A.7.

1 Perímetros de segurança
física

A.7.2 Entrada física A.5.1 Políticas de segurança da informação

A.7.3 Garantir escritórios, salas A.5.2 Funções e responsabilidades de segurança da

e instalações informação

A.7.4 Monitoramento de A.5.3 Segregação de funções

segurança física

A.5.4 Responsabilidades de
A.7.5 Proteção contra ameaças gestão
físicas e ambientais

A.5.6 Contato com grupos de interesse especial

A.7.6 Trabalhando em áreas seguras

A.5.5 Contato com autoridades

A.7.7 Clear Desk e Clear Screen
A.7 Controles Físicos | 14 Controles
A.5.7 Inteligência de ameaças
A.7.8 localização e proteção de
equipamentos
A. 5.8 Segurança da informação no gerenciamento
de projetos
A.7.9 Segurança de ativos fora do
local
A.5.9 Inventário de informações e outros ativos
associados
A.7.10 Mídia de armazenamento.

A.5.10 Uso aceitável de informações e outros ativos

A.7.12 Segurança de cabeamento associados

A.7.11 Utilitários de suporte A.5.11 Devolução de ativos

7.14 Descarte seguro ou A.5.12 Classificação das informações

reutilização de equipamentos

A.5.13 Rotulagem de informações

A.7.13 Manutenção do
equipamento
A.5.14 Transferência de informações

A.8.1 Dispositivos de end point dos A.5.15 Controle de acesso

usuários

A.5.16 Gerenciamento de identidade

A.8.2 Direitos de Acesso
Privilegiado
A.5.17 Informações de autenticação

A.8.3 Restrição de Acesso à

informação A.5.18 Direitos de acesso

A.8.4 Acesso ao código fonte A.5.19 Segurança da informação no relacionamento

com fornecedores

A.8.5 Autenticação Segura

A.5.20 Abordagem da segurança da informação nos
contratos com fornecedores
A.5 Controles organizacionais | 37 Controles
A.8.6 Gerenciamento de
Capacidade
A.5.21 Gerenciando a segurança da informação na
tecnologia da informação e comunicação (TIC)
A.8.7 Proteção contra Malware cadeia de suprimentos

A.8.8 Gerenciamento de A.5.22 Monitoramento, revisão e gerenciamento de

Vulnerabilidades Técnicas mudanças dos serviços do fornecedor

A.8.9 Gerenciamento de A.5.23 Segurança da informação para uso de

Configuração serviços em nuvem

A.8.10 Exclusão de informações A.5.24 Planejamento e gerenciamento de incidentes

ISO 27001: 2022 | 93 Controles
de segurança da informação

A.8.11 Mascaramento de dados

A.5.25 Avaliação e decisão sobre eventos de
segurança da informação
A.8.12 Prevenção de vazamento
de dados
A.5.26 Resposta a incidentes de segurança da
informação
A.8.13 Backup de informações

A.5.27 Aprendendo com incidentes de segurança da

A.8.14 Redundância de instalações informação
de processamento de informações

A.5.28 Coleta de Evidências

8.15 Log

A.5.29 Segurança da informação durante a

8.16 Atividades de monitoramento interrupção

A.8.17 Sincronização do relógio A.5.30 Prontidão de TIC para continuidade de

negócios

A.8.18 Uso de programas utilitários A8 Controles tecnológicos | 34 Controles

privilegiados A.5.31 Requisitos legais, estatutários,
regulamentares e contratuais

A.8.19 Instalação de software em

sistemas operacionais A.5.32 Direitos de propriedade intelectual

A.8.20 Segurança de redes A.5.33 Proteção de registros

8.21 Segurança dos serviços de redes A.5.34 Privacidade e proteção de informações de

identificação pessoal (PII)

A.8.22 Segregação de Redes

A.5.35 Revisão independente de segurança da
informação
A.8.23 Filtragem da Web

A.5.36 Conformidade com políticas, regras e

A.8.24 Uso de criptografia padrões de segurança da informação

A.8.25 Ciclo de vida de A.5.37 Procedimentos operacionais documentados

desenvolvimento seguro

A.8.26 Requisitos de segurança do A.6.1 Seleção & Contração

aplicativo

A.6.2 Termos e condições de

A.8.27 Arquitetura de sistema emprego
seguro e princípios de engenharia

A.6.3 Consciência, educação e

A.8.28 Codificação segura treinamento em segurança da
informação

A.8.29 Testes de segurança em

desenvolvimento e aceitação A.6.4 Processo disciplinar

A.6 Controles de Pessoas | 8 Controles

A.8.30 Desenvolvimento A.6.5 Responsabilidades após o
terceirizado término ou mudança de emprego

A.8.31 Separação de ambientes de A.6.6 Acordos de

desenvolvimento, teste e produção confidencialidade ou não
divulgação

A.8.32 Controle de gerenciamento

de mudanças A.6.7 Trabalho remoto

A.8.33 Informações de teste A.6.8 Relatórios de eventos de

segurança da informação

A.8.34 Proteção de sistemas de

informação durante testes de
auditoria
ISO 27001: 2022 | 93 Controles
1. A.5 Controles organizacionais | 37 Controles
1.1. A.5.1 Políticas de segurança da informação

1.1.1. Controle: A política de segurança da informação e as política s específicas de tópicos devem

ser definidas, aprovadas pela administração, publicadas, comunicadas e reconhecidas pelo pessoal
relevante e pelas partes interessadas relevantes e revisadas em intervalos planejados e se
ocorrerem mudanças significativas.

1.2. A.5.2 Funções e responsabilidades de segurança da informação

1.2.1. Controle: As funções e responsabilidades de segurança da informação devem ser definidas e

alocadas de acordo com as necessidades da organização.
1.3. A.5.3 Segregação de funções

1.3.1. Controle: Deveres conflitantes e áreas de responsabilidade conflitantes devem ser

segregados.

1.4. A.5.4 Responsabilidades de gestão

1.4.1. Controle: A administração deve exigir que todo o pessoal aplique a segurança da informação
de acordo com a política de segurança da informação estabelecida, políticas e procedimentos
específicos do tópico da organização.

1.5. A.5.6 Contato com grupos de interesse especial

1.5.1. Controle: A organização deve estabelecer e manter conta to com grupos de interesse especial
ou outros fórun s especializados em segurança e associações profi ssionais.
1.6. A.5.5 Contato com autoridades

1.6.1. Controle: A organização deve estabelecer e manter contat o com as autoridades relevantes.

1.7. A.5.7 Inteligência de ameaças

1.7.1. Controle: As informações relacionadas a ameaças à segurança da informação devem ser

coletadas e analisadas para produzir inteligência sobre ameaças.

1.8. A. 5.8 Segurança da informação no gerenciamento de projetos

1.8.1. Controle: A segurança da informação deve ser integrada ao gerenciamento de projetos.

1.9. A.5.9 Inventário de informações e outros ativos associados

1.9.1. Controle: Um inventário de informações e outros ativos associados, incluindo proprietários,

deve ser desenvolvido e mantido.

1.10. A.5.10 Uso aceitável de informações e outros ativos associados

1.10.1. Controle: Devem ser identificadas, documentadas e implementadas regras para o uso
aceitável e procedimentos para manipulação de informações e outros ativos associados.

1.11. A.5.11 Devolução de ativos

1.11.1. Controle: O pessoal e outras partes interessadas, conforme apropriado, devem devolver
todos os ativos da organização em sua posse mediante mudança ou rescisão de seu emprego,
contrato ou acordo.

1.12. A.5.12 Classificação das informações

 1.12.1. Controle: As informações devem ser classificadas de acordo com as necessidades de
segurança da informação da organização com base na confidencialidade, integridade, disponibilidade
e requisitos relevantes das partes interessadas.

1.13. A.5.13 Rotulagem de informações

1.13.1. Controle: Um conjunto apropriado de procedimentos para rotulagem de informações deve ser
desenvolvido e implementado de acordo com o esquema de classificação de informações adotado
pela organização.

1.14. A.5.14 Transferência de informações

1.14.1. Controle: As regras, procedimentos ou acordos de transferência de informações devem estar

em vigor para todos os tipos de instalações de transferência dentro da organização e entre a
organização e outras partes.

1.15. A.5.15 Controle de acesso

1.15.1. Controle: As regras para controlar o acesso físico e lógico às informações e outros ativos
associados devem ser estabelecidas e implementadas com base nos requisitos de segurança do
negócio e da informação.

1.16. A.5.16 Gerenciamento de identidade

1.16.1. Controle: O ciclo de vida completo das identidades deve ser gerenciado.

1.17. A.5.17 Informações de autenticação

1.17.1. Controle: A alocação e o gerenciamento das informações de autenticação devem ser

controlados por um processo de gerenciamento, incluindo o aconselhamento do pessoal sobre o
manuseio adequado das informações de autenticação.

1.18. A.5.18 Direitos de acesso

1.18.1. Controle: Os direitos de acesso a informações e outros ativos associados devem ser
provisionados, revisados, modificados e removidos de acordo com a política específica do tópico da
organização e as regras para controle de acesso.
1.19. A.5.19 Segurança da informação no relacionamento com fornecedores

1.19.1. Controle: Os processos e procedimentos devem ser definidos e implementados para

gerenciar os riscos de segurança da informação associados ao uso de produtos ou serviços do
fornecedor.

1.20. A.5.20 Abordagem da segurança da informação nos contratos com fornecedores

1.20.1. Controle: Requisitos relevantes de segurança da informação devem ser estabelecidos e

acordados com cada fornecedor com base no tipo de relacionamento com o fornecedor.

1.21. A.5.21 Gerenciando a segurança da informação na tecnologia da informação e comunicação (TIC)

cadeia de suprimentos

1.21.1. Controle: Os processos e procedimentos devem ser definidos e implementados para

gerenciar os riscos de segurança da informação associados à cadeia de fornecimento de produtos e
serviços de TIC.
1.22. A.5.22 Monitoramento, revisão e gerenciamento de mudanças dos serviços do fornecedor

1.22.1. Controle: A organização deve monitorar, revisar, avaliar e gerenciar regularmente as

mudanças nas práticas de segurança da informação do fornecedor e na prestação de serviços.

1.23. A.5.23 Segurança da informação para uso de serviços em nuvem

 1.23.1. Controle: Os processos de aquisição, uso, gerenciamento e saída dos serviços em nuvem
devem ser estabelecidos de acordo com os requisitos de segurança da informação da organização.
1.24. A.5.24 Planejamento e gerenciamento de incidentes de segurança da informação

1.24.1. Controle: A organização deve planejar e se preparar para gerenciar incidentes de segurança
de preparação de informações, definindo, estabelecendo e comunicando processos, funções e
responsabilidades de gerenciamento de incidentes de segurança da informação.

1.25. A.5.25 Avaliação e decisão sobre eventos de segurança da informação

1.25.1. Controle: A organização deve avaliar os eventos de segurança da informação e decidir se

eles devem ser categorizados como incidentes de segurança da informação.

1.26. A.5.26 Resposta a incidentes de segurança da informação

1.26.1. Controle: Os incidentes de segurança da informação devem ser respondidos de acordo com
os procedimentos documentados.

1.27. A.5.27 Aprendendo com incidentes de segurança da informação

1.27.1. Controle: O conhecimento adquirido em incidentes de segurança da informação deve ser

usado para fortalecer e melhorar os controles de segurança da informação.

1.28. A.5.28 Coleta de Evidências

1.28.1. Controle: A organização deve estabelecer e implementar procedimentos para a identificação,

coleta, aquisição e preservação de evidências relacionadas a eventos de segurança da informação.

1.29. A.5.29 Segurança da informação durante a interrupção

1.29.1. Controle: A organização deve planejar como manter a segurança da informação em um nível
apropriado durante a interrupção.
1.30. A.5.30 Prontidão de TIC para continuidade de negócios

1.30.1. Controle: A prontidão de TIC deve ser planejada, implementada, mantida e testada com base
nos objetivos de continuidade de negócios e nos requisitos de continuidade de TIC.

1.31. A.5.31 Requisitos legais, estatutários, regulamentares e contratuais

1.31.1. Controle: Os requisitos legais, estatutários, regulatórios e contratuais relevantes para a

segurança da informação e a abordagem da organização para atender a esses requisitos devem ser
identificados, documentados e mantidos atualizados.
1.32. A.5.32 Direitos de propriedade intelectual

1.32.1. Controle: A organização deve implementar procedimentos apropriados para proteger os

direitos de propriedade intelectual.

1.33. A.5.33 Proteção de registros

1.33.1. Controle: Os registros devem ser protegidos contra perda, destruição, falsificação, acesso
não autorizado e liberação não autorizada.

1.34. A.5.34 Privacidade e proteção de informações de identificação pessoal (PII)

1.34.1. Controle: A organização deve identificar e atender aos requisitos relativos à preservação da
privacidade e proteção de PII de acordo com as leis e regulamentos aplicáveis e os requisitos
contratuais.

1.35. A.5.35 Revisão independente de segurança da informação

 1.35.1. Controle: A abordagem da organização para gerenciar a segurança da informação e sua
implementação, incluindo pessoas, processos e tecnologias, deve ser revisada de forma
independente em intervalos planejados ou quando ocorrerem mudanças significativas.

1.36. A.5.36 Conformidade com políticas, regras e padrões de segurança da informação

1.36.1. Controle: A conformidade com a política de segurança da informação da organização,

políticas específicas de tópicos, regras e padrões devem ser revisados regularmente.

1.37. A.5.37 Procedimentos operacionais documentados

1.37.1. Controle: Os procedimentos operacionais para instalações de processamento de

informações devem ser documentados e disponibilizados ao pessoal que deles necessita.
2. A.6 Controles de Pessoas | 8 Controles
2.1. A.6.1 Seleção & Contração

2.1.1. Controle: Verificação de fundo verificações de todos os candidatos a se tornarem pessoal

devem ser realizadas antes de ingressar na organização e, continuamente, levando em
consideração as leis, regulamentos e ética aplicáveis e são proporcionais aos requisitos de
negócios, a classificação das informações a serem acessadas e os riscos percebidos.
2.2. A.6.2 Termos e condições de emprego

2.2.1. Controle: Os contratos contratuais de emprego devem declarar as responsabilidades do

pessoal e da organização pela segurança da informação.

2.3. A.6.3 Consciência, educação e treinamento em segurança da informação

2.3.1. Controle: O pessoal da organização e as partes interessadas relevantes devem receber a

conscientização apropriada da segurança da informação, a educação e o treinamento e as
atualizações regulares da política de segurança da informação da organização, políticas e
procedimentos específicos de tópicos, conforme relevante para seu trabalho função.

2.4. A.6.4 Processo disciplinar

2.4.1. Controle: Um processo disciplinar deve ser formalizado e comunicado para tomar ações
contra o pessoal e outras partes interessadas relevantes que cometeram uma violação da política de
segurança da informação.
2.5. A.6.5 Responsabilidades após o término ou mudança de emprego

2.5.1. Controle: As responsabilidades e deveres de segurança da informação que permanecem

válidos após a rescisão ou a mudança de emprego devem ser definidos, aplicados e comunicados a
pessoal relevante e outras partes interessadas.

2.6. A.6.6 Acordos de confidencialidade ou não divulgação

2.6.1. Controle: Acordos de confidencialidade ou não divulgação refletindo as necessidades da

organização para a proteção de informações devem ser identificadas, documentadas, revisadas
regularmente e assinadas por pessoal e outras partes interessadas relevantes

2.7. A.6.7 Trabalho remoto

2.7.1. Controle: As medidas de segurança devem ser implementadas quando o pessoal estiver
trabalhando remotamente para proteger as informações acessadas, processadas ou armazenadas
fora das instalações da organização.

2.8. A.6.8 Relatórios de eventos de segurança da informação

2.8.1. Controle: A organização deve fornecer um mecanismo para o pessoal relatar eventos de
segurança da informação observados ou suspeitos por meio de canais apropriados em tempo hábil.
3. A8 Controles tecnológicos | 34 Controles
3.1. A.8.1 Dispositivos de end point dos usuários

3.1.1. Controle: As informações armazenadas, processadas ou acessíveis por meio de dispositivos

de ponto final do usuário devem ser protegidas.

3.2. A.8.2 Direitos de Acesso Privilegiado

3.2.1. Controle: A alocação e uso de direitos de acesso privilegiado devem ser restritos e
gerenciados.

3.3. A.8.3 Restrição de Acesso à informação

3.3.1. Controle: O acesso às informações e outros ativos associados deve ser restrito de acordo
com a política específica de tópicos estabelecida sobre controle de acesso.

3.4. A.8.4 Acesso ao código fonte

3.4.1. Controle: O acesso de leitura e gravação ao código-fonte, ferramentas de desenvolvimento e

bibliotecas de software deve ser gerenciado adequadamente.

3.5. A.8.5 Autenticação Segura

3.5.1. Controle: As tecnologias e procedimento de autenticação segura devem ser implementados

com base nas restrições de acesso à informação e na política específica do tópico sobre controle de
acesso.

3.6. A.8.6 Gerenciamento de Capacidade

3.6.1. Controle: O uso de recursos deve ser monitorado e ajustado de acordo com os requisitos de
capacidade atuais e esperados.

3.7. A.8.7 Proteção contra Malware

3.7.1. Controle: A proteção contra malware deve ser implementada e suportada pela conscientização
apropriada do usuário.

3.8. A.8.8 Gerenciamento de Vulnerabilidades Técnicas

3.8.1. Controle: Informações sobre vulnerabilidades técnicas dos sistemas de informação em uso
devem ser obtidas, a exposição da organização a tais vulnerabilidades deve ser avaliada e medidas
apropriadas devem ser tomadas.

3.9. A.8.9 Gerenciamento de Configuração

3.9.1. Controle: As configurações, incluindo configurações de segurança, de hardware, software,

serviços e redes devem ser estabelecidas documentadas, implementadas, monitoradas e revisadas.

3.10. A.8.10 Exclusão de informações

3.10.1. Controle: As informações armazenadas em sistemas de informação, dispositivos ou em

qualquer outro meio de armazenamento devem ser excluídas quando não forem mais necessárias.

3.11. A.8.11 Mascaramento de dados

3.11.1. Controle: O mascaramento de dados deve ser usado de acordo com a política específica do
tópico da organização sobre controle de acesso e outras políticas específicas do tópico relacionadas
e requisitos de negócios, levando em consideração a legislação aplicável.

3.12. A.8.12 Prevenção de vazamento de dados

 3.12.1. Controle: As medidas de prevenção de vazamento de dados devem ser aplicadas a
sistemas, redes e quaisquer outros dispositivos que processem, armazenem ou transmitam
informações confidenciais.

3.13. A.8.13 Backup de informações

3.13.1. Controle: As cópias de backup de informações, software e sistemas devem ser mantidas e
testadas regularmente de acordo com a política de backup específica do tópico acordada.

3.14. A.8.14 Redundância de instalações de processamento de informações

3.14.1. Controle: As instalações de processamento de informações devem ser implementadas com

redundância suficiente para atender aos requisitos de disponibilidade.

3.15. 8.15 Log

3.15.1. Controle: Os logs que registram atividades, exceções, falhas e outros eventos relevantes
devem ser produzidos, armazenados, protegidos e analisados.

3.16. 8.16 Atividades de monitoramento

3.16.1. Controle: Redes, sistemas e aplicativos devem ser monitorados quanto a comportamento
anômalo e ações apropriadas tomadas para avaliar potenciais incidentes de segurança da
informação.
3.17. A.8.17 Sincronização do relógio

3.17.1. Controle: Os relógios dos sistemas de processamento de informações usados pela

organização devem ser sincronizados com as fontes de tempo aprovadas.

3.18. A.8.18 Uso de programas utilitários privilegiados

3.18.1. Controle: O uso de programas utilitários que podem ser capazes de substituir os controles do
sistema e do aplicativo deve ser restrito e rigidamente controlado.

3.19. A.8.19 Instalação de software em sistemas operacionais

3.19.1. Controle: Procedimentos e medidas devem ser implementados para gerenciar com
segurança a instalação de software em sistemas operacionais.

3.20. A.8.20 Segurança de redes

3.20.1. Controle: Redes e dispositivos de rede devem ser protegidos, gerenciados e controlados para
proteger as informações em sistemas e aplicativos.

3.21. 8.21 Segurança dos serviços de redes

3.21.1. Controle: Mecanismos de segurança, níveis de serviço e requisitos de serviço de serviços de

rede devem ser identificados, implementados e monitorados.

3.22. A.8.22 Segregação de Redes

3.22.1. Controle: Grupos de serviços de informação, usuários e sistemas de informação devem ser
segregados nas redes da organização

3.23. A.8.23 Filtragem da Web

3.23.1. Controle: O acesso a sites externos deve ser gerenciado para reduzir a exposição a
conteúdo malicioso.

3.24. A.8.24 Uso de criptografia

 3.24.1. Controle: As regras para o uso efetivo da criptografia, incluindo o gerenciamento de chaves
criptográficas, devem ser definidas e implementadas.

3.25. A.8.25 Ciclo de vida de desenvolvimento seguro

3.25.1. Controle: As regras para o desenvolvimento seguro de software e sistemas devem ser
estabelecidas e aplicadas.

3.26. A.8.26 Requisitos de segurança do aplicativo

3.26.1. Controle: Os requisitos de segurança da informação devem ser identificados, especificados e

aprovados ao desenvolver ou adquirir aplicativos.

3.27. A.8.27 Arquitetura de sistema seguro e princípios de engenharia

3.27.1. Controle: Princípios para sistemas seguros de engenharia devem ser estabelecidos,
documentados, mantidos e aplicados a quaisquer atividades de desenvolvimento de sistemas de
informação.

3.28. A.8.28 Codificação segura

3.28.1. Controle: Princípios de codificação segura devem ser aplicados ao desenvolvimento de

software.

3.29. A.8.29 Testes de segurança em desenvolvimento e aceitação

3.29.1. Controle: Os processos de teste de segurança devem ser definidos e implementados no ciclo
de vida do desenvolvimento.

3.30. A.8.30 Desenvolvimento terceirizado

3.30.1. Controle: A organização deve dirigir, monitorar e revisar as atividades relacionadas ao

desenvolvimento de sistemas terceirizados.

3.31. A.8.31 Separação de ambientes de desenvolvimento, teste e produção

3.31.1. Controle: Ambientes de desenvolvimento, teste e produção devem ser separados e

protegidos.

3.32. A.8.32 Controle de gerenciamento de mudanças

3.32.1. Controle: As mudanças nas instalações de processamento de informações e nos sistemas

de informação devem estar sujeitas a procedimentos de gerenciamento de mudanças.

3.33. A.8.33 Informações de teste

3.33.1. Controle: As informações de teste devem ser adequadamente selecionadas, protegidas e

gerenciadas.

3.34. A.8.34 Proteção de sistemas de informação durante testes de auditoria

3.34.1. Controle: Testes de auditoria e outras atividades de garantia envolvendo avaliação de

sistemas operacionais devem ser planejados e acordados entre o testador e a gerência apropriada.

4. A.7 Controles Físicos | 14 Controles

4.1. A.7.1 Perímetros de segurança física

4.1.1. Controle: Os perímetros de segurança devem ser definidos e usados para proteger áreas que
contêm informações e outros ativos associados.

4.2. A.7.2 Entrada física

 4.2.1. Controle: As áreas seguras devem ser protegidas pelos controles de entrada e pontos de
acesso apropriados.

4.3. A.7.3 Garantir escritórios, salas e instalações

4.3.1. A.7.3 Garantir escritórios, quartos e instalações Controle: Segurança física para escritórios,
salas e instalações deve ser projetada e implementada.

4.4. A.7.4 Monitoramento de segurança física

4.4.1. Controle: As premissas devem ser monitoradas continuamente para físico não autorizado
Acesso.

4.5. A.7.5 Proteção contra ameaças físicas e ambientais

4.5.1. Controle: Proteção contra ameaças físicas e ambientais, como desastres naturais e outras
ameaças físicas intencionais ou não intencionais à infraestrutura, devem ser projetadas e
implementadas.

4.6. A.7.6 Trabalhando em áreas seguras

4.6.1. Controle: As medidas de segurança para trabalhar em áreas seguras devem ser projetadas e
implementadas.

4.7. A.7.7 Clear Desk e Clear Screen

4.7.1. Controle: Regras claras da mesa para documentos e mídia de armazenamento removível e
regras de tela clara para instalações de processamento de informações devem ser definidas e
aplicadas adequadamente.

4.8. A.7.8 localização e proteção de equipamentos

4.8.1. Controle: o equipamento deve ser localizado com segurança e protegido.

4.9. A.7.9 Segurança de ativos fora do local

4.9.1. Controle: Os ativos fora do local devem ser protegidos.

4.10. A.7.10 Mídia de armazenamento.

4.10.1. Controle: A mídia de armazenamento deve ser gerenciada por meio de seu ciclo de vida de
aquisição, uso, transporte e descarte de acordo com os requisitos de classificação e manuseio da
organização.
4.11. A.7.12 Segurança de cabeamento

4.11.1. Controle: Os cabos que transportam energia, dados ou serviços de informação de suporte
devem ser protegidos da interceptação, interferência ou danos.

4.12. A.7.11 Utilitários de suporte

4.12.1. Controle: As instalações de processamento de informações devem ser protegidas contra

falhas de energia e outras interrupções causadas por falhas no suporte aos utilitários.

4.13. A.7.13 Manutenção do equipamento

4.13.1. Controle: O equipamento deve ser mantido corretamente para garantir a disponibilidade,
integridade e confidencialidade das informações.

4.14. 7.14 Descarte seguro ou reutilização de equipamentos

4.14.1. Controle: Os itens de equipamento que contêm mídias de armazenamento devem ser
verificados para garantir que quaisquer dados confidenciais e software licenciado tenham sido
removidos ou substituídos com segurança antes da descarte ou reutilização.