Concurso Público Rio de Janeiro Cursos Online para concursos

Apostilas em PDF – Diretrizes para Controles de Segurança da Informação

23 de julho de 2025
Gran Cursos

Baixe o material de estudo



baixar curso online

Olá, querido (a) aluno(a)!

Neste artigo entenderemos conceitos importantes sobre a Norma ISO/IEC 27002:2022 e como são cobrados em questões de concursos.

A ABNT NBR ISO/IEC 27002:2022 é uma norma internacional que fornece diretrizes e boas práticas para a implementação dos controles de segurança da informação listados no Anexo A da ISO/IEC 27001. Embora a 27001 defina o “o que” deve ser feito, a 27002 detalha o “como” implementar os controles. Sua adoção permite que organizações implementem, mantenham e melhorem práticas seguras de maneira sistemática, adaptável e eficiente.

Objetivo da Norma

O objetivo principal da ISO 27002 é orientar a seleção, implementação e gestão de controles de segurança da informação, com base na avaliação de riscos realizada pela organização. Ela serve de apoio para o estabelecimento de um Sistema de Gestão da Segurança da Informação (SGSI) conforme os requisitos da ISO/IEC 27001. Além disso, pode ser usada como um guia de referência independente, mesmo fora de processos de certificação.

Estrutura e Organização da Versão 2022

A versão 2022 da norma introduziu uma reestruturação significativa em relação à edição anterior (2013), reduzindo os 114 controles para 93, agora agrupados em 4 categorias temáticas:

  • Controles organizacionais (cláusula 5): 37 controles
  • Controles de pessoas (cláusula 6): 8 controles
  • Controles físicos (cláusula 7): 14 controles
  • Controles tecnológicos (cláusula 8): 34 controles

Essa nova categorização substitui a antiga estrutura de 14 domínios, tornando a norma mais intuitiva, prática e adaptada à realidade das organizações atuais.

4. Controles Organizacionais

Os controles organizacionais tratam de aspectos estratégicos, processuais e administrativos da segurança da informação. Entre os temas abordados estão:

  • Políticas de segurança da informação;
  • Atribuições de responsabilidade;
  • Gestão de ativos;
  • Classificação da informação;
  • Conformidade legal e contratual;
  • Continuidade de negócios.

Exemplo de novo controle: 5.7 – Inteligência de ameaças, que propõe a coleta e análise de dados sobre ameaças emergentes para fortalecer a postura defensiva da organização.

5. Controles de Pessoas

A categoria de controles de pessoas está relacionada ao fator humano, considerando que muitos incidentes de segurança ocorrem por falhas humanas (intencionais ou não). Esses controles abrangem:

  • Triagem pré-emprego;
  • Termos de confidencialidade;
  • Conscientização e treinamentos;
  • Responsabilidades após desligamento;
  • Ações disciplinares em caso de violação.

Um dos controles importantes aqui é o 6.3 – Conscientização em segurança da informação, que reforça a necessidade de programas contínuos de educação para todos os colaboradores.

Controles Físicos

Os controles físicos têm como objetivo proteger instalações, equipamentos e ativos físicos contra acesso não autorizado, danos ou perdas. Entre os controles dessa categoria, destacam-se:

  • Controle de acesso físico a áreas restritas;
  • Proteção contra riscos ambientais;
  • Segurança de equipamentos em trânsito;
  • Proteção contra incêndios e desastres naturais.

O controle 7.4 – Monitoramento de áreas físicas trata da vigilância por câmeras e sensores, como medida preventiva de segurança perimetral e detecção de invasões.

Controles Tecnológicos

A maior parte dos controles está na categoria tecnológica, refletindo a complexidade atual dos ambientes digitais. Esses controles abordam:

  • Controle de acesso lógico;
  • Autenticação multifator;
  • Criptografia;
  • Monitoramento de logs;
  • Backup e recuperação;
  • Proteção contra malware;
  • Segurança em serviços na nuvem.

Um dos novos controles de destaque é o 8.11 – Uso seguro de serviços na nuvem, que estabelece medidas para proteger os dados armazenados ou processados em ambientes de nuvem pública, privada ou híbrida.

Atributos dos Controles

Além da nova estrutura em quatro categorias, a ISO/IEC 27002:2022 introduziu um sistema de atributos para os controles, permitindo que eles sejam classificados sob diferentes perspectivas, como:

  • Tipo de controle (preventivo, detectivo, corretivo);
  • Propriedade de segurança (confidencialidade, integridade, disponibilidade);
  • Capacidade operacional;
  • Setor ou domínio de aplicação.

Essa abordagem facilita a criação de visões personalizadas dos controles, adaptando-os às necessidades específicas de auditoria, compliance ou gestão de riscos.

Aplicabilidade e Flexibilidade

A ISO 27002 é uma norma de diretrizes, ou seja, não é certificável, mas é amplamente utilizada como referência técnica e prática para implementar os controles exigidos pela ISO 27001. Cada organização deve analisar a adequação de cada controle ao seu contexto, baseando-se nos riscos identificados. A norma permite que controles sejam ajustados, omitidos ou complementados, desde que devidamente justificado e documentado.

Benefícios da Adoção da ISO/IEC 27002:2022

A adoção da ISO 27002 traz inúmeros benefícios, mesmo para organizações que não buscam certificação:

  • Estruturação e padronização de práticas de segurança;
  • Redução de vulnerabilidades e riscos operacionais;
  • Fortalecimento da cultura de segurança da informação;
  • Apoio à conformidade com legislações como a LGPD e o GDPR;
  • Melhoria da governança e da resiliência cibernética.

A ABNT NBR ISO/IEC 27002:2022 representa um avanço relevante na área de segurança da informação. Sua nova organização temática, o uso de atributos e a atualização dos controles refletem as demandas contemporâneas de um ambiente corporativo digitalizado, descentralizado e interconectado. Seja como apoio à ISO 27001, seja como referência autônoma, a norma é uma ferramenta poderosa para a gestão de riscos e proteção de ativos informacionais.

Referências Bibliográficas

  • ABNT. ABNT NBR ISO/IEC 27002:2022 – Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação. Rio de Janeiro: ABNT, 2022.
  • ISO/IEC. ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection – Information security controls. International Organization for Standardization, 2022.
  • STALLINGS, William. Segurança em Redes: Princípios e Práticas. Pearson, 7. ed., 2017.
  • SOUSA, R. A. Segurança da Informação: uma abordagem gerencial. Brasport, 2020.

Vamos ver como este conteúdo já foi cobrado?

1) Ano: 2024 Banca: CESPE / CEBRASPE Órgão: TCE-AC Prova: CESPE / CEBRASPE – 2024 – TCE-AC – Analista de Tecnologia da Informação – Área: Segurança da Informação

Julgue o item a seguir, que trata de gestão da segurança da informação. 

Segundo a NBR ISO/IEC 27002:2022, são dois os tipos de controle nas políticas de segurança da informação: #Preventivo e #Corretivo.

Gabarito: Errado.

Comentário: De acordo com a ABNT NBR ISO/IEC 27002:2022, não se limitam a apenas dois tipos de controle (preventivo e corretivo). A norma, na verdade, introduz um sistema de atributos para classificar os controles de forma mais abrangente, incluindo:

  • Preventivo: visa impedir que um incidente ocorra;
  • Detectivo: identifica a ocorrência de um evento de segurança;
  • Corretivo: responde a um evento, restaurando funções ou eliminando vulnerabilidades.

Então é isso! 

Bons estudos e até o nosso próximo artigo.

Prof. Jósis Alves

Analista de TI no Supremo Tribunal Federal

Instagram: @josisalvesprof @aprovati

Fonte: Gran Cursos Online

Download disponível – Diretrizes para Controles de Segurança da Informação



Baixar video aula

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *