.1.0 |
Gerenciamento de informações de autenticação secretas de usuários
ID: ISO 27001:2013 A.9.2.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 | AuditIfNotExists, desabilitado | 3.1.0 |
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux | Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador | Manual, Desabilitado | 1.1.0 |
Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
Gerenciar autenticadores | CMA_C1321 – Gerenciar autenticadores | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
Reemitir autenticadores para contas e grupos alterados | CMA_0426 – Reemitir autenticadores para contas e grupos alterados | Manual, Desabilitado | 1.1.0 |
Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
Verificar identidade antes de distribuir autenticadores | CMA_0538 – Verificar identidade antes de distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
Análise dos direitos de acesso do usuário
ID: ISO 27001:2013 A.9.2.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir gerentes de conta | CMA_0015 – Atribuir gerentes de conta | Manual, Desabilitado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
Documentar privilégios de acesso | CMA_0186 – Documentar privilégios de acesso | Manual, Desabilitado | 1.1.0 |
Estabelecer condições para associação de função | CMA_0269 – Estabelecer condições para associação de função | Manual, Desabilitado | 1.1.0 |
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. | AuditIfNotExists, desabilitado | 1.0.0 |
Notificar os gerentes de conta das contas controladas pelo cliente | CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente | Manual, Desabilitado | 1.1.0 |
Reatribuir ou remover privilégios de usuário conforme o necessário | CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar e reavaliar privilégios | CMA_C1207 – Revisar e reavaliar privilégios | Manual, Desabilitado | 1.1.0 |
Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
Examinar os privilégios do usuário | CMA_C1039 – Examinar os privilégios do usuário | Manual, Desabilitado | 1.1.0 |
Remoção ou ajuste de direitos de acesso
ID: ISO 27001:2013 A.9.2.6 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atribuir gerentes de conta | CMA_0015 – Atribuir gerentes de conta | Manual, Desabilitado | 1.1.0 |
Auditar o status da conta de usuário | CMA_0020 – Auditar o status da conta de usuário | Manual, Desabilitado | 1.1.0 |
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. | AuditIfNotExists, desabilitado | 1.0.0 |
Definir tipos de conta do sistema de informações | CMA_0121 – Definir tipos de contas do sistema de informação | Manual, Desabilitado | 1.1.0 |
Documentar privilégios de acesso | CMA_0186 – Documentar privilégios de acesso | Manual, Desabilitado | 1.1.0 |
Estabelecer condições para associação de função | CMA_0269 – Estabelecer condições para associação de função | Manual, Desabilitado | 1.1.0 |
Iniciar ações de transferência ou reatribuição | CMA_0333 – Iniciar ações de transferência ou reatribuição | Manual, Desabilitado | 1.1.0 |
Modificar autorizações de acesso após a transferência de pessoal | CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
Notificar os gerentes de conta das contas controladas pelo cliente | CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente | Manual, Desabilitado | 1.1.0 |
Notificar após a rescisão ou transferência | CMA_0381 – Notificar após a rescisão ou transferência | Manual, Desabilitado | 1.1.0 |
Reavaliar o acesso após a transferência de pessoal | CMA_0424 – Reavaliar o acesso após a transferência de pessoal | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar logs de provisionamento de conta | CMA_0460 – Examinar logs de provisionamento de conta | Manual, Desabilitado | 1.1.0 |
Revisar e reavaliar privilégios | CMA_C1207 – Revisar e reavaliar privilégios | Manual, Desabilitado | 1.1.0 |
Examinar contas de usuário | CMA_0480: – Examinar contas de usuário | Manual, Desabilitado | 1.1.0 |
Uso de informações de autenticação secretas
ID: ISO 27001:2013 A.9.3.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador | Manual, Desabilitado | 1.1.0 |
Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
Gerenciar autenticadores | CMA_C1321 – Gerenciar autenticadores | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
Reemitir autenticadores para contas e grupos alterados | CMA_0426 – Reemitir autenticadores para contas e grupos alterados | Manual, Desabilitado | 1.1.0 |
Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
Encerrar as credenciais da conta controlada pelo cliente | CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente | Manual, Desabilitado | 1.1.0 |
Verificar identidade antes de distribuir autenticadores | CMA_0538 – Verificar identidade antes de distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
Restrição de acesso às informações
ID: ISO 27001:2013 A.9.4.1 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Automatizar o gerenciamento de contas | CMA_0026 – Automatizar o gerenciamento de contas | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desabilitado | 1.1.0 |
Gerenciar contas de administrador e sistema | CMA_0368 – Gerenciar contas de administrador e sistema | Manual, Desabilitado | 1.1.0 |
Monitorar o acesso em toda a organização | CMA_0376 – Monitorar o acesso em toda a organização | Manual, Desabilitado | 1.1.0 |
Notificar quando a conta não for necessária | CMA_0383 – Notificar quando a conta não for necessária | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Procedimentos de logon seguro
ID: ISO 27001:2013 A.9.4.2 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA | A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. | AuditIfNotExists, desabilitado | 1.0.0 |
Adotar os mecanismos de autenticação biométrica | CMA_0005 – Adotar os mecanismos de autenticação biométrica | Manual, Desabilitado | 1.1.0 |
Habilitar a detecção de dispositivos de rede | CMA_0220 – Habilitar a detecção de dispositivos de rede | Manual, Desabilitado | 1.1.0 |
Impor um limite de tentativas consecutivas de login com falha | CMA_C1044 - Impor um limite de tentativas consecutivas de login com falha | Manual, Desabilitado | 1.1.0 |
Impor exclusividade do usuário | CMA_0250 – Impor exclusividade do usuário | Manual, Desabilitado | 1.1.0 |
Estabelecer requisitos de certificado e assinatura eletrônica | CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica | Manual, Desabilitado | 1.1.0 |
Gerar mensagens de erro | CMA_C1724 – Gerar mensagens de erro | Manual, Desabilitado | 1.1.0 |
Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desabilitado | 1.1.0 |
Identificar e autenticar usuários não organizacionais | CMA_C1346 – Identificar e autenticar usuários não organizacionais | Manual, Desabilitado | 1.1.0 |
Informações de feedback desconhecido durante o processo de autenticação | CMA_C1344 – Informações de feedback desconhecido durante o processo de autenticação | Manual, Desabilitado | 1.1.0 |
Revelar mensagens de erro | CMA_C1725 - Revelar mensagens de erro | Manual, Desabilitado | 1.1.0 |
Rotear o tráfego por meio de pontos de acesso à rede gerenciada | CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada | Manual, Desabilitado | 1.1.0 |
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização | Manual, Desabilitado | 1.1.0 |
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desabilitado | 1.1.0 |
Encerrar a sessão do usuário automaticamente | CMA_C1054 – Encerrar a sessão do usuário automaticamente | Manual, Desabilitado | 1.1.0 |
Sistema de gerenciamento de senhas
ID: ISO 27001:2013 A.9.4.3 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário | Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | modify | 4.1.0 |
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desabilitado | 2.1.0 |
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias | AuditIfNotExists, desabilitado | 2.1.0 |
Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia | AuditIfNotExists, desabilitado | 2.1.0 |
Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desabilitado | 2.0.0 |
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desabilitado | 2.1.0 |
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Desabilitar os autenticadores após o encerramento | CMA_0169 – Desabilitar os autenticadores após o encerramento | Manual, Desabilitado | 1.1.0 |
Documentar requisitos de força de segurança em contratos de aquisição | CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição | Manual, Desabilitado | 1.1.0 |
Estabelecer uma política de senha | CMA_0256 - Estabelecer uma política de senha | Manual, Desabilitado | 1.1.0 |
Estabelecer processos e tipos de autenticador | CMA_0267 – Estabelecer processos e tipos de autenticador | Manual, Desabilitado | 1.1.0 |
Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador | Manual, Desabilitado | 1.1.0 |
Implementar parâmetros para verificadores de segredo memorizados | CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados | Manual, Desabilitado | 1.1.0 |
Implementar treinamento para proteção de autenticadores | CMA_0329 – Implementar treinamento para proteção de autenticadores | Manual, Desabilitado | 1.1.0 |
Gerenciar tempo de vida e reutilização do autenticador | CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador | Manual, Desabilitado | 1.1.0 |
Gerenciar autenticadores | CMA_C1321 – Gerenciar autenticadores | Manual, Desabilitado | 1.1.0 |
Proteger senhas com criptografia | CMA_0408 – Proteger senhas com criptografia | Manual, Desabilitado | 1.1.0 |
Atualizar autenticadores | CMA_0425 – Atualizar autenticadores | Manual, Desabilitado | 1.1.0 |
Reemitir autenticadores para contas e grupos alterados | CMA_0426 – Reemitir autenticadores para contas e grupos alterados | Manual, Desabilitado | 1.1.0 |
Revogar funções com privilégios conforme a necessidade | CMA_0483 – Revogar funções com privilégios conforme a necessidade | Manual, Desabilitado | 1.1.0 |
Verificar identidade antes de distribuir autenticadores | CMA_0538 – Verificar identidade antes de distribuir autenticadores | Manual, Desabilitado | 1.1.0 |
Uso de programas utilitários privilegiados
ID: ISO 27001:2013 A.9.4.4 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Restringir o acesso a contas privilegiadas | CMA_0446 – Restringir o acesso a contas privilegiadas | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Controle de acesso ao código-fonte do programa
ID: ISO 27001:2013 A.9.4.5 Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Autorizar o acesso às funções e informações de segurança | CMA_0022 – Autorizar o acesso às funções e informações de segurança | Manual, Desabilitado | 1.1.0 |
Autorizar e gerenciar o acesso | CMA_0023 – Autorizar e gerenciar o acesso | Manual, Desabilitado | 1.1.0 |
Criar um modelo de controle de acesso | CMA_0129 – Criar um modelo de controle de acesso | Manual, Desabilitado | 1.1.0 |
Empregar acesso de privilégio mínimo | CMA_0212 – Empregar o acesso de privilégios mínimos | Manual, Desabilitado | 1.1.0 |
Impor o acesso lógico | CMA_0245 – Impor o acesso lógico | Manual, Desabilitado | 1.1.0 |
Impor políticas de controle de acesso obrigatórias e opcionais | CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais | Manual, Desabilitado | 1.1.0 |
Estabelecer e documentar processos de controle de alterações | CMA_0265 – Estabelecer e documentar processos de controle de alterações | Manual, Desabilitado | 1.1.0 |
Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desabilitado | 1.1.0 |
Exigir aprovação para criação de conta | CMA_0431 – Exigir aprovação para criação de conta | Manual, Desabilitado | 1.1.0 |
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desabilitado | 1.1.0 |
Aperfeiçoamento
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.d Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atualizar itens de POA&M | CMA_C1157 - Atualizar os itens de POA&M | Manual, Desabilitado | 1.1.0 |
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.e Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Atualizar itens de POA&M | CMA_C1157 - Atualizar os itens de POA&M | Manual, Desabilitado | 1.1.0 |
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.f Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Atualizar itens de POA&M | CMA_C1157 - Atualizar os itens de POA&M | Manual, Desabilitado | 1.1.0 |
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.g Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desabilitado | 1.1.0 |
Executar auditoria para controle de alterações de configuração | CMA_0390 - Executar auditoria para controle de alterações de configuração | Manual, Desabilitado | 1.1.0 |
Atualizar itens de POA&M | CMA_C1157 - Atualizar os itens de POA&M | Manual, Desabilitado | 1.1.0 |
Contexto da organização
Determinando o escopo do sistema de gerenciamento de segurança da informação
ID: ISO 27001:2013 C.4.3.a Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver um SSP que atenda aos critérios | CMA_C1492 – Desenvolver um SSP que atenda aos critérios | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa de segurança da informação | Manual, Desabilitado | 1.1.0 |
Atualizar políticas de segurança de informações | CMA_0518 – Atualizar políticas de segurança da informação | Manual, Desabilitado | 1.1.0 |
Determinando o escopo do sistema de gerenciamento de segurança da informação
ID: ISO 27001:2013 C.4.3.b Propriedade: Compartilhado
Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
---|---|---|---|
Desenvolver um SSP que atenda aos critérios | CMA_C1492 – Desenvolver um SSP que atenda aos critérios | Manual, Desabilitado | 1.1.0 |
Estabelecer um programa de segurança da informação | CMA_0263 – Estabelecer um programa d |