Compartilhar via


Detalhes da iniciativa interna de Conformidade Regulatória ISO 27001:2013

O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no ISO 27001:2013. Para obter mais informações sobre esse padrão de conformidade, confira ISO 27001:2013. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .

Os seguintes mapeamentos referem-se aos controles ISO 27001:2013. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de Conformidade Regulatória ISO 27001:2013.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

Criptografia

Política sobre o uso de controles de criptografia

ID: ISO 27001:2013 A.10.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 4.0.0
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível AuditIfNotExists, desabilitado 2.0.0
As variáveis da conta de automação devem ser criptografadas É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais Audit, Deny, desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentar e distribuir uma política de privacidade CMA_0188 - Documentar e distribuir uma política de privacidade Manual, Desabilitado 1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. Auditoria, desabilitado, negação 5.0.0
Implementar métodos de entrega de avisos de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Restringir comunicações CMA_0449 - Restringir comunicações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente Audit, Deny, desabilitado 1.1.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade AuditIfNotExists, desabilitado 2.0.0

Gerenciamento de chaves

ID: ISO 27001:2013 A.10.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia Manual, Desabilitado 1.1.0
Determinar os requisitos da declaração CMA_0136 – Determinar os requisitos da declaração Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabelecer uma política de senha Manual, Desabilitado 1.1.0
Identificar ações permitidas sem autenticação CMA_0295 - Identificar ações permitidas sem autenticação Manual, Desabilitado 1.1.0
Identificar e autenticar usuários não organizacionais CMA_C1346 – Identificar e autenticar usuários não organizacionais Manual, Desabilitado 1.1.0
Implementar parâmetros para verificadores de segredo memorizados CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados Manual, Desabilitado 1.1.0
Emitir certificados de chave pública CMA_0347 – Emitir certificados de chave pública Manual, Desabilitado 1.1.0
Gerenciar chaves de criptografia simétricas CMA_0367 – Gerenciar chaves de criptografia simétricas Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Restringir o acesso a chaves privadas CMA_0445 – Restringir o acesso a chaves privadas Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
Encerrar as credenciais da conta controlada pelo cliente CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente Manual, Desabilitado 1.1.0

Segurança Física e Ambiental

Perímetro de segurança física

ID: ISO 27001:2013 A.11.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Estabelecer e manter um inventário de ativos CMA_0266 - Estabelecer e manter um inventário de ativos Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desabilitado 1.1.0
Gerenciar um sistema de câmera de vigilância seguro CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0

Controles físicos de entrada

ID: ISO 27001:2013 A.11.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Designar pessoal para supervisionar as atividades de manutenção não autorizada CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizada Manual, Desabilitado 1.1.0
Estabelecer e manter um inventário de ativos CMA_0266 - Estabelecer e manter um inventário de ativos Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Manter lista de pessoal de manutenção remota autorizado CMA_C1420 - Manter lista de pessoal de manutenção remota autorizado Manual, Desabilitado 1.1.0
Gerenciar a equipe de manutenção CMA_C1421 - Gerenciar a equipe de manutenção Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0

Proteger escritórios, salas e instalações

ID: ISO 27001:2013 A.11.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Definir um processo de gerenciamento de chave física CMA_0115 – Definir um processo de gerenciamento de chave física Manual, Desabilitado 1.1.0
Estabelecer e manter um inventário de ativos CMA_0266 - Estabelecer e manter um inventário de ativos Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Proteção contra ameaças ambientais e externas

ID: ISO 27001:2013 A.11.1.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar sites de armazenamento alternativos e primários separados CMA_C1269 - Criar sites de armazenamento alternativos e primários separados Manual, Desabilitado 1.1.0
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário Manual, Desabilitado 1.1.0
Garantir que houve falha no sistema de informações do estado conhecido CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido Manual, Desabilitado 1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup Manual, Desabilitado 1.1.0
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0
Identificar e reduzir possíveis problemas no site de armazenamento alternativo CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desabilitado 1.1.0
Planejar a continuação de funções de negócios essenciais CMA_C1255 – Planejar a continuação de funções de negócios essenciais Manual, Desabilitado 1.1.0

Trabalhando em áreas seguras

ID: ISO 27001:2013 A.11.1.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0

Áreas de entrega e carregamento

ID: ISO 27001:2013 A.11.1.6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Definir requisitos para gerenciar ativos CMA_0125 - Definir requisitos para gerenciar ativos Manual, Desabilitado 1.1.0
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desabilitado 1.1.0
Gerenciar um sistema de câmera de vigilância seguro CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0

Proteção e guarda de equipamentos

ID: ISO 27001:2013 A.11.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Utilitários de suporte

ID: ISO 27001:2013 A.11.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Usar iluminação de emergência automática CMA_0209 - Usar iluminação de emergência automática Manual, Desabilitado 1.1.0
Estabelecer requisitos para provedores de serviços de Internet CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0

Segurança de cabeamento

ID: ISO 27001:2013 A.11.2.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0

Manutenção de equipamentos

ID: ISO 27001:2013 A.11.2.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar atividades de manutenção remota CMA_C1402 - Automatizar atividades de manutenção remota Manual, Desabilitado 1.1.0
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0
Produzir registros completos das atividades de manutenção remota CMA_C1403 - Produzir registros completos das atividades de manutenção remota Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Fornecer suporte de manutenção dentro do prazo CMA_C1425 - Fornecer suporte de manutenção dentro do prazo Manual, Desabilitado 1.1.0

Remoção de ativos

ID: ISO 27001:2013 A.11.2.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Definir requisitos para gerenciar ativos CMA_0125 - Definir requisitos para gerenciar ativos Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0

Segurança de equipamentos e ativos fora das instalações

ID: ISO 27001:2013 A.11.2.6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir requisitos do dispositivo móvel CMA_0122 - Definir requisitos do dispositivo móvel Manual, Desabilitado 1.1.0
Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas CMA_C1183 - Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas Manual, Desabilitado 1.1.0
Estabelecer termos e condições para acessar recursos CMA_C1076 - Estabelecer termos e condições para acessar recursos Manual, Desabilitado 1.1.0
Estabelecer termos e condições para o processamento de recursos CMA_C1077 - Estabelecer termos e condições para o processamento de recursos Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0
Não permitir que os sistemas de informação acompanhem pessoas CMA_C1182 - Não permitir que os sistemas de informação acompanhem pessoas Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Verificar os controles de segurança para sistemas de informações externos CMA_0541 - Verificar controles de segurança para sistemas de informações externos Manual, Desabilitado 1.1.0

Descarte seguro ou reutilização de equipamentos

ID: ISO 27001:2013 A.11.2.7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Executar revisão de disposição CMA_0391 - Executar revisão de disposição Manual, Desabilitado 1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento Manual, Desabilitado 1.1.0

Equipamento de usuário autônomo

ID: ISO 27001:2013 A.11.2.8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Encerrar a sessão do usuário automaticamente CMA_C1054 – Encerrar a sessão do usuário automaticamente Manual, Desabilitado 1.1.0

Política de limpeza de mesa e tela

ID: ISO 27001:2013 A.11.2.9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0

Segurança de operações

Procedimentos operacionais documentados

ID: ISO 27001:2013 A.12.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Distribuir a documentação do sistema de informações CMA_C1584 - Distribuir a documentação do sistema de informações Manual, Desabilitado 1.1.0
Documentar ações definidas pelo cliente CMA_C1582 - Documentar ações definidas pelo cliente Manual, Desabilitado 1.1.0
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Obter documentação de administração CMA_C1580 - Obter documentação de administração Manual, Desabilitado 1.1.0
Obter documentação da função de segurança do usuário CMA_C1581 - Obter documentação da função de segurança do usuário Manual, Desabilitado 1.1.0
Proteger documentação do administrador e do usuário CMA_C1583 - Proteger documentação do administrador e do usuário Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0

Mudar a gestão

ID: ISO 27001:2013 A.12.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Resolver vulnerabilidades de codificação CMA_0003 - Resolver vulnerabilidades de codificação Manual, Desabilitado 1.1.0
Automatizar a solicitação de aprovação para alterações propostas CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas Manual, Desabilitado 1.1.0
Automatizar a implementação de notificações de alterações aprovadas CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas Manual, Desabilitado 1.1.0
Automatizar o processo para documentar as alterações implementadas CMA_C1195 - Automatizar o processo para documentar alterações implementadas Manual, Desabilitado 1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas Manual, Desabilitado 1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas Manual, Desabilitado 1.1.0
Automatizar as alterações documentadas propostas CMA_C1191 - Automatizar as alterações documentadas propostas Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer um programa de desenvolvimento de software seguro CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Instalar um sistema de alarme CMA_0338 - Instalar um sistema de alarme Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração Manual, Desabilitado 1.1.0

Gerenciamento de capacidade

ID: ISO 27001:2013 A.12.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar um planejamento de capacidade CMA_C1252 - Faça um planejamento da capacidade Manual, Desabilitado 1.1.0
Controlar e monitorar atividades de processamento de auditoria CMA_0289 – Controlar e monitorar atividades de processamento de auditoria Manual, Desabilitado 1.1.0

Separação de ambientes operacionais, de teste e de desenvolvimento

ID: ISO 27001:2013 A.12.1.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Garantir que não existam autenticadores estáticos sem criptografia CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Implementar controles para proteger informações de identificação pessoal CMA_C1839 - Implementar controles para proteger informações de identificação pessoal Manual, Desabilitado 1.1.0
Incorporar práticas de segurança e privacidade de dados no processamento de pesquisa CMA_0331 - Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Controles contra malware

ID: ISO 27001:2013 A.12.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Controlar as atividades de manutenção e reparo CMA_0080 - Controlar as atividades de manutenção e reparo Manual, Desabilitado 1.1.0
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Fornecer treinamento periódico sobre conscientização de segurança CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança para novos usuários CMA_0419 - Fornecer treinamento de segurança para novos usuários Manual, Desabilitado 1.1.0
Fornecer treinamento de conscientização de segurança atualizado CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado Manual, Desabilitado 1.1.0
Examinar o relatório de detecções de malware semanalmente CMA_0475 – Examinar o relatório de detecções de malware semanalmente Manual, Desabilitado 1.1.0
Examinar o status de proteção contra ameaças semanalmente CMA_0479 – Examinar o status de proteção contra ameaças semanalmente Manual, Desabilitado 1.1.0
Atualizar definições de antivírus CMA_0517 – Atualizar as definições de antivírus Manual, Desabilitado 1.1.0

Backup de informações

ID: ISO 27001:2013 A.12.3.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Realizar backup da documentação do sistema de informações CMA_C1289 - Realizar backup da documentação do sistema de informações Manual, Desabilitado 1.1.0
Criar sites de armazenamento alternativos e primários separados CMA_C1269 - Criar sites de armazenamento alternativos e primários separados Manual, Desabilitado 1.1.0
Garantir que houve falha no sistema de informações do estado conhecido CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido Manual, Desabilitado 1.1.0
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0
Estabelecer políticas e procedimentos de backup CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Implementar a recuperação com base na transação CMA_C1296 - Implementar a recuperação com base na transação Manual, Desabilitado 1.1.0
Executar revisão de disposição CMA_0391 - Executar revisão de disposição Manual, Desabilitado 1.1.0
Planejar a continuação de funções de negócios essenciais CMA_C1255 – Planejar a continuação de funções de negócios essenciais Manual, Desabilitado 1.1.0
Armazenar informações de backup separadamente CMA_C1293 - Armazenar informações de backup separadamente Manual, Desabilitado 1.1.0
Transferir informações de cópia de backup para um site de armazenamento alternativo CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo Manual, Desabilitado 1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento Manual, Desabilitado 1.1.0

Log de eventos

ID: ISO 27001:2013 A.12.4.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Alertar o pessoal sobre vazamento de informações CMA_0007 – Alertar o pessoal sobre vazamento de informações Manual, Desabilitado 1.1.0
Auditar configuração de diagnóstico para tipos de recursos selecionados Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. AuditIfNotExists 2.0.1
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
Autorizar, monitorar e controlar VoIP CMA_0025 – Autorizar, monitorar e controlar VoIP Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas Manual, Desabilitado 1.1.0
Realizar uma análise completa do texto de comandos privilegiados registrados CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados Manual, Desabilitado 1.1.0
Configurar as funcionalidades da Auditoria do Azure CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure Manual, Desabilitado 1.1.1
Correlacionar os registros de auditoria CMA_0087 – Correlacionar registros de auditoria Manual, Desabilitado 1.1.0
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Descobrir os indicadores de comprometimento CMA_C1702 – Descobrir os indicadores de comprometimento Manual, Desabilitado 1.1.0
Documentar a base jurídica para o processamento de informações pessoais CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais Manual, Desabilitado 1.1.0
Aplicar e auditar restrições de acesso CMA_C1203 - Aplicar e auditar restrições de acesso Manual, Desabilitado 1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria Manual, Desabilitado 1.1.0
Implementar métodos para solicitações de consumidor CMA_0319 - Implementar métodos para solicitações de consumidor Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Integrar revisão de auditoria, análise e relatórios CMA_0339 – Integrar revisão de auditoria, análise e relatórios Manual, Desabilitado 1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM Manual, Desabilitado 1.1.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Monitorar a atividade da conta CMA_0377 – Monitorar atividade da conta Manual, Desabilitado 1.1.0
Monitorar atribuição de função com privilégios CMA_0378 – Monitorar atribuição de função com privilégios Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Obter opinião jurídica para monitorar atividades do sistema CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Fornecer informações de monitoramento conforme o necessário CMA_C1689 – Fornecer informações de monitoramento conforme o necessário Manual, Desabilitado 1.1.0
Publicar procedimentos de acesso em SORNs CMA_C1848 - Publicar procedimentos de acesso em SORNs Manual, Desabilitado 1.1.0
Publicar regras e regulamentos que acessem os registros da Lei de Privacidade CMA_C1847 - Publicar regras e regulamentos que acessem os registros da Lei de Privacidade Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Reter procedimentos e políticas de segurança CMA_0454 – Reter procedimentos e políticas de segurança Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar atribuições de administrador semanalmente CMA_0461 – Revisar atribuições de administrador semanalmente Manual, Desabilitado 1.1.0
Revisar e atualizar os eventos definidos em AU-02 CMA_C1106 – Revisar e atualizar os eventos definidos em AU-02 Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
Analisar alterações em toda alteração não autorizada CMA_C1204 – Analisar alterações em toda alteração não autorizada Manual, Desabilitado 1.1.0
Revisar a visão geral do relatório de identidade na nuvem CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem Manual, Desabilitado 1.1.0
Revisar eventos de acesso controlado a pastas CMA_0471 – Revisar eventos de acesso controlado a pastas Manual, Desabilitado 1.1.0
Revisar a atividade de arquivo e pasta CMA_0473 – Revisar a atividade de arquivo e pasta Manual, Desabilitado 1.1.0
Revisar alterações de grupo de funções semanalmente CMA_0476 – Revisar alterações de grupo de funções semanalmente Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0
Usar o Privileged Identity Management CMA_0533 – Usar o Privileged Identity Management Manual, Desabilitado 1.1.0

Proteção das informações de log

ID: ISO 27001:2013 A.12.4.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Definir as tarefas dos processadores CMA_0127 – Definir as tarefas dos processadores Manual, Desabilitado 1.1.0
Habilitar a autorização dupla ou conjunta CMA_0226 – Habilitar a autorização dupla ou conjunta Manual, Desabilitado 1.1.0
Executar revisão de disposição CMA_0391 - Executar revisão de disposição Manual, Desabilitado 1.1.0
Proteger informações de auditoria CMA_0401 – Proteger informações de auditoria Manual, Desabilitado 1.1.0
Registrar divulgações de PII para terceiros CMA_0422 – Registrar divulgações de PII para terceiros Manual, Desabilitado 1.1.0
Treinar pessoal sobre o compartilhamento de PII e suas consequências CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências Manual, Desabilitado 1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento Manual, Desabilitado 1.1.0

Logs de administrador e operador

ID: ISO 27001:2013 A.12.4.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
Auditar configuração de diagnóstico para tipos de recursos selecionados Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. AuditIfNotExists 2.0.1
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
Autorizar, monitorar e controlar VoIP CMA_0025 – Autorizar, monitorar e controlar VoIP Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas Manual, Desabilitado 1.1.0
Realizar uma análise completa do texto de comandos privilegiados registrados CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados Manual, Desabilitado 1.1.0
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Habilitar a autorização dupla ou conjunta CMA_0226 – Habilitar a autorização dupla ou conjunta Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
Gerenciar gateways CMA_0363 – Gerenciar gateways Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Monitorar a atividade da conta CMA_0377 – Monitorar atividade da conta Manual, Desabilitado 1.1.0
Monitorar atribuição de função com privilégios CMA_0378 – Monitorar atribuição de função com privilégios Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Obter opinião jurídica para monitorar atividades do sistema CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema Manual, Desabilitado 1.1.0
Proteger informações de auditoria CMA_0401 – Proteger informações de auditoria Manual, Desabilitado 1.1.0
Fornecer informações de monitoramento conforme o necessário CMA_C1689 – Fornecer informações de monitoramento conforme o necessário Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada Manual, Desabilitado 1.1.0
Usar o Privileged Identity Management CMA_0533 – Usar o Privileged Identity Management Manual, Desabilitado 1.1.0

Sincronização de relógio

ID: ISO 27001:2013 A.12.4.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1 – versão prévia
Auditar configuração de diagnóstico para tipos de recursos selecionados Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico. AuditIfNotExists 2.0.1
A auditoria no SQL Server deve ser habilitada A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. AuditIfNotExists, desabilitado 2.0.0
Compilar registros de auditoria em auditoria de todo o sistema CMA_C1140 - Compilar registros de auditoria na Auditoria de todo o sistema Manual, Desabilitado 1.1.0
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado. AuditIfNotExists, desabilitado 2.0.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada. AuditIfNotExists, desabilitado 2.0.1
Usar relógios do sistema para registros de auditoria CMA_0535 – Usar relógios do sistema para registros de auditoria Manual, Desabilitado 1.1.0

Instalação do software de sistemas operacionais

ID: ISO 27001:2013 A.12.5.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar a solicitação de aprovação para alterações propostas CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas Manual, Desabilitado 1.1.0
Automatizar a implementação de notificações de alterações aprovadas CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas Manual, Desabilitado 1.1.0
Automatizar o processo para documentar as alterações implementadas CMA_C1195 - Automatizar o processo para documentar alterações implementadas Manual, Desabilitado 1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas Manual, Desabilitado 1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas Manual, Desabilitado 1.1.0
Automatizar as alterações documentadas propostas CMA_C1191 - Automatizar as alterações documentadas propostas Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Controlar a conformidade de provedores dos serviço de nuvem CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 – Exibir e configurar dados de diagnóstico do sistema Manual, Desabilitado 1.1.0

Gerenciamento de vulnerabilidades técnicas

ID: ISO 27001:2013 A.12.6.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você. AuditIfNotExists, desabilitado 3.0.0
Realizar a avaliação de risco CMA_C1543 – Realizar a avaliação de risco Manual, Desabilitado 1.1.0
Realizar a avaliação de risco e distribuir os resultados CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados Manual, Desabilitado 1.1.0
Realizar a avaliação de risco e documentar resultados CMA_C1542 – Realizar a avaliação de risco e documentar resultados Manual, Desabilitado 1.1.0
Incorporar a correção de falhas no gerenciamento de configuração CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Selecionar testes adicionais para avaliações de controle de segurança CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança Manual, Desabilitado 1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações AuditIfNotExists, desabilitado 3.1.0

Restrições de instalação de software

ID: ISO 27001:2013 A.12.6.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar a solicitação de aprovação para alterações propostas CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas Manual, Desabilitado 1.1.0
Automatizar a implementação de notificações de alterações aprovadas CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas Manual, Desabilitado 1.1.0
Automatizar o processo para documentar as alterações implementadas CMA_C1195 - Automatizar o processo para documentar alterações implementadas Manual, Desabilitado 1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas Manual, Desabilitado 1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas Manual, Desabilitado 1.1.0
Automatizar as alterações documentadas propostas CMA_C1191 - Automatizar as alterações documentadas propostas Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Controlar a conformidade de provedores dos serviço de nuvem CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exibir e configurar dados de diagnóstico do sistema CMA_0544 – Exibir e configurar dados de diagnóstico do sistema Manual, Desabilitado 1.1.0

Controles de auditoria de sistemas da informação

ID: ISO 27001:2013 A.12.7.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar uma equipe independente para teste de penetração CMA_C1171 – Empregar uma equipe independente para teste de penetração Manual, Desabilitado 1.1.0

Segurança de comunicações

Controles de rede

ID: ISO 27001:2013 A.13.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores. AuditIfNotExists, desabilitado 3.0.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Documentar e implementar diretrizes de acesso sem fio CMA_0190 – Documentar e implementar diretrizes de acesso sem fio Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Empregar proteção de limite para isolar sistemas da informação CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Estabelecer termos e condições para acessar recursos CMA_C1076 - Estabelecer termos e condições para acessar recursos Manual, Desabilitado 1.1.0
Estabelecer termos e condições para o processamento de recursos CMA_C1077 - Estabelecer termos e condições para o processamento de recursos Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Implementar a interface gerenciada para cada serviço externo CMA_C1626 – Implementar a interface gerenciada para cada serviço externo Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar usuários sobre logon ou acesso do sistema CMA_0382 – Notificar usuários sobre logon ou acesso do sistema Manual, Desabilitado 1.1.0
Impedir a divisão de túneis para dispositivos remotos CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos Manual, Desabilitado 1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Proteger acesso sem fio CMA_0411 – Proteger acesso sem fio Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0
Autenticar novamente ou encerrar uma sessão de usuário CMA_0421 – Autenticar novamente ou encerrar uma sessão de usuário Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0
Proteger a interface para sistemas externos CMA_0491 – Proteger a interface para sistemas externos Manual, Desabilitado 1.1.0
Separar funcionalidade de gerenciamento de usuário e sistema de informações CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações Manual, Desabilitado 1.1.0
As contas de armazenamento devem restringir o acesso da rede O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet Audit, Deny, desabilitado 1.1.1
Usar computadores dedicados para tarefas administrativas CMA_0527 – Usar computadores dedicados para tarefas administrativas Manual, Desabilitado 1.1.0
Verificar os controles de segurança para sistemas de informações externos CMA_0541 - Verificar controles de segurança para sistemas de informações externos Manual, Desabilitado 1.1.0

Segurança de serviços de rede

ID: ISO 27001:2013 A.13.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Estabelecer requisitos de certificado e assinatura eletrônica CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Impedir a divisão de túneis para dispositivos remotos CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Exigir contratos de segurança de interconexão CMA_C1151 – Exigir contratos de segurança de interconexão Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada Manual, Desabilitado 1.1.0
Proteger a interface para sistemas externos CMA_0491 – Proteger a interface para sistemas externos Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0
Atualizar contratos de segurança de interconexão CMA_0519 – Atualizar contratos de segurança de interconexão Manual, Desabilitado 1.1.0

Diferenciação de redes

ID: ISO 27001:2013 A.13.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Empregar proteção de limite para isolar sistemas da informação CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Implementar a interface gerenciada para cada serviço externo CMA_C1626 – Implementar a interface gerenciada para cada serviço externo Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Controle de fluxo de informações usando filtros de política de segurança CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança Manual, Desabilitado 1.1.0
Impedir a divisão de túneis para dispositivos remotos CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0
Proteger a interface para sistemas externos CMA_0491 – Proteger a interface para sistemas externos Manual, Desabilitado 1.1.0
Separar funcionalidade de gerenciamento de usuário e sistema de informações CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações Manual, Desabilitado 1.1.0
Usar computadores dedicados para tarefas administrativas CMA_0527 – Usar computadores dedicados para tarefas administrativas Manual, Desabilitado 1.1.0

Políticas e procedimentos de transferência de informações

ID: ISO 27001:2013 A.13.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Definir requisitos do dispositivo móvel CMA_0122 - Definir requisitos do dispositivo móvel Manual, Desabilitado 1.1.0
Documentar e implementar diretrizes de acesso sem fio CMA_0190 – Documentar e implementar diretrizes de acesso sem fio Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Estabelecer termos e condições para acessar recursos CMA_C1076 - Estabelecer termos e condições para acessar recursos Manual, Desabilitado 1.1.0
Estabelecer termos e condições para o processamento de recursos CMA_C1077 - Estabelecer termos e condições para o processamento de recursos Manual, Desabilitado 1.1.0
Notificação explícita do uso de dispositivos de computação colaborativa CMA_C1649 – Notificação explícita do uso de dispositivos de computação colaborativa Manual, Desabilitado 1.1.1
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Implementar a interface gerenciada para cada serviço externo CMA_C1626 – Implementar a interface gerenciada para cada serviço externo Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Controle de fluxo de informações usando filtros de política de segurança CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança Manual, Desabilitado 1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão Audit, Deny, desabilitado 1.0.0
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desabilitado 1.1.0
Proibir a ativação remota de dispositivos de computação colaborativa CMA_C1648 – Proibir a ativação remota de dispositivos de computação colaborativa Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Proteger acesso sem fio CMA_0411 – Proteger acesso sem fio Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0
Exigir contratos de segurança de interconexão CMA_C1151 – Exigir contratos de segurança de interconexão Manual, Desabilitado 1.1.0
Proteger a interface para sistemas externos CMA_0491 – Proteger a interface para sistemas externos Manual, Desabilitado 1.1.0
A transferência segura para contas de armazenamento deve ser habilitada Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão Audit, Deny, desabilitado 2.0.0
Atualizar contratos de segurança de interconexão CMA_0519 – Atualizar contratos de segurança de interconexão Manual, Desabilitado 1.1.0
Verificar os controles de segurança para sistemas de informações externos CMA_0541 - Verificar controles de segurança para sistemas de informações externos Manual, Desabilitado 1.1.0

Contratos de transferência de informações

ID: ISO 27001:2013 A.13.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Identificar provedores de serviços externos CMA_C1591 – Identificar provedores de serviços externos Manual, Desabilitado 1.1.0
Implementar métodos de entrega de aviso de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Exigir contratos de segurança de interconexão CMA_C1151 – Exigir contratos de segurança de interconexão Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0
Atualizar contratos de segurança de interconexão CMA_0519 – Atualizar contratos de segurança de interconexão Manual, Desabilitado 1.1.0

Mensagens eletrônicas

ID: ISO 27001:2013 A.13.2.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0

Confidencialidade ou contratos de confidencialidade

ID: ISO 27001:2013 A.13.2.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Desenvolver política de código da organização CMA_0159 – Desenvolver política de código de conduta da organização Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
Documentar contratos de acesso organizacional CMA_0192 – Documentar contratos de acesso organizacional Manual, Desabilitado 1.1.0
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo Manual, Desabilitado 1.1.0
Proibir práticas injustas CMA_0396 – Proibir práticas injustas Manual, Desabilitado 1.1.0
Exigir que os usuários assinem o contrato de acesso CMA_0440 – Exigir que os usuários assinem o contrato de acesso Manual, Desabilitado 1.1.0
Revisar e assinar regras de comportamento revisadas CMA_0465 – Revisar e assinar regras de comportamento revisadas Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0
Atualizar contratos de acesso organizacional CMA_0520 – Atualizar contratos de acesso organizacional Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso CMA_0521 – Atualizar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso a cada três anos CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos Manual, Desabilitado 1.1.0

Aquisição, Desenvolvimento e Manutenção do Sistema

Especificação e análise de requisitos de segurança da informação

ID: ISO 27001:2013 A.14.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir responsabilidades e funções de segurança da informação CMA_C1565 – Definir funções e responsabilidades de segurança da informação Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Desenvolver um conceito de operações (CONOPS) CMA_0141 – Desenvolver um conceito de operações (CONOPS) Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Desenvolver um SSP que atenda aos critérios CMA_C1492 – Desenvolver um SSP que atenda aos critérios Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Identificar provedores de serviços externos CMA_C1591 – Identificar provedores de serviços externos Manual, Desabilitado 1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança Manual, Desabilitado 1.1.1
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Integrar o processo de gerenciamento de riscos ao SDLC CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC Manual, Desabilitado 1.1.0
Revisar e atualizar a arquitetura de segurança da informação CMA_C1504 – Revisar e atualizar a arquitetura de segurança da informação Manual, Desabilitado 1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento Manual, Desabilitado 1.1.0

Protegendo serviços de aplicativo em redes públicas

ID: ISO 27001:2013 A.14.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Impor exclusividade do usuário CMA_0250 – Impor exclusividade do usuário Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Identificar e autenticar usuários não organizacionais CMA_C1346 – Identificar e autenticar usuários não organizacionais Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Controle de fluxo de informações usando filtros de política de segurança CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar usuários sobre logon ou acesso do sistema CMA_0382 – Notificar usuários sobre logon ou acesso do sistema Manual, Desabilitado 1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0

Protegendo transações de serviços de aplicativo

ID: ISO 27001:2013 A.14.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0
Empregar proteção de limite para isolar sistemas da informação CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação Manual, Desabilitado 1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Impor exclusividade do usuário CMA_0250 – Impor exclusividade do usuário Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e autenticar usuários não organizacionais CMA_C1346 – Identificar e autenticar usuários não organizacionais Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Implementar a proteção de limites do sistema CMA_0328 – Implementar a proteção de limites do sistema Manual, Desabilitado 1.1.0
Controle de fluxo de informações usando filtros de política de segurança CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança Manual, Desabilitado 1.1.0
Impedir a divisão de túneis para dispositivos remotos CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos Manual, Desabilitado 1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0
Proteger a interface para sistemas externos CMA_0491 – Proteger a interface para sistemas externos Manual, Desabilitado 1.1.0
Separar funcionalidade de gerenciamento de usuário e sistema de informações CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações Manual, Desabilitado 1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0
Usar computadores dedicados para tarefas administrativas CMA_0527 – Usar computadores dedicados para tarefas administrativas Manual, Desabilitado 1.1.0

Política de desenvolvimento seguro

ID: ISO 27001:2013 A.14.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir responsabilidades e funções de segurança da informação CMA_C1565 – Definir funções e responsabilidades de segurança da informação Manual, Desabilitado 1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança Manual, Desabilitado 1.1.1
Integrar o processo de gerenciamento de riscos ao SDLC CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores criem uma arquitetura de segurança CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança Manual, Desabilitado 1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento Manual, Desabilitado 1.1.0

Procedimentos de controle de alterações do sistema

ID: ISO 27001:2013 A.14.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Resolver vulnerabilidades de codificação CMA_0003 - Resolver vulnerabilidades de codificação Manual, Desabilitado 1.1.0
Automatizar a solicitação de aprovação para alterações propostas CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas Manual, Desabilitado 1.1.0
Automatizar a implementação de notificações de alterações aprovadas CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas Manual, Desabilitado 1.1.0
Automatizar o processo para documentar as alterações implementadas CMA_C1195 - Automatizar o processo para documentar alterações implementadas Manual, Desabilitado 1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas Manual, Desabilitado 1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas Manual, Desabilitado 1.1.0
Automatizar as alterações documentadas propostas CMA_C1191 - Automatizar as alterações documentadas propostas Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer um programa de desenvolvimento de software seguro CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Incorporar a correção de falhas no gerenciamento de configuração CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração Manual, Desabilitado 1.1.0

Revisão técnica dos aplicativos após alterações na plataforma operacional

ID: ISO 27001:2013 A.14.2.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Automatizar a solicitação de aprovação para alterações propostas CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas Manual, Desabilitado 1.1.0
Automatizar a implementação de notificações de alterações aprovadas CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas Manual, Desabilitado 1.1.0
Automatizar o processo para documentar as alterações implementadas CMA_C1195 - Automatizar o processo para documentar alterações implementadas Manual, Desabilitado 1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas Manual, Desabilitado 1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas Manual, Desabilitado 1.1.0
Automatizar as alterações documentadas propostas CMA_C1191 - Automatizar as alterações documentadas propostas Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Incorporar a correção de falhas no gerenciamento de configuração CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Restrições em alterações nos pacotes de software

ID: ISO 27001:2013 A.14.2.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Resolver vulnerabilidades de codificação CMA_0003 - Resolver vulnerabilidades de codificação Manual, Desabilitado 1.1.0
Automatizar a solicitação de aprovação para alterações propostas CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas Manual, Desabilitado 1.1.0
Automatizar a implementação de notificações de alterações aprovadas CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas Manual, Desabilitado 1.1.0
Automatizar o processo para documentar as alterações implementadas CMA_C1195 - Automatizar o processo para documentar alterações implementadas Manual, Desabilitado 1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas Manual, Desabilitado 1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas Manual, Desabilitado 1.1.0
Automatizar as alterações documentadas propostas CMA_C1191 - Automatizar as alterações documentadas propostas Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos Manual, Desabilitado 1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Impor definições de configuração de segurança CMA_0249 – Impor definições de configuração de segurança Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer um programa de desenvolvimento de software seguro CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar uma avaliação de risco CMA_0388 - Executar uma avaliação de risco Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração Manual, Desabilitado 1.1.0

Princípios de engenharia de sistema seguros

ID: ISO 27001:2013 A.14.2.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Executar validação de entrada de informações CMA_C1723 – Executar validação de entrada de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores criem uma arquitetura de segurança CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança Manual, Desabilitado 1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento Manual, Desabilitado 1.1.0

Proteja o ambiente de desenvolvimento

ID: ISO 27001:2013 A.14.2.6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Definir funções e responsabilidades de segurança da informação CMA_C1565 – Definir funções e responsabilidades de segurança da informação Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança Manual, Desabilitado 1.1.1
Integrar o processo de gerenciamento de riscos ao SDLC CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0

Desenvolvimento terceirizado

ID: ISO 27001:2013 A.14.2.7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Resolver vulnerabilidades de codificação CMA_0003 - Resolver vulnerabilidades de codificação Manual, Desabilitado 1.1.0
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Definir requisitos para o fornecimento de bens e serviços CMA_0126 – Definir requisitos para o fornecimento de bens e serviços Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Estabelecer um programa de desenvolvimento de software seguro CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança Manual, Desabilitado 1.1.0

Teste de segurança do sistema

ID: ISO 27001:2013 A.14.2.8 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar controles de segurança CMA_C1145 – Avaliar controles de segurança Manual, Desabilitado 1.1.0
Fornecer resultados da avaliação de segurança CMA_C1147 – Fornecer resultados da avaliação de segurança Manual, Desabilitado 1.1.0
Desenvolver plano de avaliação de segurança CMA_C1144 – Desenvolver plano de avaliação de segurança Manual, Desabilitado 1.1.0
Garantir que não existam autenticadores estáticos sem criptografia CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Produzir relatórios de avaliação de segurança CMA_C1146 – Produzir relatórios de avaliação de segurança Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança Manual, Desabilitado 1.1.0

Teste de aceitação do sistema

ID: ISO 27001:2013 A.14.2.9 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir um funcionário de autorização (AO) CMA_C1158 – Atribuir um funcionário de autorização (AO) Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Garantir que os recursos sejam autorizados CMA_C1159 – Garantir que os recursos sejam autorizados Manual, Desabilitado 1.1.0
Garantir que não existam autenticadores estáticos sem criptografia CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia Manual, Desabilitado 1.1.0

Proteção dos dados de teste

ID: ISO 27001:2013 A.14.3.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Realizar uma análise de impacto de segurança CMA_0057 - Realizar uma análise de impacto de segurança Manual, Desabilitado 1.1.0
Garantir que não existam autenticadores estáticos sem criptografia CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar uma avaliação de impacto de privacidade CMA_0387 - Executar uma avaliação de impacto de privacidade Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Executar revisão de disposição CMA_0391 - Executar revisão de disposição Manual, Desabilitado 1.1.0
Executar verificações de vulnerabilidade CMA_0393 – Executar verificações de vulnerabilidade Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento Manual, Desabilitado 1.1.0

Relações com Fornecedores

Política de segurança de informações para relações com fornecedores

ID: ISO 27001:2013 A.15.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Definir requisitos para o fornecimento de bens e serviços CMA_0126 – Definir requisitos para o fornecimento de bens e serviços Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0

Abordagem da segurança no contrato do fornecedor

ID: ISO 27001:2013 A.15.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas Manual, Desabilitado 1.1.0
Definir requisitos para o fornecimento de bens e serviços CMA_0126 – Definir requisitos para o fornecimento de bens e serviços Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Desenvolver política de código da organização CMA_0159 – Desenvolver política de código de conduta da organização Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos Manual, Desabilitado 1.1.0
Identificar provedores de serviços externos CMA_C1591 – Identificar provedores de serviços externos Manual, Desabilitado 1.1.0
Proibir práticas injustas CMA_0396 – Proibir práticas injustas Manual, Desabilitado 1.1.0
Revisar e assinar regras de comportamento revisadas CMA_0465 – Revisar e assinar regras de comportamento revisadas Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso CMA_0521 – Atualizar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Atualizar regras de comportamento e contratos de acesso a cada três anos CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos Manual, Desabilitado 1.1.0

Cadeia de fornecedores de tecnologia da informação e comunicação

ID: ISO 27001:2013 A.15.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar o risco em relacionamentos de terceiros CMA_0014 – Avaliar o risco em relacionamentos de terceiros Manual, Desabilitado 1.1.0
Definir requisitos para o fornecimento de bens e serviços CMA_0126 – Definir requisitos para o fornecimento de bens e serviços Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos Manual, Desabilitado 1.1.0

Monitoramento e revisão dos serviços de fornecedores

ID: ISO 27001:2013 A.15.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0

Gerenciando alterações nos serviços de fornecedores

ID: ISO 27001:2013 A.15.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0

Gerenciamento de Incidentes de Segurança de Informação

Responsabilidades e procedimentos

ID: ISO 27001:2013 A.16.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Manter registros de violação de dados CMA_0351 – Manter registros de violação de dados Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
Proteger o plano de resposta a incidentes CMA_0405 – Proteger o plano de resposta a incidentes Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0

Relatório de eventos de segurança de informações

ID: ISO 27001:2013 A.16.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Correlacionar os registros de auditoria CMA_0087 – Correlacionar registros de auditoria Manual, Desabilitado 1.1.0
Documentar operações de segurança CMA_0202 – Documentar operações de segurança Manual, Desabilitado 1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Integrar revisão de auditoria, análise e relatórios CMA_0339 – Integrar revisão de auditoria, análise e relatórios Manual, Desabilitado 1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM Manual, Desabilitado 1.1.0
Informar comportamento atípico nas contas de usuário CMA_C1025 - Informar comportamento atípico nas contas de usuário Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar atribuições de administrador semanalmente CMA_0461 – Revisar atribuições de administrador semanalmente Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
Revisar a visão geral do relatório de identidade na nuvem CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem Manual, Desabilitado 1.1.0
Revisar eventos de acesso controlado a pastas CMA_0471 – Revisar eventos de acesso controlado a pastas Manual, Desabilitado 1.1.0
Revisar a atividade de arquivo e pasta CMA_0473 – Revisar a atividade de arquivo e pasta Manual, Desabilitado 1.1.0
Revisar alterações de grupo de funções semanalmente CMA_0476 – Revisar alterações de grupo de funções semanalmente Manual, Desabilitado 1.1.0

Informando falhas na segurança das informações

ID: ISO 27001:2013 A.16.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar operações de segurança CMA_0202 – Documentar operações de segurança Manual, Desabilitado 1.1.0
Incorporar a correção de falhas no gerenciamento de configuração CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração Manual, Desabilitado 1.1.0
Corrigir falhas do sistema de informações CMA_0427 – Corrigir falhas do sistema de informações Manual, Desabilitado 1.1.0
Informar comportamento atípico nas contas de usuário CMA_C1025 - Informar comportamento atípico nas contas de usuário Manual, Desabilitado 1.1.0

Avaliação e decisão sobre eventos de segurança da informação

ID: ISO 27001:2013 A.16.1.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Correlacionar registros de auditoria CMA_0087 – Correlacionar registros de auditoria Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Integrar revisão de auditoria, análise e relatórios CMA_0339 – Integrar revisão de auditoria, análise e relatórios Manual, Desabilitado 1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Informar comportamento atípico nas contas de usuário CMA_C1025 - Informar comportamento atípico nas contas de usuário Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar atribuições de administrador semanalmente CMA_0461 – Revisar atribuições de administrador semanalmente Manual, Desabilitado 1.1.0
Examinar dados de auditoria CMA_0466 – Examinar dados de auditoria Manual, Desabilitado 1.1.0
Revisar a visão geral do relatório de identidade na nuvem CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem Manual, Desabilitado 1.1.0
Revisar eventos de acesso controlado a pastas CMA_0471 – Revisar eventos de acesso controlado a pastas Manual, Desabilitado 1.1.0
Revisar a atividade de arquivo e pasta CMA_0473 – Revisar a atividade de arquivo e pasta Manual, Desabilitado 1.1.0
Revisar alterações de grupo de funções semanalmente CMA_0476 – Revisar alterações de grupo de funções semanalmente Manual, Desabilitado 1.1.0
Exibir e investigar usuários restritos CMA_0545 – Exibir e investigar usuários restritos Manual, Desabilitado 1.1.0

Resposta a incidentes de segurança de informações

ID: ISO 27001:2013 A.16.1.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Informar comportamento atípico nas contas de usuário CMA_C1025 - Informar comportamento atípico nas contas de usuário Manual, Desabilitado 1.1.0
Exibir e investigar usuários restritos CMA_0545 – Exibir e investigar usuários restritos Manual, Desabilitado 1.1.0

Aprendizagem com incidentes de segurança da informação

ID: ISO 27001:2013 A.16.1.6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar eventos de segurança da informação CMA_0013 – Avaliar eventos de segurança da informação Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Desenvolver um plano de resposta a incidentes CMA_0145 – Desenvolver um plano de resposta a incidentes Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
Descobrir os indicadores de comprometimento CMA_C1702 – Descobrir os indicadores de comprometimento Manual, Desabilitado 1.1.0
Habilitar a proteção de rede CMA_0238 – Habilitar a proteção de rede Manual, Desabilitado 1.1.0
Erradicar informações contaminadas CMA_0253 – Erradicar informações contaminadas Manual, Desabilitado 1.1.0
Executar ações em resposta a despejos de informações CMA_0281 – Executar ações em resposta a despejos de informações Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Manter plano de resposta a incidentes CMA_0352 – Manter plano de resposta a incidentes Manual, Desabilitado 1.1.0
Executar uma análise de tendências de ameaças CMA_0389 – Executar uma análise de tendências de ameaças Manual, Desabilitado 1.1.0
Informar comportamento atípico nas contas de usuário CMA_C1025 - Informar comportamento atípico nas contas de usuário Manual, Desabilitado 1.1.0
Exibir e investigar usuários restritos CMA_0545 – Exibir e investigar usuários restritos Manual, Desabilitado 1.1.0

Coleção de evidências

ID: ISO 27001:2013 A.16.1.7 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Obedecer os períodos de retenção definidos CMA_0004 – Obedecer os períodos de retenção definidos Manual, Desabilitado 1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas Manual, Desabilitado 1.1.0
Determinar eventos auditáveis CMA_0137 – Determinar eventos auditáveis Manual, Desabilitado 1.1.0
Implementar tratamento de incidentes CMA_0318 – Implementar tratamento de incidentes Manual, Desabilitado 1.1.0
Informar comportamento atípico nas contas de usuário CMA_C1025 - Informar comportamento atípico nas contas de usuário Manual, Desabilitado 1.1.0
Reter procedimentos e políticas de segurança CMA_0454 – Reter procedimentos e políticas de segurança Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0

Aspectos de Segurança da Informação da Gestão de Continuidade de Negócios

Planejamento da continuidade de segurança das informações

ID: ISO 27001:2013 A.17.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Comunicar alterações no plano de contingência CMA_C1249 - Comunicar alterações no plano de contingência Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres Manual, Desabilitado 1.1.0
Desenvolver plano de contingência CMA_C1244 – Desenvolver plano de contingência Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências Manual, Desabilitado 1.1.0
Distribuir procedimentos e políticas CMA_0185 - Distribuir procedimentos e políticas Manual, Desabilitado 1.1.0
Planejar a retomada das funções essenciais do negócio CMA_C1253 – Planejar a retomada das funções essenciais do negócio Manual, Desabilitado 1.1.0
Retomar todas as funções da missão e do negócio CMA_C1254 - Retomar todas as funções da missão e do negócio Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar o plano de contingência CMA_C1247 – Revisar o plano de contingência Manual, Desabilitado 1.1.0
Atualizar o plano de contingência CMA_C1248 – Atualizar o plano de contingência Manual, Desabilitado 1.1.0

Implementando a continuidade da segurança das informações

ID: ISO 27001:2013 A.17.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Comunicar alterações no plano de contingência CMA_C1249 - Comunicar alterações no plano de contingência Manual, Desabilitado 1.1.0
Realizar backup da documentação do sistema de informações CMA_C1289 - Realizar backup da documentação do sistema de informações Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Criar sites de armazenamento alternativos e primários separados CMA_C1269 - Criar sites de armazenamento alternativos e primários separados Manual, Desabilitado 1.1.0
Desenvolver plano de contingência CMA_C1244 – Desenvolver plano de contingência Manual, Desabilitado 1.1.0
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário Manual, Desabilitado 1.1.0
Garantir que houve falha no sistema de informações do estado conhecido CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido Manual, Desabilitado 1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup Manual, Desabilitado 1.1.0
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0
Estabelecer políticas e procedimentos de backup CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desabilitado 1.1.0
Estabelecer requisitos para provedores de serviços de Internet CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet Manual, Desabilitado 1.1.0
Identificar e reduzir possíveis problemas no site de armazenamento alternativo CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Implementar a recuperação com base na transação CMA_C1296 - Implementar a recuperação com base na transação Manual, Desabilitado 1.1.0
Planejar a continuação de funções de negócios essenciais CMA_C1255 – Planejar a continuação de funções de negócios essenciais Manual, Desabilitado 1.1.0
Planejar a retomada das funções essenciais do negócio CMA_C1253 – Planejar a retomada das funções essenciais do negócio Manual, Desabilitado 1.1.0
Recuperar e reconstituir recursos após qualquer interrupção CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção Manual, Desabilitado 1.1.1
Retomar todas as funções da missão e do negócio CMA_C1254 - Retomar todas as funções da missão e do negócio Manual, Desabilitado 1.1.0

Verificar, revisar e avaliar a continuidade da segurança das informações

ID: ISO 27001:2013 A.17.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Iniciar o plano de contingência testando ações corretivas CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência Manual, Desabilitado 1.1.0
Revisar os resultados do teste do plano de contingência CMA_C1262 - Revisar os resultados do teste do plano de contingência Manual, Desabilitado 1.1.0
Testar o plano de continuidade dos negócios e recuperação de desastres CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres Manual, Desabilitado 1.1.0

Disponibilidade de instalações de processamento de informações

ID: ISO 27001:2013 A.17.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Comunicar alterações no plano de contingência CMA_C1249 - Comunicar alterações no plano de contingência Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Criar sites de armazenamento alternativos e primários separados CMA_C1269 - Criar sites de armazenamento alternativos e primários separados Manual, Desabilitado 1.1.0
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres Manual, Desabilitado 1.1.0
Desenvolver plano de contingência CMA_C1244 – Desenvolver plano de contingência Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências Manual, Desabilitado 1.1.0
Distribuir procedimentos e políticas CMA_0185 - Distribuir procedimentos e políticas Manual, Desabilitado 1.1.0
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário Manual, Desabilitado 1.1.0
Garantir que houve falha no sistema de informações do estado conhecido CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido Manual, Desabilitado 1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup Manual, Desabilitado 1.1.0
Estabelecer um site de processamento alternativo CMA_0262 - Estabelecer um local de processamento alternativo Manual, Desabilitado 1.1.0
Identificar e reduzir possíveis problemas no site de armazenamento alternativo CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo Manual, Desabilitado 1.1.0
Planejar a continuação de funções de negócios essenciais CMA_C1255 – Planejar a continuação de funções de negócios essenciais Manual, Desabilitado 1.1.0
Planejar a retomada das funções essenciais do negócio CMA_C1253 – Planejar a retomada das funções essenciais do negócio Manual, Desabilitado 1.1.0
Retomar todas as funções da missão e do negócio CMA_C1254 - Retomar todas as funções da missão e do negócio Manual, Desabilitado 1.1.0
Revisar o plano de contingência CMA_C1247 – Revisar o plano de contingência Manual, Desabilitado 1.1.0
Atualizar o plano de contingência CMA_C1248 – Atualizar o plano de contingência Manual, Desabilitado 1.1.0

Conformidade

Identificação de requisitos contratuais e legislação aplicável

ID: ISO 27001:2013 A.18.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Proteger o plano de programa de segurança da informação CMA_C1732 – Proteger o plano do programa de segurança da informação Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade Manual, Desabilitado 1.1.0

Direitos de propriedade intelectual

ID: ISO 27001:2013 A.18.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Exigir conformidade com direitos de propriedade intelectual CMA_0432 – Exigir conformidade com os direitos de propriedade intelectual Manual, Desabilitado 1.1.0
Acompanhar o uso de licenças de software CMA_C1235 – Acompanhar o uso de licenças de software Manual, Desabilitado 1.1.0

Proteção de registros

ID: ISO 27001:2013 A.18.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Realizar backup da documentação do sistema de informações CMA_C1289 - Realizar backup da documentação do sistema de informações Manual, Desabilitado 1.1.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Habilitar a autorização dupla ou conjunta CMA_0226 – Habilitar a autorização dupla ou conjunta Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Garantir que houve falha no sistema de informações do estado conhecido CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido Manual, Desabilitado 1.1.0
Estabelecer políticas e procedimentos de backup CMA_0268 - Estabelecer políticas e procedimentos de backup Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Implementar a recuperação com base na transação CMA_C1296 - Implementar a recuperação com base na transação Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Proteger informações de auditoria CMA_0401 – Proteger informações de auditoria Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Privacidade e proteção de informações de identificação pessoal

ID: ISO 27001:2013 A.18.1.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Gerenciar atividades de conformidade CMA_0358 – Gerenciar atividades de conformidade Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Regulamentação dos controles criptográficos

ID: ISO 27001:2013 A.18.1.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autenticar-se no módulo de criptografia CMA_0021 – Autenticar-se no módulo de criptografia Manual, Desabilitado 1.1.0
Definir o uso de criptografia CMA_0120 – Definir o uso de criptografia Manual, Desabilitado 1.1.0

Revisão independente da segurança de informações

ID: ISO 27001:2013 A.18.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar uma equipe independente para teste de penetração CMA_C1171 – Empregar uma equipe independente para teste de penetração Manual, Desabilitado 1.1.0
Estabelecer uma estratégia de gerenciamento de riscos CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos Manual, Desabilitado 1.1.0

Conformidade com os padrões e políticas de segurança

ID: ISO 27001:2013 A.18.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar controles de segurança CMA_C1145 – Avaliar controles de segurança Manual, Desabilitado 1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas Manual, Desabilitado 1.1.0
Configurar lista de permissões de detecção CMA_0068 – Configurar lista de permissões de detecção Manual, Desabilitado 1.1.0
Fornecer resultados da avaliação de segurança CMA_C1147 – Fornecer resultados da avaliação de segurança Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Desenvolver plano de avaliação de segurança CMA_C1144 – Desenvolver plano de avaliação de segurança Manual, Desabilitado 1.1.0
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Produzir relatórios de avaliação de segurança CMA_C1146 – Produzir relatórios de avaliação de segurança Manual, Desabilitado 1.1.0
Proteger o plano de programa de segurança da informação CMA_C1732 – Proteger o plano do programa de segurança da informação Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança Manual, Desabilitado 1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade Manual, Desabilitado 1.1.0

Análise de conformidade técnica

ID: ISO 27001:2013 A.18.2.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Avaliar controles de segurança CMA_C1145 – Avaliar controles de segurança Manual, Desabilitado 1.1.0
Fornecer resultados da avaliação de segurança CMA_C1147 – Fornecer resultados da avaliação de segurança Manual, Desabilitado 1.1.0
Desenvolver plano de avaliação de segurança CMA_C1144 – Desenvolver plano de avaliação de segurança Manual, Desabilitado 1.1.0
Empregar uma equipe independente para teste de penetração CMA_C1171 – Empregar uma equipe independente para teste de penetração Manual, Desabilitado 1.1.0
Produzir relatórios de avaliação de segurança CMA_C1146 – Produzir relatórios de avaliação de segurança Manual, Desabilitado 1.1.0

Políticas de Segurança da Informação

Políticas para segurança de informações

ID: ISO 27001:2013 A.5.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Estabelecer requisitos de privacidade para prestadores e provedores de serviço CMA_C1810 – Estabelecer requisitos de privacidade para prestadores e provedores de serviço Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Gerenciar atividades de conformidade CMA_0358 – Gerenciar atividades de conformidade Manual, Desabilitado 1.1.0
Proteger o plano de programa de segurança da informação CMA_C1732 – Proteger o plano do programa de segurança da informação Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade Manual, Desabilitado 1.1.0

Revisão das políticas de segurança da informação

ID: ISO 27001:2013 A.5.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Proteger o plano de programa de segurança da informação CMA_C1732 – Proteger o plano do programa de segurança da informação Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade Manual, Desabilitado 1.1.0

Organização da segurança das informações

Responsabilidades e funções de segurança das informações

ID: ISO 27001:2013 A.6.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Nomear um responsável pela segurança da informação sênior CMA_C1733 – Nomear um responsável pela segurança da informação sênior Manual, Desabilitado 1.1.0
Comunicar alterações no plano de contingência CMA_C1249 - Comunicar alterações no plano de contingência Manual, Desabilitado 1.1.0
Coordenar os planos de contingência com os planos relacionados CMA_0086 - Coordenar os planos de contingência com os planos relacionados Manual, Desabilitado 1.1.0
Criar proteção para o plano de configurações CMA_C1233 – Criar proteção para o plano de configurações Manual, Desabilitado 1.1.0
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Definir funções e responsabilidades de segurança da informação CMA_C1565 – Definir funções e responsabilidades de segurança da informação Manual, Desabilitado 1.1.0
Designar os indivíduos para cumprir funções e responsabilidades específicas CMA_C1747 - Designar indivíduos para cumprir funções e responsabilidades específicas Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres Manual, Desabilitado 1.1.0
Desenvolver e estabelecer um plano de segurança do sistema CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema Manual, Desabilitado 1.1.0
Desenvolver e manter configurações de linha de base CMA_0153 – Desenvolver e manter configurações de linha de base Manual, Desabilitado 1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade Manual, Desabilitado 1.1.0
Desenvolver um plano de identificação do item de configuração CMA_C1231 – Desenvolver um plano de identificação do item de configuração Manual, Desabilitado 1.1.0
Desenvolver um plano de gerenciamento de configuração CMA_C1232 – Desenvolver um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Desenvolver plano de contingência CMA_C1244 – Desenvolver plano de contingência Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de segurança de informações CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações Manual, Desabilitado 1.1.0
Distribuir procedimentos e políticas CMA_0185 - Distribuir procedimentos e políticas Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar e implementar procedimentos de reclamação de privacidade CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Documentar requisitos de segurança de pessoal terceirizado CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança Manual, Desabilitado 1.1.1
Implementar uma ferramenta de gerenciamento de configuração automatizada CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada Manual, Desabilitado 1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Integrar o processo de gerenciamento de riscos ao SDLC CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC Manual, Desabilitado 1.1.0
Gerenciar o estado de segurança dos sistemas de informações CMA_C1746 - Gerenciar estado de segurança de sistemas de informações Manual, Desabilitado 1.1.0
Monitorar a conformidade do provedor de terceiros CMA_C1533 – Monitorar a conformidade do provedor de terceiros Manual, Desabilitado 1.1.0
Planejar a retomada das funções essenciais do negócio CMA_C1253 – Planejar a retomada das funções essenciais do negócio Manual, Desabilitado 1.1.0
Proteger o plano de programa de segurança da informação CMA_C1732 – Proteger o plano do programa de segurança da informação Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Exigir notificação da transferência ou rescisão de pessoal terceirizado CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado Manual, Desabilitado 1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Retomar todas as funções da missão e do negócio CMA_C1254 - Retomar todas as funções da missão e do negócio Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de planejamento CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços Manual, Desabilitado 1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Revisar o plano de contingência CMA_C1247 – Revisar o plano de contingência Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0
Atualizar o plano de contingência CMA_C1248 – Atualizar o plano de contingência Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade Manual, Desabilitado 1.1.0

Diferenciação de tarefas

ID: ISO 27001:2013 A.6.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido. AuditIfNotExists, desabilitado 3.0.0
Definir autorizações de acesso para dar suporte à separação de tarefas CMA_0116 – Definir autorizações de acesso para dar suporte à separação de tarefas Manual, Desabilitado 1.1.0
Documentar separação de tarefas CMA_0204 – Documentar separação de tarefas Manual, Desabilitado 1.1.0
Separar tarefas de indivíduos CMA_0492 – Separar tarefas de indivíduos Manual, Desabilitado 1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. AuditIfNotExists, desabilitado 3.0.0

Contato com as autoridades

ID: ISO 27001:2013 A.6.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Gerenciar contatos para autoridades e grupos de interesse especiais CMA_0359 – Gerenciar contatos para autoridades e grupos de interesses especiais Manual, Desabilitado 1.1.0

Contato com grupos de interesse especial

ID: ISO 27001:2013 A.6.1.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Divulgar alertas de segurança para o pessoal CMA_C1705 – Divulgar alertas de segurança para o pessoal Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Estabelecer um programa de inteligência contra ameaças CMA_0260 – Estabelecer um programa de inteligência contra ameaças Manual, Desabilitado 1.1.0
Gerar alertas de segurança internos CMA_C1704 – Gerar alertas de segurança internos Manual, Desabilitado 1.1.0
Implementar diretivas de segurança CMA_C1706 – Implementar diretivas de segurança Manual, Desabilitado 1.1.0
Gerenciar contatos para autoridades e grupos de interesse especiais CMA_0359 – Gerenciar contatos para autoridades e grupos de interesses especiais Manual, Desabilitado 1.1.0

Segurança de informações no gerenciamento de projetos

ID: ISO 27001:2013 A.6.1.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Alinhar os objetivos de negócios e os objetivos de TI CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI Manual, Desabilitado 1.1.0
Alocar recursos para determinar os requisitos do sistema de informações CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações Manual, Desabilitado 1.1.0
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Definir funções e responsabilidades de segurança da informação CMA_C1565 – Definir funções e responsabilidades de segurança da informação Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Estabelecer um item de linha discreto na documentação do orçamento CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Controlar a alocação de recursos CMA_0293 – Controlar a alocação de recursos Manual, Desabilitado 1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança Manual, Desabilitado 1.1.1
Integrar o processo de gerenciamento de riscos ao SDLC CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento Manual, Desabilitado 1.1.0
Garantir o comprometimento da liderança CMA_0489 – Garantir o comprometimento da liderança Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0

Política de dispositivos móveis

ID: ISO 27001:2013 A.6.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Definir requisitos do dispositivo móvel CMA_0122 - Definir requisitos do dispositivo móvel Manual, Desabilitado 1.1.0
Documentar e implementar diretrizes de acesso sem fio CMA_0190 – Documentar e implementar diretrizes de acesso sem fio Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar usuários sobre logon ou acesso do sistema CMA_0382 – Notificar usuários sobre logon ou acesso do sistema Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger acesso sem fio CMA_0411 – Proteger acesso sem fio Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0

Trabalho remoto

ID: ISO 27001:2013 A.6.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Autorizar o acesso remoto CMA_0024 – Autorizar o acesso remoto Manual, Desabilitado 1.1.0
Documentar o treinamento de mobilidade CMA_0191 – Documentar o treinamento de mobilidade Manual, Desabilitado 1.1.0
Documentar as diretrizes de acesso remoto CMA_0196 – Documentar as diretrizes de acesso remoto Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Identificar e autenticar dispositivos de rede CMA_0296 – Identificar e autenticar dispositivos de rede Manual, Desabilitado 1.1.0
Implementar controles para proteger sites de trabalho alternativos CMA_0315 – Implementar controles para proteger sites de trabalho alternativos Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar usuários sobre logon ou acesso do sistema CMA_0382 – Notificar usuários sobre logon ou acesso do sistema Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Segurança dos Recursos Humanos

Triagem

ID: ISO 27001:2013 A.7.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desmarcar o pessoal com acesso às informações confidenciais CMA_0054 – Desmarcar o pessoal com acesso às informações classificadas Manual, Desabilitado 1.1.0
Implementar triagem de pessoal CMA_0322 – Implementar triagem de pessoal Manual, Desabilitado 1.1.0
Reexaminar indivíduos em uma frequência definida CMA_C1512 – Reexaminar indivíduos em uma frequência definida Manual, Desabilitado 1.1.0

Termos e condições de contratação

ID: ISO 27001:2013 A.7.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Desenvolver proteções de segurança CMA_0161 – Desenvolver proteções de segurança Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar contratos de acesso organizacional CMA_0192 – Documentar contratos de acesso organizacional Manual, Desabilitado 1.1.0
Documentar aceitação do pessoal de requisitos de privacidade CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo Manual, Desabilitado 1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente Manual, Desabilitado 1.1.0
Estabelecer um programa de privacidade CMA_0257 – Estabelecer um programa de privacidade Manual, Desabilitado 1.1.0
Implementar métodos de entrega de aviso de privacidade CMA_0324 - Implementar métodos de entrega de avisos de privacidade Manual, Desabilitado 1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais Manual, Desabilitado 1.1.0
Fornecer aviso de privacidade CMA_0414 - Fornecer aviso de privacidade Manual, Desabilitado 1.1.0
Exigir que os usuários assinem o contrato de acesso CMA_0440 – Exigir que os usuários assinem o contrato de acesso Manual, Desabilitado 1.1.0
Atualizar contratos de acesso organizacional CMA_0520 – Atualizar contratos de acesso organizacional Manual, Desabilitado 1.1.0

Responsabilidades de gerenciamento

ID: ISO 27001:2013 A.7.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Definir e documentar supervisão governamental CMA_C1587 – Definir e documentar supervisão governamental Manual, Desabilitado 1.1.0
Determinar as obrigações do contrato de fornecedor CMA_0140 – Determinar as obrigações do contrato de fornecedor Manual, Desabilitado 1.1.0
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Documentar critérios de aceitação do contrato de aquisição CMA_0187 – Documentar critérios de aceitação do contrato de aquisição Manual, Desabilitado 1.1.0
Documentar contratos de acesso organizacional CMA_0192 – Documentar contratos de acesso organizacional Manual, Desabilitado 1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos Manual, Desabilitado 1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição Manual, Desabilitado 1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados Manual, Desabilitado 1.1.0
Documentar requisitos de segurança de pessoal terceirizado CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo Manual, Desabilitado 1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado Manual, Desabilitado 1.1.0
Monitorar a conformidade do provedor de terceiros CMA_C1533 – Monitorar a conformidade do provedor de terceiros Manual, Desabilitado 1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança Manual, Desabilitado 1.1.0
Exigir notificação da transferência ou rescisão de pessoal terceirizado CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado Manual, Desabilitado 1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal Manual, Desabilitado 1.1.0
Exigir que os usuários assinem o contrato de acesso CMA_0440 – Exigir que os usuários assinem o contrato de acesso Manual, Desabilitado 1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem Manual, Desabilitado 1.1.0
Passar por revisão de segurança independente CMA_0515 – Passar por revisão de segurança independente Manual, Desabilitado 1.1.0
Atualizar contratos de acesso organizacional CMA_0520 – Atualizar contratos de acesso organizacional Manual, Desabilitado 1.1.0

Conscientização, educação e treinamento sobre segurança da informação

ID: ISO 27001:2013 A.7.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Documentar atividades de treinamento de privacidade e segurança CMA_0198 - Documentar atividades de treinamento de privacidade e segurança Manual, Desabilitado 1.1.0
Aplicar ambiente de treinamento automatizado CMA_C1357 – Aplicar ambiente de treinamento automatizado Manual, Desabilitado 1.1.0
Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação CMA_C1752 – Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação Manual, Desabilitado 1.1.0
Monitorar a conclusão dos treinamentos de segurança e privacidade CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade Manual, Desabilitado 1.1.0
Fornecer treinamento de contingência CMA_0412 – Fornecer treinamento de contingência Manual, Desabilitado 1.1.0
Fornecer treinamento de vazamento de informações CMA_0413 – Fornecer treinamento de vazamento de informações Manual, Desabilitado 1.1.0
Fornecer treinamento periódico de segurança baseada em funções CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções Manual, Desabilitado 1.1.0
Fornecer treinamento periódico sobre conscientização de segurança CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança Manual, Desabilitado 1.1.0
Fornecer treinamento de privacidade CMA_0415 – Fornecer treinamento de privacidade Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança baseada em funções CMA_C1094 – Fornecer treinamentos de segurança baseada em funções Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança antes de fornecer acesso CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso Manual, Desabilitado 1.1.0
Fornecer treinamento de segurança para novos usuários CMA_0419 - Fornecer treinamento de segurança para novos usuários Manual, Desabilitado 1.1.0
Fornecer treinamento de conscientização de segurança atualizado CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado Manual, Desabilitado 1.1.0
Reter registros de treinamento CMA_0456 – Reter registros de treinamento Manual, Desabilitado 1.1.0
Treinar o pessoal sobre a divulgação de informações não públicas CMA_C1084 – Treinar o pessoal sobre a divulgação de informações não públicas Manual, Desabilitado 1.1.0

Processo disciplinar

ID: ISO 27001:2013 A.7.2.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar processo formal de sanções CMA_0317 – Implementar processo formal de sanções Manual, Desabilitado 1.1.0
Notificar o pessoal sobre as sanções CMA_0380 – Notificar o pessoal sobre sanções Manual, Desabilitado 1.1.0

Término ou alteração das responsabilidades do emprego

ID: ISO 27001:2013 A.7.3.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar entrevista de saída após a rescisão CMA_0058 – Realizar entrevista de saída após a rescisão Manual, Desabilitado 1.1.0
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Iniciar ações de transferência ou reatribuição CMA_0333 – Iniciar ações de transferência ou reatribuição Manual, Desabilitado 1.1.0
Modificar autorizações de acesso após a transferência de pessoal CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal Manual, Desabilitado 1.1.0
Notificar após a rescisão ou transferência CMA_0381 – Notificar após a rescisão ou transferência Manual, Desabilitado 1.1.0
Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo Manual, Desabilitado 1.1.0
Reavaliar o acesso após a transferência de pessoal CMA_0424 – Reavaliar o acesso após a transferência de pessoal Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0

Gerenciamento de Ativos

Inventário de ativos

ID: ISO 27001:2013 A.8.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Criar um estoque de dados CMA_0096 – Criar um estoque de dados Manual, Desabilitado 1.1.0
Manter registros de processamento de dados pessoais CMA_0353 – Manter registros de processamento de dados pessoais Manual, Desabilitado 1.1.0

Propriedade de ativos

ID: ISO 27001:2013 A.8.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Controlar o uso de dispositivos de armazenamento portáteis CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis Manual, Desabilitado 1.1.0
Criar um estoque de dados CMA_0096 – Criar um estoque de dados Manual, Desabilitado 1.1.0
Estabelecer e manter um inventário de ativos CMA_0266 - Estabelecer e manter um inventário de ativos Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Manter registros de processamento de dados pessoais CMA_0353 – Manter registros de processamento de dados pessoais Manual, Desabilitado 1.1.0
Restringir uso de mídia CMA_0450 – Restringir uso de mídia Manual, Desabilitado 1.1.0

Uso aceitável de ativos

ID: ISO 27001:2013 A.8.1.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis Manual, Desabilitado 1.1.0
Aplicar regras de comportamento e contratos de acesso CMA_0248 – Aplicar regras de comportamento e contratos de acesso Manual, Desabilitado 1.1.0

Retorno de ativos

ID: ISO 27001:2013 A.8.1.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Realizar entrevista de saída após a rescisão CMA_0058 – Realizar entrevista de saída após a rescisão Manual, Desabilitado 1.1.0
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Iniciar ações de transferência ou reatribuição CMA_0333 – Iniciar ações de transferência ou reatribuição Manual, Desabilitado 1.1.0
Modificar autorizações de acesso após a transferência de pessoal CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal Manual, Desabilitado 1.1.0
Notificar após a rescisão ou transferência CMA_0381 – Notificar após a rescisão ou transferência Manual, Desabilitado 1.1.0
Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo Manual, Desabilitado 1.1.0
Reavaliar o acesso após a transferência de pessoal CMA_0424 – Reavaliar o acesso após a transferência de pessoal Manual, Desabilitado 1.1.0
Reter dados de usuário removido CMA_0455 – Reter dados de usuário removido Manual, Desabilitado 1.1.0

Classificação de informações

ID: ISO 27001:2013 A.8.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Categorizar informações CMA_0052 – Categorizar informações Manual, Desabilitado 1.1.0
Desenvolver esquemas de classificação de negócios CMA_0155 – Desenvolver esquemas de classificação de negócios Manual, Desabilitado 1.1.0
Garantir a aprovação da categorização de segurança CMA_C1540 – Garantir a aprovação da categorização de segurança Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados. AuditIfNotExists, desabilitado 4.1.0

Rotulagem de informações

ID: ISO 27001:2013 A.8.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Manuseio de ativos

ID: ISO 27001:2013 A.8.2.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Configurar as estações de trabalho para verificar certificados digitais CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais Manual, Desabilitado 1.1.0
Controlar o fluxo de informações CMA_0079 – Controlar o fluxo de informações Manual, Desabilitado 1.1.0
Controlar o acesso físico CMA_0081 – Controlar o acesso físico Manual, Desabilitado 1.1.0
Controlar o uso de dispositivos de armazenamento portáteis CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis Manual, Desabilitado 1.1.0
Definir requisitos para gerenciar ativos CMA_0125 - Definir requisitos para gerenciar ativos Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Estabelecer um procedimento de gerenciamento de vazamento de dados CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Estabelecer padrões de configuração de firewall e roteador CMA_0272 – Estabelecer padrões de configuração de firewall e roteador Manual, Desabilitado 1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão Manual, Desabilitado 1.1.0
Identificar e gerenciar trocas de informações downstream CMA_0298 – Identificar e gerenciar trocas de informações downstream Manual, Desabilitado 1.1.0
Implementar um serviço de nome/endereço tolerante a falhas CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras Manual, Desabilitado 1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas Manual, Desabilitado 1.1.0
Proteger dados em trânsito usando criptografia CMA_0403 – Proteger dados em trânsito usando criptografia Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Proteger informações especiais CMA_0409 – Proteger informações especiais Manual, Desabilitado 1.1.0
Fornecer serviços seguros de resolução de endereço e nome CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome Manual, Desabilitado 1.1.0
Restringir uso de mídia CMA_0450 – Restringir uso de mídia Manual, Desabilitado 1.1.0
Examinar a atividade e a análise de rótulos CMA_0474 – Examinar a atividade e a análise de rótulos Manual, Desabilitado 1.1.0

Gerenciamento de mídia removível

ID: ISO 27001:2013 A.8.3.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Bloquear processos não assinados e não confiáveis executados por USB CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB Manual, Desabilitado 1.1.0
Controlar o uso de dispositivos de armazenamento portáteis CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis Manual, Desabilitado 1.1.0
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0
Restringir uso de mídia CMA_0450 – Restringir uso de mídia Manual, Desabilitado 1.1.0

Descarte de mídia

ID: ISO 27001:2013 A.8.3.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Empregar um mecanismo de limpeza de mídia CMA_0208 - Empregar um mecanismo de limpeza de mídia Manual, Desabilitado 1.1.0
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0

Transferência de mídia física

ID: ISO 27001:2013 A.8.3.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Implementar controles para proteger todas as mídias CMA_0314 – Implementar controles para proteger todas as mídias Manual, Desabilitado 1.1.0
Gerenciar o transporte de ativos CMA_0370 - Gerenciar o transporte de ativos Manual, Desabilitado 1.1.0

Controle de acesso

Política de controle de acesso

ID: ISO 27001:2013 A.9.1.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver políticas e procedimentos de controle de acesso CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Controlar políticas e procedimentos CMA_0292 - Controlar políticas e procedimentos Manual, Desabilitado 1.1.0
Revisar políticas e procedimentos de controle de acesso CMA_0457 - Revisar políticas e procedimentos de controle de acesso Manual, Desabilitado 1.1.0

Acesso a redes e serviços de rede

ID: ISO 27001:2013 A.9.1.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas AuditIfNotExists, desabilitado 3.1.0
Auditar os computadores Linux que têm contas sem senhas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas AuditIfNotExists, desabilitado 3.1.0
Auditar VMs que não usam discos gerenciados Essa política audita VMs que não usam discos gerenciados auditoria 1.0.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Habilitar a detecção de dispositivos de rede CMA_0220 – Habilitar a detecção de dispositivos de rede Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Impor exclusividade do usuário CMA_0250 – Impor exclusividade do usuário Manual, Desabilitado 1.1.0
Estabelecer requisitos de certificado e assinatura eletrônica CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica Manual, Desabilitado 1.1.0
Identificar ações permitidas sem autenticação CMA_0295 - Identificar ações permitidas sem autenticação Manual, Desabilitado 1.1.0
Identificar e autenticar usuários não organizacionais CMA_C1346 – Identificar e autenticar usuários não organizacionais Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança Audit, Deny, desabilitado 1.0.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança Audit, Deny, desabilitado 1.0.0

Registro e cancelamento de registros de usuários

ID: ISO 27001:2013 A.9.2.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir gerentes de conta CMA_0015 – Atribuir gerentes de conta Manual, Desabilitado 1.1.0
Atribuir identificadores de sistema CMA_0018 – Atribuir identificadores de sistema Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Definir tipos de conta do sistema de informações CMA_0121 – Definir tipos de contas do sistema de informação Manual, Desabilitado 1.1.0
Documentar privilégios de acesso CMA_0186 – Documentar privilégios de acesso Manual, Desabilitado 1.1.0
Habilitar a detecção de dispositivos de rede CMA_0220 – Habilitar a detecção de dispositivos de rede Manual, Desabilitado 1.1.0
Impor exclusividade do usuário CMA_0250 – Impor exclusividade do usuário Manual, Desabilitado 1.1.0
Estabelecer processos e tipos de autenticador CMA_0267 – Estabelecer processos e tipos de autenticador Manual, Desabilitado 1.1.0
Estabelecer condições para associação de função CMA_0269 – Estabelecer condições para associação de função Manual, Desabilitado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador Manual, Desabilitado 1.1.0
Identificar ações permitidas sem autenticação CMA_0295 - Identificar ações permitidas sem autenticação Manual, Desabilitado 1.1.0
Identificar e autenticar usuários não organizacionais CMA_C1346 – Identificar e autenticar usuários não organizacionais Manual, Desabilitado 1.1.0
Implementar treinamento para proteção de autenticadores CMA_0329 – Implementar treinamento para proteção de autenticadores Manual, Desabilitado 1.1.0
Gerenciar tempo de vida e reutilização do autenticador CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador Manual, Desabilitado 1.1.0
Gerenciar autenticadores CMA_C1321 – Gerenciar autenticadores Manual, Desabilitado 1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente Manual, Desabilitado 1.1.0
Impedir a reutilização do identificador pelo período de tempo definido CMA_C1314 – Impedir a reutilização do identificador pelo período de tempo definido Manual, Desabilitado 1.1.0
Atualizar autenticadores CMA_0425 – Atualizar autenticadores Manual, Desabilitado 1.1.0
Reemitir autenticadores para contas e grupos alterados CMA_0426 – Reemitir autenticadores para contas e grupos alterados Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar e reavaliar privilégios CMA_C1207 – Revisar e reavaliar privilégios Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0
Verificar identidade antes de distribuir autenticadores CMA_0538 – Verificar identidade antes de distribuir autenticadores Manual, Desabilitado 1.1.0

Provisionamento do acesso do usuário

ID: ISO 27001:2013 A.9.2.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir gerentes de conta CMA_0015 – Atribuir gerentes de conta Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Definir tipos de conta do sistema de informações CMA_0121 – Definir tipos de contas do sistema de informação Manual, Desabilitado 1.1.0
Documentar privilégios de acesso CMA_0186 – Documentar privilégios de acesso Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer condições para associação de função CMA_0269 – Estabelecer condições para associação de função Manual, Desabilitado 1.1.0
Limitar privilégios para fazer alterações no ambiente de produção CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar e reavaliar privilégios CMA_C1207 – Revisar e reavaliar privilégios Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0

Gerenciamento de direitos de acesso privilegiado

ID: ISO 27001:2013 A.9.2.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft AuditIfNotExists, desabilitado 1.0.0
Atribuir gerentes de conta CMA_0015 – Atribuir gerentes de conta Manual, Desabilitado 1.1.0
Auditar funções com privilégios CMA_0019 – Auditar funções com privilégios Manual, Desabilitado 1.1.0
Auditoria o uso de funções personalizadas do RBAC Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças Audit, desabilitado 1.0.1
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Definir tipos de conta do sistema de informações CMA_0121 – Definir tipos de contas do sistema de informação Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Documentar privilégios de acesso CMA_0186 – Documentar privilégios de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Estabelecer condições para associação de função CMA_0269 – Estabelecer condições para associação de função Manual, Desabilitado 1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Limitar privilégios para fazer alterações no ambiente de produção CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Monitorar atribuição de função com privilégios CMA_0378 – Monitorar atribuição de função com privilégios Manual, Desabilitado 1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar e reavaliar privilégios CMA_C1207 – Revisar e reavaliar privilégios Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric Audit, Deny, desabilitado 1.1.0
Usar o Privileged Identity Management CMA_0533 – Usar o Privileged Identity Management Manual, Desabilitado 1.1.0

Gerenciamento de informações de autenticação secretas de usuários

ID: ISO 27001:2013 A.9.2.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644 AuditIfNotExists, desabilitado 3.1.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 3.1.0
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabelecer uma política de senha Manual, Desabilitado 1.1.0
Estabelecer processos e tipos de autenticador CMA_0267 – Estabelecer processos e tipos de autenticador Manual, Desabilitado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador Manual, Desabilitado 1.1.0
Implementar parâmetros para verificadores de segredo memorizados CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados Manual, Desabilitado 1.1.0
Implementar treinamento para proteção de autenticadores CMA_0329 – Implementar treinamento para proteção de autenticadores Manual, Desabilitado 1.1.0
Gerenciar tempo de vida e reutilização do autenticador CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador Manual, Desabilitado 1.1.0
Gerenciar autenticadores CMA_C1321 – Gerenciar autenticadores Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Atualizar autenticadores CMA_0425 – Atualizar autenticadores Manual, Desabilitado 1.1.0
Reemitir autenticadores para contas e grupos alterados CMA_0426 – Reemitir autenticadores para contas e grupos alterados Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Verificar identidade antes de distribuir autenticadores CMA_0538 – Verificar identidade antes de distribuir autenticadores Manual, Desabilitado 1.1.0

Análise dos direitos de acesso do usuário

ID: ISO 27001:2013 A.9.2.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir gerentes de conta CMA_0015 – Atribuir gerentes de conta Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
Definir tipos de conta do sistema de informações CMA_0121 – Definir tipos de contas do sistema de informação Manual, Desabilitado 1.1.0
Documentar privilégios de acesso CMA_0186 – Documentar privilégios de acesso Manual, Desabilitado 1.1.0
Estabelecer condições para associação de função CMA_0269 – Estabelecer condições para associação de função Manual, Desabilitado 1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado. AuditIfNotExists, desabilitado 1.0.0
Notificar os gerentes de conta das contas controladas pelo cliente CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente Manual, Desabilitado 1.1.0
Reatribuir ou remover privilégios de usuário conforme o necessário CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar e reavaliar privilégios CMA_C1207 – Revisar e reavaliar privilégios Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0
Examinar os privilégios do usuário CMA_C1039 – Examinar os privilégios do usuário Manual, Desabilitado 1.1.0

Remoção ou ajuste de direitos de acesso

ID: ISO 27001:2013 A.9.2.6 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atribuir gerentes de conta CMA_0015 – Atribuir gerentes de conta Manual, Desabilitado 1.1.0
Auditar o status da conta de usuário CMA_0020 – Auditar o status da conta de usuário Manual, Desabilitado 1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login. AuditIfNotExists, desabilitado 1.0.0
Definir tipos de conta do sistema de informações CMA_0121 – Definir tipos de contas do sistema de informação Manual, Desabilitado 1.1.0
Documentar privilégios de acesso CMA_0186 – Documentar privilégios de acesso Manual, Desabilitado 1.1.0
Estabelecer condições para associação de função CMA_0269 – Estabelecer condições para associação de função Manual, Desabilitado 1.1.0
Iniciar ações de transferência ou reatribuição CMA_0333 – Iniciar ações de transferência ou reatribuição Manual, Desabilitado 1.1.0
Modificar autorizações de acesso após a transferência de pessoal CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal Manual, Desabilitado 1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente Manual, Desabilitado 1.1.0
Notificar após a rescisão ou transferência CMA_0381 – Notificar após a rescisão ou transferência Manual, Desabilitado 1.1.0
Reavaliar o acesso após a transferência de pessoal CMA_0424 – Reavaliar o acesso após a transferência de pessoal Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar logs de provisionamento de conta CMA_0460 – Examinar logs de provisionamento de conta Manual, Desabilitado 1.1.0
Revisar e reavaliar privilégios CMA_C1207 – Revisar e reavaliar privilégios Manual, Desabilitado 1.1.0
Examinar contas de usuário CMA_0480: – Examinar contas de usuário Manual, Desabilitado 1.1.0

Uso de informações de autenticação secretas

ID: ISO 27001:2013 A.9.3.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabelecer uma política de senha Manual, Desabilitado 1.1.0
Estabelecer processos e tipos de autenticador CMA_0267 – Estabelecer processos e tipos de autenticador Manual, Desabilitado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador Manual, Desabilitado 1.1.0
Implementar parâmetros para verificadores de segredo memorizados CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados Manual, Desabilitado 1.1.0
Implementar treinamento para proteção de autenticadores CMA_0329 – Implementar treinamento para proteção de autenticadores Manual, Desabilitado 1.1.0
Gerenciar tempo de vida e reutilização do autenticador CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador Manual, Desabilitado 1.1.0
Gerenciar autenticadores CMA_C1321 – Gerenciar autenticadores Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Atualizar autenticadores CMA_0425 – Atualizar autenticadores Manual, Desabilitado 1.1.0
Reemitir autenticadores para contas e grupos alterados CMA_0426 – Reemitir autenticadores para contas e grupos alterados Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Encerrar as credenciais da conta controlada pelo cliente CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente Manual, Desabilitado 1.1.0
Verificar identidade antes de distribuir autenticadores CMA_0538 – Verificar identidade antes de distribuir autenticadores Manual, Desabilitado 1.1.0

Restrição de acesso às informações

ID: ISO 27001:2013 A.9.4.1 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Automatizar o gerenciamento de contas CMA_0026 – Automatizar o gerenciamento de contas Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Limitar privilégios para fazer alterações no ambiente de produção CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção Manual, Desabilitado 1.1.0
Gerenciar contas de administrador e sistema CMA_0368 – Gerenciar contas de administrador e sistema Manual, Desabilitado 1.1.0
Monitorar o acesso em toda a organização CMA_0376 – Monitorar o acesso em toda a organização Manual, Desabilitado 1.1.0
Notificar quando a conta não for necessária CMA_0383 – Notificar quando a conta não for necessária Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Procedimentos de logon seguro

ID: ISO 27001:2013 A.9.4.2 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos. AuditIfNotExists, desabilitado 1.0.0
Adotar os mecanismos de autenticação biométrica CMA_0005 – Adotar os mecanismos de autenticação biométrica Manual, Desabilitado 1.1.0
Habilitar a detecção de dispositivos de rede CMA_0220 – Habilitar a detecção de dispositivos de rede Manual, Desabilitado 1.1.0
Impor um limite de tentativas consecutivas de login com falha CMA_C1044 - Impor um limite de tentativas consecutivas de login com falha Manual, Desabilitado 1.1.0
Impor exclusividade do usuário CMA_0250 – Impor exclusividade do usuário Manual, Desabilitado 1.1.0
Estabelecer requisitos de certificado e assinatura eletrônica CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica Manual, Desabilitado 1.1.0
Gerar mensagens de erro CMA_C1724 – Gerar mensagens de erro Manual, Desabilitado 1.1.0
Identificar ações permitidas sem autenticação CMA_0295 - Identificar ações permitidas sem autenticação Manual, Desabilitado 1.1.0
Identificar e autenticar usuários não organizacionais CMA_C1346 – Identificar e autenticar usuários não organizacionais Manual, Desabilitado 1.1.0
Informações de feedback desconhecido durante o processo de autenticação CMA_C1344 – Informações de feedback desconhecido durante o processo de autenticação Manual, Desabilitado 1.1.0
Revelar mensagens de erro CMA_C1725 - Revelar mensagens de erro Manual, Desabilitado 1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada Manual, Desabilitado 1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização Manual, Desabilitado 1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais Manual, Desabilitado 1.1.0
Encerrar a sessão do usuário automaticamente CMA_C1054 – Encerrar a sessão do usuário automaticamente Manual, Desabilitado 1.1.0

Sistema de gerenciamento de senhas

ID: ISO 27001:2013 A.9.4.3 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. modify 4.1.0
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 AuditIfNotExists, desabilitado 2.1.0
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias AuditIfNotExists, desabilitado 2.1.0
Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia AuditIfNotExists, desabilitado 2.1.0
Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada AuditIfNotExists, desabilitado 2.0.0
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres AuditIfNotExists, desabilitado 2.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol. deployIfNotExists 1.2.0
Desabilitar os autenticadores após o encerramento CMA_0169 – Desabilitar os autenticadores após o encerramento Manual, Desabilitado 1.1.0
Documentar requisitos de força de segurança em contratos de aquisição CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição Manual, Desabilitado 1.1.0
Estabelecer uma política de senha CMA_0256 - Estabelecer uma política de senha Manual, Desabilitado 1.1.0
Estabelecer processos e tipos de autenticador CMA_0267 – Estabelecer processos e tipos de autenticador Manual, Desabilitado 1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador Manual, Desabilitado 1.1.0
Implementar parâmetros para verificadores de segredo memorizados CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados Manual, Desabilitado 1.1.0
Implementar treinamento para proteção de autenticadores CMA_0329 – Implementar treinamento para proteção de autenticadores Manual, Desabilitado 1.1.0
Gerenciar tempo de vida e reutilização do autenticador CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador Manual, Desabilitado 1.1.0
Gerenciar autenticadores CMA_C1321 – Gerenciar autenticadores Manual, Desabilitado 1.1.0
Proteger senhas com criptografia CMA_0408 – Proteger senhas com criptografia Manual, Desabilitado 1.1.0
Atualizar autenticadores CMA_0425 – Atualizar autenticadores Manual, Desabilitado 1.1.0
Reemitir autenticadores para contas e grupos alterados CMA_0426 – Reemitir autenticadores para contas e grupos alterados Manual, Desabilitado 1.1.0
Revogar funções com privilégios conforme a necessidade CMA_0483 – Revogar funções com privilégios conforme a necessidade Manual, Desabilitado 1.1.0
Verificar identidade antes de distribuir autenticadores CMA_0538 – Verificar identidade antes de distribuir autenticadores Manual, Desabilitado 1.1.0

Uso de programas utilitários privilegiados

ID: ISO 27001:2013 A.9.4.4 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Restringir o acesso a contas privilegiadas CMA_0446 – Restringir o acesso a contas privilegiadas Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Controle de acesso ao código-fonte do programa

ID: ISO 27001:2013 A.9.4.5 Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Autorizar o acesso às funções e informações de segurança CMA_0022 – Autorizar o acesso às funções e informações de segurança Manual, Desabilitado 1.1.0
Autorizar e gerenciar o acesso CMA_0023 – Autorizar e gerenciar o acesso Manual, Desabilitado 1.1.0
Criar um modelo de controle de acesso CMA_0129 – Criar um modelo de controle de acesso Manual, Desabilitado 1.1.0
Empregar acesso de privilégio mínimo CMA_0212 – Empregar o acesso de privilégios mínimos Manual, Desabilitado 1.1.0
Impor o acesso lógico CMA_0245 – Impor o acesso lógico Manual, Desabilitado 1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais Manual, Desabilitado 1.1.0
Estabelecer e documentar processos de controle de alterações CMA_0265 – Estabelecer e documentar processos de controle de alterações Manual, Desabilitado 1.1.0
Limitar privilégios para fazer alterações no ambiente de produção CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção Manual, Desabilitado 1.1.0
Exigir aprovação para criação de conta CMA_0431 – Exigir aprovação para criação de conta Manual, Desabilitado 1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais Manual, Desabilitado 1.1.0

Aperfeiçoamento

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.d Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atualizar itens de POA&M CMA_C1157 - Atualizar os itens de POA&M Manual, Desabilitado 1.1.0

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.e Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Atualizar itens de POA&M CMA_C1157 - Atualizar os itens de POA&M Manual, Desabilitado 1.1.0

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.f Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Atualizar itens de POA&M CMA_C1157 - Atualizar os itens de POA&M Manual, Desabilitado 1.1.0

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.g Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores Manual, Desabilitado 1.1.0
Executar auditoria para controle de alterações de configuração CMA_0390 - Executar auditoria para controle de alterações de configuração Manual, Desabilitado 1.1.0
Atualizar itens de POA&M CMA_C1157 - Atualizar os itens de POA&M Manual, Desabilitado 1.1.0

Contexto da organização

Determinando o escopo do sistema de gerenciamento de segurança da informação

ID: ISO 27001:2013 C.4.3.a Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver um SSP que atenda aos critérios CMA_C1492 – Desenvolver um SSP que atenda aos critérios Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa de segurança da informação Manual, Desabilitado 1.1.0
Atualizar políticas de segurança de informações CMA_0518 – Atualizar políticas de segurança da informação Manual, Desabilitado 1.1.0

Determinando o escopo do sistema de gerenciamento de segurança da informação

ID: ISO 27001:2013 C.4.3.b Propriedade: Compartilhado

Nome
(Portal do Azure)
Descrição Efeito(s) Versão
(GitHub)
Desenvolver um SSP que atenda aos critérios CMA_C1492 – Desenvolver um SSP que atenda aos critérios Manual, Desabilitado 1.1.0
Estabelecer um programa de segurança da informação CMA_0263 – Estabelecer um programa d