Tópicos para controle de Segurança da Informação

Mais uma lista de tópicos correlacionados, desta vez sobre segurança:

- Documento da política de segurança da informação;
- Análise crítica da política de segurança da informação;
- Comprometimento da direção com a segurança;
- Coordenação da segurança;
- Atribuição de responsabilidade;
- Processo de autorização para os recursos de processamento;
- Acordos de confidencialidade;
- Contato com autoridades;
- Contato com grupos especiais;
- Análise crítica independente;
- Identificação dos riscos relacionados com partes externas;
- Identificando a segurança quando tratando com clientes;
- Identificando a segurança nos acordos com terceiros;
- Inventário dos ativos;
- Propriedade dos ativos;
- Uso aceitável dos ativos;
- Recomendações para classificação;
- Rótulos e tratamento da informação;
- Papéis e responsabilidades;
- Seleção;
- Termos e condições de contrato;
- Responsabilidade da direção;
- Conscientização, educação e treinamento;
- Processo disciplinar;
- Encerramento de atividades;
- Devolução de ativos;
- Retirada dos direitos de acesso;
- Perímetro de segurança física;
- Entrega de serviços;
- Monitoramento e análise crítica de serviços terceirizados;
- Gerenciamento de mudanças;
- Gestão de capacidade;
- Aceitação de sistemas;
- Controle contra códigos maliciosos;
- Controle contra códigos móveis;
- Cópias de segurança;
- Controle de redes;
- Segurança dos serviços de rede;
- Gerenciamento de mídias removíveis;
- Descarte de mídias;
- Procedimento para tratamento;
- Segurança da documentação;
- Procedimentos para troca de informações;
- Acordos para a troca de informações;
- Mídias em transito;
- Mensagens eletrônicas;
- Sistema de informações do negócio;
- Comércio eletrônico;
- Transações On-line;
- Informações públicas;
- Registros de auditoria;
- Monitoramento de uso;
- Proteção dos logs;
- Logs de administrador e operador;
- Logs de falhas;
- Sicronização dos relógios;
- Controle de acessos;
- Registro de usuário;
- Gerenciamento de privilégios;
- Gerenciamento de senhas de usuário;
- Análise crítica dos direitos de acesso;
- Equipamentos de usuário;
- Política de mesa limpa e tela limpa;
- Política de uso dos serviços de rede;
- Autenticação para conexão externa;
- Identificação de equipamento em redes;
- Proteção de portas de configuração e diagnósticos remotos;
- Segregação de redes;
- Controle de conexão de redes;
- Controle de roteamento de redes;
- Procedimentos seguros de entrada no sistema;
- Identificação e autenticação de usuário;
- Sistema de gerenciamento de senhas;
- Uso de utilitários de sistema;
- Limite de tempo de sessão;
- Limite de horário de conexão;
- Restrição de acesso à informação;
- Isolamento de sistemas sensíveis;
- Computação e comunicação móvel;
- Trabalho remoto;
- Análise e especificação dos requisitos;
- Validação dos dados de entrada;
- Controle de processamento interno;
- Integridade de mensagens;
- Validação de dados de saída;
- Política para uso de controles criptográficos;
- Gerenciamento de chaves;
- Controle de software operacional;
- Proteção dos dados para testes de sistemas;
- Controle de acesso ao código-fonte de programa;
- Procedimento para controle de mudança;
- Análise crítica técnica das aplicações após mudanças no sistema operacional;
- Restrições sobre mudanças em pacotes de software;
- Vazamento de informações;
- Desenvolvimento terceirizado de software;
- Controle de vulnerabilidades técnicas;
- Notificação de eventos de segurança;
- Notificação de fragilidades;
- Responsabilidades e procedimentos;
- Aprendendo com os incidentes;
- Coletas de evidências;
- Inclusão de segurança da informação no processo de gestão de continuidade de negócio;
- Continuidade de negócios e análise de riscos;
- Desenvolvimento e implementação de planos de continuidade;
- Estrutura do plano de continuidade do negócio;
- Testes, manutenção e reavaliação dos planos;
- Identificação da legislação aplicável;
- Direitos de propriedade intelectual;
- Proteção de registros organizacionais;
- Proteção de dados e privacidade da informação pessoal;
- Prevenção de mau uso de recursos de processamento;
- Regulamentação de controles de criptografia;
- Conformidade com a políticas e normas;
- Verificação de conformidade técnica;
- Controles de auditorias de sistemas;
- Proteção de ferramentas de auditoria.