Detalhes da iniciativa interna de conformidade regulatória ISO 27001:2013 (Azure Government)
O artigo a seguir detalha como a definição de iniciativa interna de Conformidade Regulatória da Política do Azure mapeia para domínios e controles de conformidade na ISO 27001:2013 (Azure Government). Para obter mais informações sobre essa norma de conformidade, consulte ISO 27001:2013. Para compreender a Propriedade, reveja o tipo de política e a Responsabilidade partilhada na nuvem.
Os mapeamentos a seguir são para os controles ISO 27001:2013 . Muitos dos controles são implementados com uma definição de iniciativa de Política do Azure. Para rever a definição completa da iniciativa, abra Política no portal do Azure e selecione a página Definições . Em seguida, localize e selecione a definição de iniciativa interna de conformidade regulatória ISO 27001:2013 .
Importante
Cada controle abaixo está associado a uma ou mais definições de Política do Azure. Essas políticas podem ajudá-lo a avaliar a conformidade com o controle, no entanto, muitas vezes não há uma correspondência individual ou completa entre um controle e uma ou mais políticas. Como tal, Compatível na Política do Azure refere-se apenas às próprias definições de política, o que não garante que esteja totalmente em conformidade com todos os requisitos de um controlo. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição de Política do Azure no momento. Portanto, a conformidade na Política do Azure é apenas uma exibição parcial do seu status geral de conformidade. As associações entre domínios de conformidade, controles e definições de Política do Azure para esse padrão de conformidade podem mudar ao longo do tempo. Para visualizar o histórico de alterações, consulte o Histórico de confirmação do GitHub.
Criptografia
Política de utilização de controlos criptográficos
ID: ISO 27001:2013 A.10.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 4.0.0 |
| Auditar máquinas Windows que não armazenam senhas usando criptografia reversível | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não armazenam senhas usando criptografia reversível | AuditIfNotExists, desativado | 1.0.0 |
| As variáveis de conta de automação devem ser criptografadas | É importante habilitar a criptografia de ativos variáveis de conta de automação ao armazenar dados confidenciais | Auditoria, Negar, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentar e distribuir uma política de privacidade | CMA_0188 - Documentar e distribuir uma política de privacidade | Manual, Desativado | 1.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desabilitar, Negar | 5.0.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Restringir comunicações | CMA_0449 - Restringir comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| Os clusters do Service Fabric devem ter a propriedade ClusterProtectionLevel definida como EncryptAndSign | O Service Fabric fornece três níveis de proteção (Nenhum, Assinar e EncryptAndSign) para comunicação nó a nó usando um certificado de cluster primário. Defina o nível de proteção para garantir que todas as mensagens nó a nó sejam criptografadas e assinadas digitalmente | Auditoria, Negar, Desativado | 1.1.0 |
| A criptografia de dados transparente em bancos de dados SQL deve ser habilitada | A criptografia de dados transparente deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade | AuditIfNotExists, desativado | 2.0.0 |
Gestão de Chaves
ID: ISO 27001:2013 A.10.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Definir requisitos organizacionais para gerenciamento de chaves criptográficas | CMA_0123 - Definir requisitos organizacionais para o gerenciamento de chaves criptográficas | Manual, Desativado | 1.1.0 |
| Determinar requisitos de asserção | CMA_0136 - Determinar os requisitos de asserção | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
| Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desativado | 1.1.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
| Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
| Emitir certificados de chave pública | CMA_0347 - Emitir certificados de chave pública | Manual, Desativado | 1.1.0 |
| Gerenciar chaves criptográficas simétricas | CMA_0367 - Gerenciar chaves criptográficas simétricas | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Restringir o acesso a chaves privadas | CMA_0445 - Restringir o acesso a chaves privadas | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Encerrar credenciais de conta controladas pelo cliente | CMA_C1022 - Encerrar credenciais de conta controladas pelo cliente | Manual, Desativado | 1.1.0 |
Segurança Física e Ambiental
Perímetro de segurança física
ID: ISO 27001:2013 A.11.1.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
| Gerencie um sistema de câmera de vigilância seguro | CMA_0354 - Gerencie um sistema de câmera de vigilância seguro | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
Controlos físicos à entrada
ID: ISO 27001:2013 A.11.1.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Designar pessoal para supervisionar as atividades de manutenção não autorizadas | CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizadas | Manual, Desativado | 1.1.0 |
| Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Manter a lista de pessoal de manutenção remoto autorizado | CMA_C1420 - Manter lista de pessoal de manutenção remoto autorizado | Manual, Desativado | 1.1.0 |
| Gerir o pessoal de manutenção | CMA_C1421 - Gerir o pessoal de manutenção | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Proteger escritórios, salas e instalações
ID: ISO 27001:2013 A.11.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Definir um processo de gerenciamento de chaves físicas | CMA_0115 - Definir um processo de gestão de chaves físicas | Manual, Desativado | 1.1.0 |
| Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Proteção contra ameaças externas e ambientais
ID: ISO 27001:2013 A.11.1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Crie locais de armazenamento alternativos e primários separados | CMA_C1269 - Crie locais de armazenamento alternativos e primários separados | Manual, Desativado | 1.1.0 |
| Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | CMA_C1268 - Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | Manual, Desativado | 1.1.0 |
| Garantir que o sistema de informações falhe no estado conhecido | CMA_C1662 - Garantir que o sistema de informação falha no estado conhecido | Manual, Desativado | 1.1.0 |
| Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desativado | 1.1.0 |
| Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
| Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | CMA_C1271 - Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
| Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
Trabalhar em áreas seguras
ID: ISO 27001:2013 A.11.1.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
Áreas de entrega e carregamento
ID: ISO 27001:2013 A.11.1.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Definir requisitos para o gerenciamento de ativos | CMA_0125 - Definir requisitos para a gestão de ativos | Manual, Desativado | 1.1.0 |
| Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
| Gerencie um sistema de câmera de vigilância seguro | CMA_0354 - Gerencie um sistema de câmera de vigilância seguro | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
Equipamento sentado e proteção
ID: ISO 27001:2013 A.11.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Utilitários de suporte
ID: ISO 27001:2013 A.11.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Utilize iluminação de emergência automática | CMA_0209 - Utilizar iluminação de emergência automática | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para os fornecedores de serviços Internet | CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
Segurança de cablagem
ID: ISO 27001:2013 A.11.2.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
Manutenção de equipamentos
ID: ISO 27001:2013 A.11.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatize as atividades de manutenção remotas | CMA_C1402 - Automatize as atividades de manutenção remotas | Manual, Desativado | 1.1.0 |
| Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
| Produzir registros completos das atividades de manutenção remotas | CMA_C1403 - Produzir registros completos das atividades de manutenção remota | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer suporte de manutenção em tempo hábil | CMA_C1425 - Fornecer suporte de manutenção em tempo hábil | Manual, Desativado | 1.1.0 |
Remoção de ativos
ID: ISO 27001:2013 A.11.2.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
| Definir requisitos para o gerenciamento de ativos | CMA_0125 - Definir requisitos para a gestão de ativos | Manual, Desativado | 1.1.0 |
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
Segurança de equipamentos e ativos fora do estabelecimento comercial
ID: ISO 27001:2013 A.11.2.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir requisitos de dispositivos móveis | CMA_0122 - Definir requisitos de dispositivos móveis | Manual, Desativado | 1.1.0 |
| Garantir salvaguardas de segurança não necessárias quando as pessoas regressam | CMA_C1183 - Garantir salvaguardas de segurança não necessárias quando as pessoas regressam | Manual, Desativado | 1.1.0 |
| Estabelecer termos e condições de acesso aos recursos | CMA_C1076 - Estabelecer termos e condições de acesso aos recursos | Manual, Desativado | 1.1.0 |
| Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
| Não permitir que os sistemas de informação acompanhem os indivíduos | CMA_C1182 - Não permitir que os sistemas de informação acompanhem os indivíduos | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Verificar os controlos de segurança dos sistemas de informação externos | CMA_0541 - Verificar os controlos de segurança dos sistemas de informação externos | Manual, Desativado | 1.1.0 |
Eliminação ou reutilização segura do equipamento
ID: ISO 27001:2013 A.11.2.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Equipamento de utilizador autónomo
ID: ISO 27001:2013 A.11.2.8 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Encerrar sessão de usuário automaticamente | CMA_C1054 - Encerrar sessão de usuário automaticamente | Manual, Desativado | 1.1.0 |
Política de mesa limpa e tela limpa
ID: ISO 27001:2013 A.11.2.9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Segurança de Operações
Procedimentos operacionais documentados
ID: ISO 27001:2013 A.12.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Distribuir a documentação do sistema de informação | CMA_C1584 - Distribuir a documentação do sistema de informação | Manual, Desativado | 1.1.0 |
| Documentar ações definidas pelo cliente | CMA_C1582 - Documentar ações definidas pelo cliente | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Obter documentação do administrador | CMA_C1580 - Obter documentação do administrador | Manual, Desativado | 1.1.0 |
| Obter documentação da função de segurança do usuário | CMA_C1581 - Obter documentação da função de segurança do usuário | Manual, Desativado | 1.1.0 |
| Proteja a documentação do administrador e do usuário | CMA_C1583 - Proteja a documentação do administrador e do usuário | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Gestão de Mudança
ID: ISO 27001:2013 A.12.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desativado | 1.1.0 |
| Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
| Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
| Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabeleça um programa seguro de desenvolvimento de software | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Instalar um sistema de alarme | CMA_0338 - Instalar um sistema de alarme | Manual, Desativado | 1.1.0 |
| Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores implementem apenas as alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
Gestão da capacidade
ID: ISO 27001:2013 A.12.1.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Conduzir o planejamento de capacidade | CMA_C1252 - Conduzir o planejamento de capacidade | Manual, Desativado | 1.1.0 |
| Governar e monitorar as atividades de processamento de auditoria | CMA_0289 - Governar e monitorar as atividades de processamento de auditoria | Manual, Desativado | 1.1.0 |
Separação de ambientes de desenvolvimento, teste e operacionais
ID: ISO 27001:2013 A.12.1.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Verifique se não há autenticadores estáticos não criptografados | CMA_C1340 - Certifique-se de que não há autenticadores estáticos não criptografados | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger PII | CMA_C1839 - Implementar controles para proteger PII | Manual, Desativado | 1.1.0 |
| Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas | CMA_0331 - Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Controlos contra malware
ID: ISO 27001:2013 A.12.2.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Controlar as atividades de manutenção e reparação | CMA_0080 - Controlar as atividades de manutenção e reparação | Manual, Desativado | 1.1.0 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Gerencie atividades de manutenção e diagnóstico não locais | CMA_0364 - Gerenciar atividades de manutenção e diagnóstico não locais | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de conscientização sobre segurança | CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
| Fornecer treinamento atualizado de conscientização sobre segurança | CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
| Revise o relatório de deteções de malware semanalmente | CMA_0475 - Revise o relatório de deteções de malware semanalmente | Manual, Desativado | 1.1.0 |
| Revise o status de proteção contra ameaças semanalmente | CMA_0479 - Revise o status de proteção contra ameaças semanalmente | Manual, Desativado | 1.1.0 |
| Atualizar definições de antivírus | CMA_0517 - Atualizar definições de antivírus | Manual, Desativado | 1.1.0 |
Backup de informações
ID: ISO 27001:2013 A.12.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informação | Manual, Desativado | 1.1.0 |
| Crie locais de armazenamento alternativos e primários separados | CMA_C1269 - Crie locais de armazenamento alternativos e primários separados | Manual, Desativado | 1.1.0 |
| Garantir que o sistema de informações falhe no estado conhecido | CMA_C1662 - Garantir que o sistema de informação falha no estado conhecido | Manual, Desativado | 1.1.0 |
| Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
| Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Implementar recuperação baseada em transações | CMA_C1296 - Implementar recuperação baseada em transações | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
| Armazene separadamente as informações de backup | CMA_C1293 - Armazene separadamente as informações de backup | Manual, Desativado | 1.1.0 |
| Transferir informações de backup para um local de armazenamento alternativo | CMA_C1294 - Transfira informações de backup para um local de armazenamento alternativo | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Registo de Eventos
ID: ISO 27001:2013 A.12.4.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Pessoal de alerta sobre derrames de informação | CMA_0007 - Pessoal de alerta sobre derrames de informação | Manual, Desativado | 1.1.0 |
| Configuração de diagnóstico de auditoria para tipos de recursos selecionados | Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Autorizar, monitorar e controlar voip | CMA_0025 - Autorizar, monitorar e controlar voip | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
| Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
| Configurar recursos de Auditoria do Azure | CMA_C1108 - Configurar os recursos de Auditoria do Azure | Manual, Desativado | 1.1.1 |
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Descubra quaisquer indicadores de compromisso | CMA_C1702 - Descubra quaisquer indicadores de compromisso | Manual, Desativado | 1.1.0 |
| Documentar a base jurídica para o processamento de informações pessoais | CMA_0206 - Documentar a base jurídica para o processamento de informações pessoais | Manual, Desativado | 1.1.0 |
| Aplicar e auditar restrições de acesso | CMA_C1203 - Aplicar e auditar restrições de acesso | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Implementar métodos para solicitações de consumidores | CMA_0319 - Implementar métodos para solicitações de consumidores | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Obter parecer jurídico para monitorizar as atividades do sistema | CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Fornecer informações de monitoramento, conforme necessário | CMA_C1689 - Fornecer informações de monitoramento, conforme necessário | Manual, Desativado | 1.1.0 |
| Publicar procedimentos de acesso em SORNs | CMA_C1848 - Publicar procedimentos de acesso em SORNs | Manual, Desativado | 1.1.0 |
| Publicar regras e regulamentos que acessam os registros da Lei de Privacidade | CMA_C1847 - Publicar regras e regulamentos acessando os registros da Lei de Privacidade | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
| Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever e atualizar os eventos definidos em AU-02 | CMA_C1106 - Rever e atualizar os eventos definidos em AU-02 | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Rever as alterações para verificar se há alterações não autorizadas | CMA_C1204 - Revise as alterações para quaisquer alterações não autorizadas | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Proteção das informações de registo
ID: ISO 27001:2013 A.12.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Definir as funções dos transformadores | CMA_0127 - Definir as funções dos transformadores | Manual, Desativado | 1.1.0 |
| Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
| Registrar divulgações de PII a terceiros | CMA_0422 - Registro de divulgações de PII a terceiros | Manual, Desativado | 1.1.0 |
| Treinar a equipe sobre o compartilhamento de PII e suas consequências | CMA_C1871 - Treinar a equipe sobre o compartilhamento de PII e suas consequências | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Logs do administrador e do operador
ID: ISO 27001:2013 A.12.4.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| Configuração de diagnóstico de auditoria para tipos de recursos selecionados | Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Autorizar, monitorar e controlar voip | CMA_0025 - Autorizar, monitorar e controlar voip | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
| Conduzir uma análise de texto completo de comandos privilegiados registrados | CMA_0056 - Realizar uma análise de texto completo de comandos privilegiados registrados | Manual, Desativado | 1.1.0 |
| O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1 |
| Gerenciar gateways | CMA_0363 - Gerenciar gateways | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Monitorar a atividade da conta | CMA_0377 - Monitore a atividade da conta | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Obter parecer jurídico para monitorizar as atividades do sistema | CMA_C1688 - Obter parecer jurídico para acompanhamento das atividades do sistema | Manual, Desativado | 1.1.0 |
| Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
| Fornecer informações de monitoramento, conforme necessário | CMA_C1689 - Fornecer informações de monitoramento, conforme necessário | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Sincronização de relógio
ID: ISO 27001:2013 A.12.4.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: A Extensão do Log Analytics deve estar ativada para imagens de máquinas virtuais listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1-Pré-visualização |
| Configuração de diagnóstico de auditoria para tipos de recursos selecionados | Configuração de diagnóstico de auditoria para tipos de recursos selecionados. Certifique-se de selecionar apenas os tipos de recursos que suportam configurações de diagnóstico. | AuditIfNotExists | 2.0.1 |
| A auditoria no SQL Server deve ser habilitada | A auditoria no SQL Server deve ser habilitada para controlar as atividades do banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria. | AuditIfNotExists, desativado | 2.0.0 |
| Compilar registros de auditoria em auditoria em todo o sistema | CMA_C1140 - Compilar registros de auditoria em auditoria em todo o sistema | Manual, Desativado | 1.1.0 |
| O agente de dependência deve ser habilitado para imagens de máquina virtual listadas | Relata máquinas virtuais como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| O agente de dependência deve ser habilitado em conjuntos de dimensionamento de máquina virtual para imagens de máquina virtual listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e o agente não estiver instalado. A lista de imagens do SO é atualizada ao longo do tempo à medida que o suporte é atualizado. | AuditIfNotExists, desativado | 2.0.0 |
| A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para imagens de máquinas virtuais listadas | Relata conjuntos de escala de máquina virtual como não compatíveis se a imagem da máquina virtual não estiver na lista definida e a extensão não estiver instalada. | AuditIfNotExists, desativado | 2.0.1 |
| Usar relógios do sistema para registros de auditoria | CMA_0535 - Usar relógios do sistema para registros de auditoria | Manual, Desativado | 1.1.0 |
Instalação de software em sistemas operacionais
ID: ISO 27001:2013 A.12.5.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
| Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
| Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Controlar a conformidade dos fornecedores de serviços na nuvem | CMA_0290 - Controlar a conformidade dos fornecedores de serviços na nuvem | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Gestão de vulnerabilidades técnicas
ID: ISO 27001:2013 A.12.6.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Realizar a avaliação de riscos e distribuir os seus resultados | CMA_C1544 - Realizar a avaliação de riscos e distribuir os seus resultados | Manual, Desativado | 1.1.0 |
| Realizar avaliações de risco e documentar seus resultados | CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados | Manual, Desativado | 1.1.0 |
| Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Selecionar testes adicionais para avaliações de controle de segurança | CMA_C1149 - Selecione testes adicionais para avaliações de controle de segurança | Manual, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
| As vulnerabilidades na configuração de segurança em suas máquinas devem ser corrigidas | Os servidores que não satisfizerem a linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações | AuditIfNotExists, desativado | 3.1.0 |
Restrições à instalação de software
ID: ISO 27001:2013 A.12.6.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
| Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
| Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Controlar a conformidade dos fornecedores de serviços na nuvem | CMA_0290 - Controlar a conformidade dos fornecedores de serviços na nuvem | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exibir e configurar dados de diagnóstico do sistema | CMA_0544 - Exibir e configurar dados de diagnóstico do sistema | Manual, Desativado | 1.1.0 |
Controlos de auditoria de sistemas de informação
ID: ISO 27001:2013 A.12.7.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar equipe independente para testes de penetração | CMA_C1171 - Empregar equipe independente para testes de penetração | Manual, Desativado | 1.1.0 |
Segurança das Comunicações
Controlos de rede
ID: ISO 27001:2013 A.13.1.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Todas as portas de rede devem ser restritas em grupos de segurança de rede associados à sua máquina virtual | A Central de Segurança do Azure identificou que algumas das regras de entrada dos seus grupos de segurança de rede são muito permissivas. As regras de entrada não devem permitir o acesso a partir de intervalos de «Qualquer» ou «Internet». Isso pode potencialmente permitir que os invasores direcionem seus recursos. | AuditIfNotExists, desativado | 3.0.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Empregar proteção de limites para isolar sistemas de informação | CMA_C1639 - Empregar proteção de fronteiras para isolar sistemas de informação | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Estabelecer termos e condições de acesso aos recursos | CMA_C1076 - Estabelecer termos e condições de acesso aos recursos | Manual, Desativado | 1.1.0 |
| Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Implementar interface gerenciada para cada serviço externo | CMA_C1626 - Implementar interface gerenciada para cada serviço externo | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
| Impedir o túnel dividido para dispositivos remotos | CMA_C1632 - Evitar tunelamento dividido para dispositivos remotos | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
| Reautenticar ou encerrar uma sessão de usuário | CMA_0421 - Reautenticar ou encerrar uma sessão de usuário | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
| Funcionalidade separada de gerenciamento de usuários e sistemas de informação | CMA_0493 - Separe a funcionalidade de gestão do utilizador e do sistema de informação | Manual, Desativado | 1.1.0 |
| As contas de armazenamento devem restringir o acesso à rede | O acesso à rede para contas de armazenamento deve ser restrito. Configure regras de rede para que apenas aplicativos de redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos da Internet ou locais, o acesso pode ser concedido ao tráfego de redes virtuais específicas do Azure ou a intervalos de endereços IP da Internet pública | Auditoria, Negar, Desativado | 1.1.1 |
| Usar máquinas dedicadas para tarefas administrativas | CMA_0527 - Use máquinas dedicadas para tarefas administrativas | Manual, Desativado | 1.1.0 |
| Verificar os controlos de segurança dos sistemas de informação externos | CMA_0541 - Verificar os controlos de segurança dos sistemas de informação externos | Manual, Desativado | 1.1.0 |
Segurança dos serviços de rede
ID: ISO 27001:2013 A.13.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de assinatura eletrônica e certificado | CMA_0271 - Estabelecer requisitos de assinatura eletrônica e certificado | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Impedir o túnel dividido para dispositivos remotos | CMA_C1632 - Evitar tunelamento dividido para dispositivos remotos | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Exigir acordos de segurança de interconexão | CMA_C1151 - Exigir acordos de segurança de interligação | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
| Atualizar contratos de segurança de interconexão | CMA_0519 - Atualizar os acordos de segurança de interconexão | Manual, Desativado | 1.1.0 |
Segregação das redes
ID: ISO 27001:2013 A.13.1.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Empregar proteção de limites para isolar sistemas de informação | CMA_C1639 - Empregar proteção de fronteiras para isolar sistemas de informação | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
| Implementar interface gerenciada para cada serviço externo | CMA_C1626 - Implementar interface gerenciada para cada serviço externo | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 - Controle do fluxo de informações usando filtros de política de segurança | Manual, Desativado | 1.1.0 |
| Impedir o túnel dividido para dispositivos remotos | CMA_C1632 - Evitar tunelamento dividido para dispositivos remotos | Manual, Desativado | 1.1.0 |
| Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
| Funcionalidade separada de gerenciamento de usuários e sistemas de informação | CMA_0493 - Separe a funcionalidade de gestão do utilizador e do sistema de informação | Manual, Desativado | 1.1.0 |
| Usar máquinas dedicadas para tarefas administrativas | CMA_0527 - Use máquinas dedicadas para tarefas administrativas | Manual, Desativado | 1.1.0 |
Políticas e procedimentos de transferência de informações
ID: ISO 27001:2013 A.13.2.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Definir requisitos de dispositivos móveis | CMA_0122 - Definir requisitos de dispositivos móveis | Manual, Desativado | 1.1.0 |
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Estabelecer termos e condições de acesso aos recursos | CMA_C1076 - Estabelecer termos e condições de acesso aos recursos | Manual, Desativado | 1.1.0 |
| Estabelecer termos e condições para o processamento de recursos | CMA_C1077 - Estabelecer termos e condições para o processamento de recursos | Manual, Desativado | 1.1.0 |
| Notificar explicitamente o uso de dispositivos de computação colaborativa | CMA_C1649 - Notificar explicitamente o uso de dispositivos de computação colaborativa | Manual, Desativado | 1.1.1 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Implementar interface gerenciada para cada serviço externo | CMA_C1626 - Implementar interface gerenciada para cada serviço externo | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 - Controle do fluxo de informações usando filtros de política de segurança | Manual, Desativado | 1.1.0 |
| Somente conexões seguras com seu Cache Redis do Azure devem ser habilitadas | Ativação de auditoria apenas de conexões via SSL para o Cache do Azure para Redis. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 1.0.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
| Proibir a ativação remota de dispositivos de computação colaborativa | CMA_C1648 - Proibir a ativação remota de dispositivos de computação colaborativa | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
| Exigir acordos de segurança de interconexão | CMA_C1151 - Exigir acordos de segurança de interligação | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
| A transferência segura para contas de armazenamento deve ser ativada | Requisito de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força sua conta de armazenamento a aceitar solicitações somente de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege os dados em trânsito contra ataques da camada de rede, como man-in-the-middle, escutas e sequestro de sessão | Auditoria, Negar, Desativado | 2.0.0 |
| Atualizar contratos de segurança de interconexão | CMA_0519 - Atualizar os acordos de segurança de interconexão | Manual, Desativado | 1.1.0 |
| Verificar os controlos de segurança dos sistemas de informação externos | CMA_0541 - Verificar os controlos de segurança dos sistemas de informação externos | Manual, Desativado | 1.1.0 |
Acordos sobre a transferência de informações
ID: ISO 27001:2013 A.13.2.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Identificar fornecedores de serviços externos | CMA_C1591 - Identificar prestadores de serviços externos | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Exigir acordos de segurança de interconexão | CMA_C1151 - Exigir acordos de segurança de interligação | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
| Atualizar contratos de segurança de interconexão | CMA_0519 - Atualizar os acordos de segurança de interconexão | Manual, Desativado | 1.1.0 |
Mensagens eletrónicas
ID: ISO 27001:2013 A.13.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
Acordos de confidencialidade ou de não divulgação
ID: ISO 27001:2013 A.13.2.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Desenvolver a política de código de conduta da organização | CMA_0159 - Desenvolver a política de código de conduta da organização | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| Documentar contratos de acesso organizacional | CMA_0192 - Documentar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | CMA_C1528 - Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | Manual, Desativado | 1.1.0 |
| Proibir práticas desleais | CMA_0396 - Proibir as práticas desleais | Manual, Desativado | 1.1.0 |
| Exigir que os usuários assinem o contrato de acesso | CMA_0440 - Exigir que os usuários assinem o contrato de acesso | Manual, Desativado | 1.1.0 |
| Rever e assinar regras de comportamento revistas | CMA_0465 - Rever e assinar regras de comportamento revistas | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar contratos de acesso organizacional | CMA_0520 - Atualizar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
| Atualizar regras de comportamento e acordos de acesso | CMA_0521 - Atualizar regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Atualizar regras de comportamento e acordos de acesso a cada 3 anos | CMA_0522 - Atualizar regras de comportamento e acordos de acesso a cada 3 anos | Manual, Desativado | 1.1.0 |
Aquisição, Desenvolvimento E Manutenção De Sistemas
Análise e especificação de requisitos de segurança da informação
ID: ISO 27001:2013 A.14.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir funções e responsabilidades de segurança da informação | CMA_C1565 - Definir funções e responsabilidades de segurança da informação | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver um conceito de operações (CONOPS) | CMA_0141 - Desenvolver um conceito de operações (CONOPS) | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Identificar fornecedores de serviços externos | CMA_C1591 - Identificar prestadores de serviços externos | Manual, Desativado | 1.1.0 |
| Identificar indivíduos com funções e responsabilidades de segurança | CMA_C1566 - Identificar indivíduos com funções e responsabilidades de segurança | Manual, Desativado | 1.1.1 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Integre o processo de gerenciamento de riscos ao SDLC | CMA_C1567 - Integrar o processo de gestão de riscos no SDLC | Manual, Desativado | 1.1.0 |
| Revisar e atualizar a arquitetura de segurança da informação | CMA_C1504 - Rever e atualizar a arquitetura de segurança da informação | Manual, Desativado | 1.1.0 |
| Rever o processo de desenvolvimento, normas e ferramentas | CMA_C1610 - Rever o processo de desenvolvimento, normas e ferramentas | Manual, Desativado | 1.1.0 |
Protegendo serviços de aplicativos em redes públicas
ID: ISO 27001:2013 A.14.1.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 - Controle do fluxo de informações usando filtros de política de segurança | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
| Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
Protegendo transações de serviços de aplicativos
ID: ISO 27001:2013 A.14.1.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
| Empregar proteção de limites para isolar sistemas de informação | CMA_C1639 - Empregar proteção de fronteiras para isolar sistemas de informação | Manual, Desativado | 1.1.0 |
| Empregar mecanismos de controle de fluxo de informações criptografadas | CMA_0211 - Empregar mecanismos de controle de fluxo de informações criptografadas | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Controle de fluxo de informações usando filtros de política de segurança | CMA_C1029 - Controle do fluxo de informações usando filtros de política de segurança | Manual, Desativado | 1.1.0 |
| Impedir o túnel dividido para dispositivos remotos | CMA_C1632 - Evitar tunelamento dividido para dispositivos remotos | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
| Funcionalidade separada de gerenciamento de usuários e sistemas de informação | CMA_0493 - Separe a funcionalidade de gestão do utilizador e do sistema de informação | Manual, Desativado | 1.1.0 |
| Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
| Usar máquinas dedicadas para tarefas administrativas | CMA_0527 - Use máquinas dedicadas para tarefas administrativas | Manual, Desativado | 1.1.0 |
Política de desenvolvimento seguro
ID: ISO 27001:2013 A.14.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir funções e responsabilidades de segurança da informação | CMA_C1565 - Definir funções e responsabilidades de segurança da informação | Manual, Desativado | 1.1.0 |
| Identificar indivíduos com funções e responsabilidades de segurança | CMA_C1566 - Identificar indivíduos com funções e responsabilidades de segurança | Manual, Desativado | 1.1.1 |
| Integre o processo de gerenciamento de riscos ao SDLC | CMA_C1567 - Integrar o processo de gestão de riscos no SDLC | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores criem uma arquitetura de segurança | CMA_C1612 - Exigir que os desenvolvedores criem uma arquitetura de segurança | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores descrevam funcionalidades de segurança precisas | CMA_C1613 - Exigir que os desenvolvedores descrevam funcionalidades de segurança precisas | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores forneçam uma abordagem unificada de proteção de segurança | CMA_C1614 - Exigir que os desenvolvedores forneçam uma abordagem unificada de proteção de segurança | Manual, Desativado | 1.1.0 |
| Rever o processo de desenvolvimento, normas e ferramentas | CMA_C1610 - Rever o processo de desenvolvimento, normas e ferramentas | Manual, Desativado | 1.1.0 |
Procedimentos de controlo de alterações do sistema
ID: ISO 27001:2013 A.14.2.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desativado | 1.1.0 |
| Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
| Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
| Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabeleça um programa seguro de desenvolvimento de software | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores implementem apenas as alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
Revisão técnica de aplicações após alterações na plataforma operacional
ID: ISO 27001:2013 A.14.2.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
| Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
| Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Restrições às alterações aos pacotes de software
ID: ISO 27001:2013 A.14.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desativado | 1.1.0 |
| Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
| Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
| Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabeleça um programa seguro de desenvolvimento de software | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores implementem apenas as alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
Princípios seguros de engenharia de sistemas
ID: ISO 27001:2013 A.14.2.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Executar validação de entrada de informações | CMA_C1723 - Realizar validação de entrada de informações | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores criem uma arquitetura de segurança | CMA_C1612 - Exigir que os desenvolvedores criem uma arquitetura de segurança | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores descrevam funcionalidades de segurança precisas | CMA_C1613 - Exigir que os desenvolvedores descrevam funcionalidades de segurança precisas | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores forneçam uma abordagem unificada de proteção de segurança | CMA_C1614 - Exigir que os desenvolvedores forneçam uma abordagem unificada de proteção de segurança | Manual, Desativado | 1.1.0 |
| Rever o processo de desenvolvimento, normas e ferramentas | CMA_C1610 - Rever o processo de desenvolvimento, normas e ferramentas | Manual, Desativado | 1.1.0 |
Ambiente de desenvolvimento seguro
ID: ISO 27001:2013 A.14.2.6 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Definir funções e responsabilidades de segurança da informação | CMA_C1565 - Definir funções e responsabilidades de segurança da informação | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Identificar indivíduos com funções e responsabilidades de segurança | CMA_C1566 - Identificar indivíduos com funções e responsabilidades de segurança | Manual, Desativado | 1.1.1 |
| Integre o processo de gerenciamento de riscos ao SDLC | CMA_C1567 - Integrar o processo de gestão de riscos no SDLC | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
Desenvolvimento terceirizado
ID: ISO 27001:2013 A.14.2.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Resolver vulnerabilidades de codificação | CMA_0003 - Resolver vulnerabilidades de codificação | Manual, Desativado | 1.1.0 |
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver e documentar requisitos de segurança de aplicativos | CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Estabeleça um programa seguro de desenvolvimento de software | CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores implementem apenas as alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | CMA_C1602 - Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Testes de segurança do sistema
ID: ISO 27001:2013 A.14.2.8 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Verifique se não há autenticadores estáticos não criptografados | CMA_C1340 - Certifique-se de que não há autenticadores estáticos não criptografados | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Produzir relatório de avaliação de segurança | CMA_C1146 - Produzir relatório de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | CMA_C1602 - Exigir que os desenvolvedores apresentem provas da execução do plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Testes de aceitação do sistema
ID: ISO 27001:2013 A.14.2.9 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir um funcionário de autorização (AO) | CMA_C1158 - Atribuir um funcionário de autorização (AO) | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Garantir que os recursos sejam autorizados | CMA_C1159 - Garantir que os recursos são autorizados | Manual, Desativado | 1.1.0 |
| Verifique se não há autenticadores estáticos não criptografados | CMA_C1340 - Certifique-se de que não há autenticadores estáticos não criptografados | Manual, Desativado | 1.1.0 |
Proteção dos dados de ensaio
ID: ISO 27001:2013 A.14.3.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Verifique se não há autenticadores estáticos não criptografados | CMA_C1340 - Certifique-se de que não há autenticadores estáticos não criptografados | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Realizar revisão de disposição | CMA_0391 - Realizar revisão de disposição | Manual, Desativado | 1.1.0 |
| Executar verificações de vulnerabilidade | CMA_0393 - Executar verificações de vulnerabilidade | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Verificar se os dados pessoais são apagados no final do processamento | CMA_0540 - Verificar se os dados pessoais são apagados no final do tratamento | Manual, Desativado | 1.1.0 |
Relações com Fornecedores
Política de segurança da informação para relações com fornecedores
ID: ISO 27001:2013 A.15.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
Abordar a segurança no âmbito do contrato de fornecedor
ID: ISO 27001:2013 A.15.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Desenvolver a política de código de conduta da organização | CMA_0159 - Desenvolver a política de código de conduta da organização | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
| Identificar fornecedores de serviços externos | CMA_C1591 - Identificar prestadores de serviços externos | Manual, Desativado | 1.1.0 |
| Proibir práticas desleais | CMA_0396 - Proibir as práticas desleais | Manual, Desativado | 1.1.0 |
| Rever e assinar regras de comportamento revistas | CMA_0465 - Rever e assinar regras de comportamento revistas | Manual, Desativado | 1.1.0 |
| Atualizar regras de comportamento e acordos de acesso | CMA_0521 - Atualizar regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Atualizar regras de comportamento e acordos de acesso a cada 3 anos | CMA_0522 - Atualizar regras de comportamento e acordos de acesso a cada 3 anos | Manual, Desativado | 1.1.0 |
Cadeia de abastecimento das tecnologias da informação e da comunicação
ID: ISO 27001:2013 A.15.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar o risco em relações com terceiros | CMA_0014 - Avaliar o risco nas relações com terceiros | Manual, Desativado | 1.1.0 |
| Definir requisitos para o fornecimento de bens e serviços | CMA_0126 - Definir requisitos para o fornecimento de bens e serviços | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Estabelecer políticas para a gestão de riscos da cadeia de valor | CMA_0275 - Estabelecer políticas para a gestão de riscos da cadeia de abastecimento | Manual, Desativado | 1.1.0 |
Acompanhamento e revisão de serviços de fornecedores
ID: ISO 27001:2013 A.15.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Gerir alterações aos serviços dos fornecedores
ID: ISO 27001:2013 A.15.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Gestão de Incidentes de Segurança da Informação
Responsabilidades e procedimentos
ID: ISO 27001:2013 A.16.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Manter registros de violação de dados | CMA_0351 - Manter registos de violação de dados | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Proteja o plano de resposta a incidentes | CMA_0405 - Proteger o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
Relatar eventos de segurança da informação
ID: ISO 27001:2013 A.16.1.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| Relatar comportamento atípico de contas de usuário | CMA_C1025 - Relatar comportamento atípico de contas de usuário | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
Comunicação de deficiências de segurança da informação
ID: ISO 27001:2013 A.16.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Operações de segurança de documentos | CMA_0202 - Operações de segurança documental | Manual, Desativado | 1.1.0 |
| Incorporar a correção de falhas no gerenciamento de configuração | CMA_C1671 - Incorporar a correção de falhas no gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Relatar comportamento atípico de contas de usuário | CMA_C1025 - Relatar comportamento atípico de contas de usuário | Manual, Desativado | 1.1.0 |
Avaliação e decisão sobre eventos de segurança da informação
ID: ISO 27001:2013 A.16.1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Correlacione registros de auditoria | CMA_0087 - Correlacionar registos de auditoria | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
| Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para revisão de auditoria e relatórios | CMA_0277 - Estabelecer requisitos para revisão de auditoria e relatórios | Manual, Desativado | 1.1.0 |
| Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Integre a revisão, análise e emissão de relatórios de auditoria | CMA_0339 - Integre a revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Integre a segurança de aplicativos na nuvem com um siem | CMA_0340 - Integre a segurança de aplicativos na nuvem com um siem | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Relatar comportamento atípico de contas de usuário | CMA_C1025 - Relatar comportamento atípico de contas de usuário | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Revise as atribuições do administrador semanalmente | CMA_0461 - Revisar as atribuições do administrador semanalmente | Manual, Desativado | 1.1.0 |
| Rever os dados de auditoria | CMA_0466 - Rever os dados de auditoria | Manual, Desativado | 1.1.0 |
| Revise a visão geral do relatório de identidade na nuvem | CMA_0468 - Revisar a visão geral do relatório de identidade na nuvem | Manual, Desativado | 1.1.0 |
| Rever eventos de acesso controlado a pastas | CMA_0471 - Revisar eventos de acesso controlado a pastas | Manual, Desativado | 1.1.0 |
| Rever a atividade de ficheiros e pastas | CMA_0473 - Revisar a atividade de arquivos e pastas | Manual, Desativado | 1.1.0 |
| Revisar as alterações do grupo de funções semanalmente | CMA_0476 - Revisar as mudanças do grupo de funções semanalmente | Manual, Desativado | 1.1.0 |
| Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Resposta a incidentes de segurança da informação
ID: ISO 27001:2013 A.16.1.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
| Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
| Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Relatar comportamento atípico de contas de usuário | CMA_C1025 - Relatar comportamento atípico de contas de usuário | Manual, Desativado | 1.1.0 |
| Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Aprender com os incidentes de segurança da informação
ID: ISO 27001:2013 A.16.1.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar eventos de segurança da informação | CMA_0013 - Avaliar eventos de segurança da informação | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de resposta a incidentes | CMA_0145 - Desenvolver um plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| Descubra quaisquer indicadores de compromisso | CMA_C1702 - Descubra quaisquer indicadores de compromisso | Manual, Desativado | 1.1.0 |
| Ativar a proteção de rede | CMA_0238 - Ativar a proteção de rede | Manual, Desativado | 1.1.0 |
| Erradicar a informação contaminada | CMA_0253 - Erradicar a informação contaminada | Manual, Desativado | 1.1.0 |
| Executar ações em resposta a vazamentos de informações | CMA_0281 - Executar ações em resposta a vazamentos de informações | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Manter o plano de resposta a incidentes | CMA_0352 - Manter o plano de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Realizar uma análise de tendência sobre ameaças | CMA_0389 - Realizar uma análise de tendência sobre ameaças | Manual, Desativado | 1.1.0 |
| Relatar comportamento atípico de contas de usuário | CMA_C1025 - Relatar comportamento atípico de contas de usuário | Manual, Desativado | 1.1.0 |
| Exibir e investigar usuários restritos | CMA_0545 - Ver e investigar utilizadores restritos | Manual, Desativado | 1.1.0 |
Recolha de elementos de prova
ID: ISO 27001:2013 A.16.1.7 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
| Determinar eventos auditáveis | CMA_0137 - Determinar eventos auditáveis | Manual, Desativado | 1.1.0 |
| Implementar o tratamento de incidentes | CMA_0318 - Implementar o tratamento de incidentes | Manual, Desativado | 1.1.0 |
| Relatar comportamento atípico de contas de usuário | CMA_C1025 - Relatar comportamento atípico de contas de usuário | Manual, Desativado | 1.1.0 |
| Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
| Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Aspetos de segurança da informação do gerenciamento de continuidade de negócios
Planejando a continuidade da segurança da informação
ID: ISO 27001:2013 A.17.1.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Comunicar alterações ao plano de contingência | CMA_C1249 - Comunicar alterações ao plano de contingência | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | CMA_0146 - Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de planeamento de contingência | CMA_0156 - Desenvolver políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Distribuir políticas e procedimentos | CMA_0185 - Distribuir políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Plano de retomada de funções essenciais do negócio | CMA_C1253 - Plano de retomada de funções essenciais do negócio | Manual, Desativado | 1.1.0 |
| Retomar todas as funções de missão e negócio | CMA_C1254 - Retomar todas as funções de missão e negócio | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever o plano de contingência | CMA_C1247 - Revisão do plano de contingência | Manual, Desativado | 1.1.0 |
| Atualizar plano de contingência | CMA_C1248 - Atualizar o plano de contingência | Manual, Desativado | 1.1.0 |
Implementando a continuidade da segurança da informação
ID: ISO 27001:2013 A.17.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Comunicar alterações ao plano de contingência | CMA_C1249 - Comunicar alterações ao plano de contingência | Manual, Desativado | 1.1.0 |
| Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informação | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Crie locais de armazenamento alternativos e primários separados | CMA_C1269 - Crie locais de armazenamento alternativos e primários separados | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
| Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | CMA_C1268 - Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | Manual, Desativado | 1.1.0 |
| Garantir que o sistema de informações falhe no estado conhecido | CMA_C1662 - Garantir que o sistema de informação falha no estado conhecido | Manual, Desativado | 1.1.0 |
| Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desativado | 1.1.0 |
| Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
| Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos para os fornecedores de serviços Internet | CMA_0278 - Estabelecer requisitos para os fornecedores de serviços Internet | Manual, Desativado | 1.1.0 |
| Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | CMA_C1271 - Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Implementar recuperação baseada em transações | CMA_C1296 - Implementar recuperação baseada em transações | Manual, Desativado | 1.1.0 |
| Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
| Plano de retomada de funções essenciais do negócio | CMA_C1253 - Plano de retomada de funções essenciais do negócio | Manual, Desativado | 1.1.0 |
| Recupere e reconstitua recursos após qualquer interrupção | CMA_C1295 - Recuperar e reconstituir recursos após qualquer interrupção | Manual, Desativado | 1.1.1 |
| Retomar todas as funções de missão e negócio | CMA_C1254 - Retomar todas as funções de missão e negócio | Manual, Desativado | 1.1.0 |
Verificar, revisar e avaliar a continuidade da segurança das informações
ID: ISO 27001:2013 A.17.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Iniciar o plano de contingência testando ações corretivas | CMA_C1263 - Iniciar o plano de contingência testando ações corretivas | Manual, Desativado | 1.1.0 |
| Rever os resultados dos testes dos planos de contingência | CMA_C1262 - Rever os resultados dos testes dos planos de contingência | Manual, Desativado | 1.1.0 |
| Testar a continuidade de negócios e o plano de recuperação de desastres | CMA_0509 - Testar a continuidade de negócios e o plano de recuperação de desastres | Manual, Desativado | 1.1.0 |
Disponibilidade de instalações de tratamento da informação
ID: ISO 27001:2013 A.17.2.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Comunicar alterações ao plano de contingência | CMA_C1249 - Comunicar alterações ao plano de contingência | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Crie locais de armazenamento alternativos e primários separados | CMA_C1269 - Crie locais de armazenamento alternativos e primários separados | Manual, Desativado | 1.1.0 |
| Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | CMA_0146 - Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de planeamento de contingência | CMA_0156 - Desenvolver políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Distribuir políticas e procedimentos | CMA_0185 - Distribuir políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | CMA_C1268 - Garantir que as proteções alternativas do local de armazenamento sejam equivalentes às do local principal | Manual, Desativado | 1.1.0 |
| Garantir que o sistema de informações falhe no estado conhecido | CMA_C1662 - Garantir que o sistema de informação falha no estado conhecido | Manual, Desativado | 1.1.0 |
| Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | CMA_C1267 - Estabeleça um local de armazenamento alternativo para armazenar e recuperar informações de backup | Manual, Desativado | 1.1.0 |
| Estabelecer um local de processamento alternativo | CMA_0262 - Estabelecer um local de processamento alternativo | Manual, Desativado | 1.1.0 |
| Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | CMA_C1271 - Identificar e mitigar possíveis problemas em locais de armazenamento alternativos | Manual, Desativado | 1.1.0 |
| Planejar a continuidade de funções essenciais de negócios | CMA_C1255 - Plano de continuidade das funções essenciais do negócio | Manual, Desativado | 1.1.0 |
| Plano de retomada de funções essenciais do negócio | CMA_C1253 - Plano de retomada de funções essenciais do negócio | Manual, Desativado | 1.1.0 |
| Retomar todas as funções de missão e negócio | CMA_C1254 - Retomar todas as funções de missão e negócio | Manual, Desativado | 1.1.0 |
| Rever o plano de contingência | CMA_C1247 - Revisão do plano de contingência | Manual, Desativado | 1.1.0 |
| Atualizar plano de contingência | CMA_C1248 - Atualizar o plano de contingência | Manual, Desativado | 1.1.0 |
Conformidade
Identificação: legislação aplicável e requisitos contratuais
ID: ISO 27001:2013 A.18.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Proteja o plano do programa de segurança da informação | CMA_C1732 - Proteger o plano do programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Direitos de propriedade intelectual
ID: ISO 27001:2013 A.18.1.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Exigir o cumprimento dos direitos de propriedade intelectual | CMA_0432 - Exigir o cumprimento dos direitos de propriedade intelectual | Manual, Desativado | 1.1.0 |
| Rastreie o uso da licença de software | CMA_C1235 - Rastreie o uso da licença de software | Manual, Desativado | 1.1.0 |
Proteção dos registos
ID: ISO 27001:2013 A.18.1.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Realizar backup da documentação do sistema de informação | CMA_C1289 - Realizar backup da documentação do sistema de informação | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Habilitar autorização dupla ou conjunta | CMA_0226 - Permitir autorização dupla ou conjunta | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Garantir que o sistema de informações falhe no estado conhecido | CMA_C1662 - Garantir que o sistema de informação falha no estado conhecido | Manual, Desativado | 1.1.0 |
| Estabeleça políticas e procedimentos de backup | CMA_0268 - Estabelecer políticas e procedimentos de backup | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Implementar recuperação baseada em transações | CMA_C1296 - Implementar recuperação baseada em transações | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Proteger as informações de auditoria | CMA_0401 - Proteger as informações de auditoria | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Privacidade e proteção de informações pessoais identificáveis
ID: ISO 27001:2013 A.18.1.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Gerenciar atividades de conformidade | CMA_0358 - Gerenciar atividades de conformidade | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Regulamentação dos controlos criptográficos
ID: ISO 27001:2013 A.18.1.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autenticar no módulo criptográfico | CMA_0021 - Autenticar no módulo criptográfico | Manual, Desativado | 1.1.0 |
| Definir cryptographic use | CMA_0120 - Definir uso criptográfico | Manual, Desativado | 1.1.0 |
Análise independente da segurança da informação
ID: ISO 27001:2013 A.18.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar equipe independente para testes de penetração | CMA_C1171 - Empregar equipe independente para testes de penetração | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Conformidade com políticas e normas de segurança
ID: ISO 27001:2013 A.18.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | CMA_0053 - Verifique a conformidade de privacidade e segurança antes de estabelecer conexões internas | Manual, Desativado | 1.1.0 |
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Produzir relatório de avaliação de segurança | CMA_C1146 - Produzir relatório de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Proteja o plano do programa de segurança da informação | CMA_C1732 - Proteger o plano do programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Revisão da conformidade técnica
ID: ISO 27001:2013 A.18.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
| Empregar equipe independente para testes de penetração | CMA_C1171 - Empregar equipe independente para testes de penetração | Manual, Desativado | 1.1.0 |
| Produzir relatório de avaliação de segurança | CMA_C1146 - Produzir relatório de avaliação de segurança | Manual, Desativado | 1.1.0 |
Políticas de Segurança da Informação
Políticas de segurança da informação
ID: ISO 27001:2013 A.5.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de privacidade para contratantes e prestadores de serviços | CMA_C1810 - Estabelecer requisitos de privacidade para contratantes e prestadores de serviços | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Gerenciar atividades de conformidade | CMA_0358 - Gerenciar atividades de conformidade | Manual, Desativado | 1.1.0 |
| Proteja o plano do programa de segurança da informação | CMA_C1732 - Proteger o plano do programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Revisão das políticas de segurança da informação
ID: ISO 27001:2013 A.5.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Proteja o plano do programa de segurança da informação | CMA_C1732 - Proteger o plano do programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Organização da Segurança da Informação
Funções e responsabilidades em matéria de segurança da informação
ID: ISO 27001:2013 A.6.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Comunicar alterações ao plano de contingência | CMA_C1249 - Comunicar alterações ao plano de contingência | Manual, Desativado | 1.1.0 |
| Coordenar planos de contingência com planos relacionados | CMA_0086 - Coordenar planos de contingência com planos relacionados | Manual, Desativado | 1.1.0 |
| Criar proteção de plano de configuração | CMA_C1233 - Criar proteção de plano de configuração | Manual, Desativado | 1.1.0 |
| Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
| Definir funções e responsabilidades de segurança da informação | CMA_C1565 - Definir funções e responsabilidades de segurança da informação | Manual, Desativado | 1.1.0 |
| Designar indivíduos para cumprir funções e responsabilidades específicas | CMA_C1747 - Designar indivíduos para cumprir funções e responsabilidades específicas | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | CMA_0146 - Desenvolver e documentar um plano de continuidade de negócios e recuperação de desastres | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Desenvolver e manter configurações de linha de base | CMA_0153 - Desenvolver e manter configurações de linha de base | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver plano de identificação de item de configuração | CMA_C1231 - Desenvolver plano de identificação de itens de configuração | Manual, Desativado | 1.1.0 |
| Desenvolver plano de gerenciamento de configuração | CMA_C1232 - Desenvolver plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de contingência | CMA_C1244 - Elaborar plano de contingência | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de planeamento de contingência | CMA_0156 - Desenvolver políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Distribuir políticas e procedimentos | CMA_0185 - Distribuir políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Documentar e implementar procedimentos de reclamação de privacidade | CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Documentar requisitos de segurança de pessoal de terceiros | CMA_C1531 - Documentar requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Garantir que as informações do programa de privacidade estejam disponíveis publicamente | CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar um plano de gerenciamento de configuração | CMA_0264 - Estabelecer e documentar um plano de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança de pessoal de terceiros | CMA_C1529 - Estabelecer requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Identificar indivíduos com funções e responsabilidades de segurança | CMA_C1566 - Identificar indivíduos com funções e responsabilidades de segurança | Manual, Desativado | 1.1.1 |
| Implementar uma ferramenta automatizada de gerenciamento de configuração | CMA_0311 - Implementar uma ferramenta automatizada de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Integre o processo de gerenciamento de riscos ao SDLC | CMA_C1567 - Integrar o processo de gestão de riscos no SDLC | Manual, Desativado | 1.1.0 |
| Gerir o estado de segurança dos sistemas de informação | CMA_C1746 - Gerir o estado de segurança dos sistemas de informação | Manual, Desativado | 1.1.0 |
| Monitore a conformidade de provedores terceirizados | CMA_C1533 - Monitorar a conformidade de provedores terceirizados | Manual, Desativado | 1.1.0 |
| Plano de retomada de funções essenciais do negócio | CMA_C1253 - Plano de retomada de funções essenciais do negócio | Manual, Desativado | 1.1.0 |
| Proteja o plano do programa de segurança da informação | CMA_C1732 - Proteger o plano do programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Exigir notificação de transferência ou rescisão de pessoal de terceiros | CMA_C1532 - Exigir notificação de transferência ou rescisão de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Exigir que provedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | CMA_C1530 - Exigir que fornecedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Retomar todas as funções de missão e negócio | CMA_C1254 - Retomar todas as funções de missão e negócio | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Rever o plano de contingência | CMA_C1247 - Revisão do plano de contingência | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
| Atualizar plano de contingência | CMA_C1248 - Atualizar o plano de contingência | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Segregação de Funções
ID: ISO 27001:2013 A.6.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Um máximo de 3 proprietários devem ser designados para a sua subscrição | Recomenda-se designar até 3 proprietários de assinatura para reduzir o potencial de violação por um proprietário comprometido. | AuditIfNotExists, desativado | 3.0.0 |
| Definir autorizações de acesso para suportar a separação de funções | CMA_0116 - Definir autorizações de acesso para suportar a separação de funções | Manual, Desativado | 1.1.0 |
| Documento de separação de funções | CMA_0204 - Documento de separação de funções | Manual, Desativado | 1.1.0 |
| Deveres distintos dos indivíduos | CMA_0492 - Deveres distintos dos indivíduos | Manual, Desativado | 1.1.0 |
| Deve haver mais de um proprietário atribuído à sua assinatura | É recomendável designar mais de um proprietário de assinatura para ter redundância de acesso de administrador. | AuditIfNotExists, desativado | 3.0.0 |
Contacto com as autoridades
ID: ISO 27001:2013 A.6.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Gerir contactos para autoridades e grupos de interesse especiais | CMA_0359 - Gerir contactos para autoridades e grupos de interesse especiais | Manual, Desativado | 1.1.0 |
Contacto com grupos de interesse especiais
ID: ISO 27001:2013 A.6.1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Disseminar alertas de segurança para o pessoal | CMA_C1705 - Divulgar alertas de segurança ao pessoal | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de inteligência contra ameaças | CMA_0260 - Estabelecer um programa de inteligência de ameaças | Manual, Desativado | 1.1.0 |
| Gerar alertas internos de segurança | CMA_C1704 - Gerar alertas internos de segurança | Manual, Desativado | 1.1.0 |
| Implementar diretivas de segurança | CMA_C1706 - Implementar diretivas de segurança | Manual, Desativado | 1.1.0 |
| Gerir contactos para autoridades e grupos de interesse especiais | CMA_0359 - Gerir contactos para autoridades e grupos de interesse especiais | Manual, Desativado | 1.1.0 |
Segurança da informação na gestão de projetos
ID: ISO 27001:2013 A.6.1.5 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alinhe os objetivos de negócios e as metas de TI | CMA_0008 - Alinhar objetivos de negócios e metas de TI | Manual, Desativado | 1.1.0 |
| Alocar recursos na determinação dos requisitos do sistema de informações | CMA_C1561 - Alocar recursos na determinação dos requisitos do sistema de informação | Manual, Desativado | 1.1.0 |
| Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
| Definir funções e responsabilidades de segurança da informação | CMA_C1565 - Definir funções e responsabilidades de segurança da informação | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Estabelecer um item de linha discreto na documentação de orçamento | CMA_C1563 - Estabelecer um item de linha discreto na documentação de orçamento | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Governar a alocação de recursos | CMA_0293 - Governar a afetação de recursos | Manual, Desativado | 1.1.0 |
| Identificar indivíduos com funções e responsabilidades de segurança | CMA_C1566 - Identificar indivíduos com funções e responsabilidades de segurança | Manual, Desativado | 1.1.1 |
| Integre o processo de gerenciamento de riscos ao SDLC | CMA_C1567 - Integrar o processo de gestão de riscos no SDLC | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Rever o processo de desenvolvimento, normas e ferramentas | CMA_C1610 - Rever o processo de desenvolvimento, normas e ferramentas | Manual, Desativado | 1.1.0 |
| Garantir o compromisso da liderança | CMA_0489 - Garantir o compromisso da liderança | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Política de dispositivos móveis
ID: ISO 27001:2013 A.6.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Definir requisitos de dispositivos móveis | CMA_0122 - Definir requisitos de dispositivos móveis | Manual, Desativado | 1.1.0 |
| Documentar e implementar diretrizes de acesso sem fio | CMA_0190 - Documentar e implementar diretrizes de acesso sem fio | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja o acesso sem fio | CMA_0411 - Proteja o acesso sem fio | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Teletrabalho
ID: ISO 27001:2013 A.6.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Autorizar acesso remoto | CMA_0024 - Autorizar acesso remoto | Manual, Desativado | 1.1.0 |
| Formação em mobilidade documental | CMA_0191 - Formação em mobilidade documental | Manual, Desativado | 1.1.0 |
| Documentar diretrizes de acesso remoto | CMA_0196 - Documentar diretrizes de acesso remoto | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Identificar e autenticar dispositivos de rede | CMA_0296 - Identificar e autenticar dispositivos de rede | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger locais de trabalho alternativos | CMA_0315 - Implementar controles para proteger locais de trabalho alternativos | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar os usuários sobre o logon ou acesso ao sistema | CMA_0382 - Notificar os usuários sobre o logon ou acesso ao sistema | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Segurança de Recursos Humanos
Rastreio
ID: ISO 27001:2013 A.7.1.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Pessoal claro com acesso a informações classificadas | CMA_0054 - Pessoal claro com acesso a informação classificada | Manual, Desativado | 1.1.0 |
| Implementar a triagem de pessoal | CMA_0322 - Implementar a triagem de pessoal | Manual, Desativado | 1.1.0 |
| Retriagem de indivíduos em uma frequência definida | CMA_C1512 - Retriagem de indivíduos em uma frequência definida | Manual, Desativado | 1.1.0 |
Termos e condições de emprego
ID: ISO 27001:2013 A.7.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Desenvolver proteções de segurança | CMA_0161 - Desenvolver salvaguardas de segurança | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Documentar contratos de acesso organizacional | CMA_0192 - Documentar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | CMA_C1528 - Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | Manual, Desativado | 1.1.0 |
| Garantir que as informações do programa de privacidade estejam disponíveis publicamente | CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Implementar métodos de entrega de aviso de privacidade | CMA_0324 - Implementar métodos de entrega de avisos de privacidade | Manual, Desativado | 1.1.0 |
| Obter consentimento antes da recolha ou tratamento de dados pessoais | CMA_0385 - Obter consentimento prévio à recolha ou tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Fornecer aviso de privacidade | CMA_0414 - Fornecer aviso de privacidade | Manual, Desativado | 1.1.0 |
| Exigir que os usuários assinem o contrato de acesso | CMA_0440 - Exigir que os usuários assinem o contrato de acesso | Manual, Desativado | 1.1.0 |
| Atualizar contratos de acesso organizacional | CMA_0520 - Atualizar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
Responsabilidades de gestão
ID: ISO 27001:2013 A.7.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir e documentar a supervisão governamental | CMA_C1587 - Definir e documentar a supervisão governamental | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Documentar contratos de acesso organizacional | CMA_0192 - Documentar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Documentar requisitos de segurança de pessoal de terceiros | CMA_C1531 - Documentar requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | CMA_C1528 - Garantir que os acordos de acesso sejam assinados ou renunciados em tempo hábil | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança de pessoal de terceiros | CMA_C1529 - Estabelecer requisitos de segurança de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Monitore a conformidade de provedores terceirizados | CMA_C1533 - Monitorar a conformidade de provedores terceirizados | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Exigir notificação de transferência ou rescisão de pessoal de terceiros | CMA_C1532 - Exigir notificação de transferência ou rescisão de pessoal de terceiros | Manual, Desativado | 1.1.0 |
| Exigir que provedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | CMA_C1530 - Exigir que fornecedores terceirizados cumpram as políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Exigir que os usuários assinem o contrato de acesso | CMA_0440 - Exigir que os usuários assinem o contrato de acesso | Manual, Desativado | 1.1.0 |
| Analisar a conformidade do provedor de serviços de nuvem com políticas e contratos | CMA_0469 - Analisar a conformidade do fornecedor de serviços na nuvem com políticas e acordos | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
| Atualizar contratos de acesso organizacional | CMA_0520 - Atualizar acordos de acesso organizacional | Manual, Desativado | 1.1.0 |
Sensibilização, educação e formação em matéria de segurança da informação
ID: ISO 27001:2013 A.7.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Empregar ambiente de treinamento automatizado | CMA_C1357 - Empregar ambiente de treinamento automatizado | Manual, Desativado | 1.1.0 |
| Estabelecer um programa de desenvolvimento e melhoria da força de trabalho de segurança da informação | CMA_C1752 - Estabelecer programa de desenvolvimento e melhoria da força de trabalho de segurança da informação | Manual, Desativado | 1.1.0 |
| Monitore a conclusão do treinamento de segurança e privacidade | CMA_0379 - Monitorar a conclusão do treinamento de segurança e privacidade | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de contingência | CMA_0412 - Fornecer formação em contingência | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de derramamento de informações | CMA_0413 - Fornecer treinamento de derramamento de informações | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de segurança baseado em funções | CMA_C1095 - Fornecer treinamento periódico de segurança baseado em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento periódico de conscientização sobre segurança | CMA_C1091 - Fornecer treinamento periódico de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança baseado em funções | CMA_C1094 - Fornecer treinamento de segurança baseado em funções | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança antes de fornecer acesso | CMA_0418 - Fornecer treinamento de segurança antes de fornecer acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de segurança para novos usuários | CMA_0419 - Fornecer treinamento de segurança para novos usuários | Manual, Desativado | 1.1.0 |
| Fornecer treinamento atualizado de conscientização sobre segurança | CMA_C1090 - Fornecer treinamento atualizado de conscientização sobre segurança | Manual, Desativado | 1.1.0 |
| Reter registros de treinamento | CMA_0456 - Reter registos de formação | Manual, Desativado | 1.1.0 |
| Formar o pessoal em matéria de divulgação de informações confidenciais | CMA_C1084 - Formar o pessoal em matéria de divulgação de informações não públicas | Manual, Desativado | 1.1.0 |
Processo disciplinar
ID: ISO 27001:2013 A.7.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar um processo formal de sanções | CMA_0317 - Implementar um processo formal de sanções | Manual, Desativado | 1.1.0 |
| Notificar o pessoal sobre sanções | CMA_0380 - Notificar o pessoal sobre sanções | Manual, Desativado | 1.1.0 |
Rescisão ou mudança de responsabilidades laborais
ID: ISO 27001:2013 A.7.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Conduzir entrevista de saída após a rescisão | CMA_0058 - Conduzir entrevista de saída após a rescisão | Manual, Desativado | 1.1.0 |
| Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
| Iniciar ações de transferência ou reatribuição | CMA_0333 - Iniciar ações de transferência ou reatribuição | Manual, Desativado | 1.1.0 |
| Modificar autorizações de acesso após transferência de pessoal | CMA_0374 - Modificar as autorizações de acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
| Notificar após a rescisão ou transferência | CMA_0381 - Notificar após a rescisão ou transferência | Manual, Desativado | 1.1.0 |
| Proteja e impeça o roubo de dados de funcionários que saem | CMA_0398 - Proteja e impeça o roubo de dados da saída de funcionários | Manual, Desativado | 1.1.0 |
| Reavaliar o acesso após a transferência de pessoal | CMA_0424 - Reavaliar o acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
| Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Gestão de Recursos
Inventário de ativos
ID: ISO 27001:2013 A.8.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
| Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
Propriedade de ativos
ID: ISO 27001:2013 A.8.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Controlar a utilização de dispositivos de armazenamento portáteis | CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis | Manual, Desativado | 1.1.0 |
| Criar um inventário de dados | CMA_0096 - Criar um inventário de dados | Manual, Desativado | 1.1.0 |
| Estabelecer e manter um inventário de ativos | CMA_0266 - Estabelecer e manter um inventário de ativos | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Manter registos do tratamento de dados pessoais | CMA_0353 - Manter registos do tratamento de dados pessoais | Manual, Desativado | 1.1.0 |
| Restringir o uso de mídia | CMA_0450 - Restringir o uso de mídia | Manual, Desativado | 1.1.0 |
Utilização aceitável dos ativos
ID: ISO 27001:2013 A.8.1.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
Restituição de ativos
ID: ISO 27001:2013 A.8.1.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Conduzir entrevista de saída após a rescisão | CMA_0058 - Conduzir entrevista de saída após a rescisão | Manual, Desativado | 1.1.0 |
| Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
| Iniciar ações de transferência ou reatribuição | CMA_0333 - Iniciar ações de transferência ou reatribuição | Manual, Desativado | 1.1.0 |
| Modificar autorizações de acesso após transferência de pessoal | CMA_0374 - Modificar as autorizações de acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
| Notificar após a rescisão ou transferência | CMA_0381 - Notificar após a rescisão ou transferência | Manual, Desativado | 1.1.0 |
| Proteja e impeça o roubo de dados de funcionários que saem | CMA_0398 - Proteja e impeça o roubo de dados da saída de funcionários | Manual, Desativado | 1.1.0 |
| Reavaliar o acesso após a transferência de pessoal | CMA_0424 - Reavaliar o acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
| Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Classificação das informações
ID: ISO 27001:2013 A.8.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Categorizar informações | CMA_0052 - Categorizar informações | Manual, Desativado | 1.1.0 |
| Desenvolver sistemas de classificação de empresas | CMA_0155 - Desenvolver sistemas de classificação de empresas | Manual, Desativado | 1.1.0 |
| Garantir que a categorização de segurança seja aprovada | CMA_C1540 - Garantir que a categorização de segurança seja aprovada | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
| Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas | Monitore a avaliação de vulnerabilidades, os resultados da verificação e as recomendações sobre como corrigir vulnerabilidades do banco de dados. | AuditIfNotExists, desativado | 4.1.0 |
Rotulagem das informações
ID: ISO 27001:2013 A.8.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Tratamento de ativos
ID: ISO 27001:2013 A.8.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Configurar estações de trabalho para verificar certificados digitais | CMA_0073 - Configurar estações de trabalho para verificar certificados digitais | Manual, Desativado | 1.1.0 |
| Controlar o fluxo de informações | CMA_0079 - Controlar o fluxo de informações | Manual, Desativado | 1.1.0 |
| Controlar o acesso físico | CMA_0081 - Controle o acesso físico | Manual, Desativado | 1.1.0 |
| Controlar a utilização de dispositivos de armazenamento portáteis | CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis | Manual, Desativado | 1.1.0 |
| Definir requisitos para o gerenciamento de ativos | CMA_0125 - Definir requisitos para a gestão de ativos | Manual, Desativado | 1.1.0 |
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Estabelecer um procedimento de gestão de fugas de dados | CMA_0255 - Estabelecer um procedimento de gestão de fugas de dados | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Estabeleça padrões de configuração de firewall e roteador | CMA_0272 - Estabelecer padrões de configuração de firewall e roteador | Manual, Desativado | 1.1.0 |
| Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | CMA_0273 - Estabelecer segmentação de rede para o ambiente de dados do titular do cartão | Manual, Desativado | 1.1.0 |
| Identificar e gerir os intercâmbios de informações a jusante | CMA_0298 - Identificar e gerir os intercâmbios de informações a jusante | Manual, Desativado | 1.1.0 |
| Implementar um serviço de nome/endereço tolerante a falhas | CMA_0305 - Implementar um serviço de nome/endereço tolerante a falhas | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras | Manual, Desativado | 1.1.0 |
| Gerencie a entrada, saída, processamento e armazenamento de dados | CMA_0369 - Gerenciar a entrada, saída, processamento e armazenamento de dados | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Produzir, controlar e distribuir chaves criptográficas assimétricas | CMA_C1646 - Produzir, controlar e distribuir chaves criptográficas assimétricas | Manual, Desativado | 1.1.0 |
| Proteja os dados em trânsito usando criptografia | CMA_0403 - Proteja os dados em trânsito usando criptografia | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Proteja informações especiais | CMA_0409 - Proteja informações especiais | Manual, Desativado | 1.1.0 |
| Fornecer serviços seguros de resolução de nomes e endereços | CMA_0416 - Fornecer serviços seguros de resolução de nomes e endereços | Manual, Desativado | 1.1.0 |
| Restringir o uso de mídia | CMA_0450 - Restringir o uso de mídia | Manual, Desativado | 1.1.0 |
| Revisar a atividade e a análise de rótulos | CMA_0474 - Revisar a atividade e a análise de rótulos | Manual, Desativado | 1.1.0 |
Gestão de suportes amovíveis
ID: ISO 27001:2013 A.8.3.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | CMA_0050 - Bloqueie processos não confiáveis e não assinados que são executados a partir de USB | Manual, Desativado | 1.1.0 |
| Controlar a utilização de dispositivos de armazenamento portáteis | CMA_0083 - Controlar a utilização de dispositivos de armazenamento portáteis | Manual, Desativado | 1.1.0 |
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
| Restringir o uso de mídia | CMA_0450 - Restringir o uso de mídia | Manual, Desativado | 1.1.0 |
Eliminação de suportes
ID: ISO 27001:2013 A.8.3.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Empregar um mecanismo de higienização de mídia | CMA_0208 - Empregar um mecanismo de higienização de mídia | Manual, Desativado | 1.1.0 |
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
Transferência de mídia física
ID: ISO 27001:2013 A.8.3.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar controles para proteger todas as mídias | CMA_0314 - Implementar controles para proteger todas as mídias | Manual, Desativado | 1.1.0 |
| Gerir o transporte de ativos | CMA_0370 - Gerir o transporte de ativos | Manual, Desativado | 1.1.0 |
Controlo de Acesso
Política de controlo de acessos
ID: ISO 27001:2013 A.9.1.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
Acesso a redes e serviços de rede
ID: ISO 27001:2013 A.9.1.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Auditar máquinas Linux que permitem conexões remotas de contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que permitem conexões remotas de contas sem senhas | AuditIfNotExists, desativado | 1.4.0 |
| Auditar máquinas Linux que têm contas sem senhas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que têm contas sem senhas | AuditIfNotExists, desativado | 1.4.0 |
| Auditar VMs que não usam discos gerenciados | Esta política audita VMs que não utilizam discos geridos | auditoria | 1.0.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Habilitar a deteção de dispositivos de rede | CMA_0220 - Permitir a deteção de dispositivos de rede | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de assinatura eletrônica e certificado | CMA_0271 - Estabelecer requisitos de assinatura eletrônica e certificado | Manual, Desativado | 1.1.0 |
| Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desativado | 1.1.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
| Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
| As contas de armazenamento devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
| Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
| As máquinas virtuais devem ser migradas para novos recursos do Azure Resource Manager | Use o novo Azure Resource Manager para suas máquinas virtuais para fornecer aprimoramentos de segurança, como: RBAC (controle de acesso mais forte), melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para tags e grupos de recursos para facilitar o gerenciamento de segurança | Auditoria, Negar, Desativado | 1.0.0 |
Registo e cancelamento de registo de utilizadores
ID: ISO 27001:2013 A.9.2.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir gerentes de conta | CMA_0015 - Atribuir gerentes de conta | Manual, Desativado | 1.1.0 |
| Atribuir identificadores do sistema | CMA_0018 - Atribuir identificadores do sistema | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
| Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
| Habilitar a deteção de dispositivos de rede | CMA_0220 - Permitir a deteção de dispositivos de rede | Manual, Desativado | 1.1.0 |
| Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
| Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
| Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
| Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador | Manual, Desativado | 1.1.0 |
| Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desativado | 1.1.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
| Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Gerenciar autenticadores | CMA_C1321 - Gerenciar autenticadores | Manual, Desativado | 1.1.0 |
| Notificar os gerentes de conta sobre contas controladas pelo cliente | CMA_C1009 - Notificar os gerentes de conta sobre contas controladas pelo cliente | Manual, Desativado | 1.1.0 |
| Impedir a reutilização do identificador durante o período de tempo definido | CMA_C1314 - Impedir a reutilização do identificador durante o período de tempo definido | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
| Reemitir autenticadores para grupos e contas alterados | CMA_0426 - Reemitir autenticadores para grupos e contas alterados | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever e reavaliar privilégios | CMA_C1207 - Rever e reavaliar privilégios | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
| Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
| Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
Provisionamento de acesso do usuário
ID: ISO 27001:2013 A.9.2.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir gerentes de conta | CMA_0015 - Atribuir gerentes de conta | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
| Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar os gerentes de conta sobre contas controladas pelo cliente | CMA_C1009 - Notificar os gerentes de conta sobre contas controladas pelo cliente | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever e reavaliar privilégios | CMA_C1207 - Rever e reavaliar privilégios | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
Gestão de direitos de acesso privilegiados
ID: ISO 27001:2013 A.9.2.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Um administrador do Ative Directory do Azure deve ser provisionado para servidores SQL | Provisionamento de auditoria de um administrador do Azure Ative Directory para seu servidor SQL para habilitar a autenticação do Azure AD. A autenticação do Azure AD permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades de usuários de banco de dados e outros serviços da Microsoft | AuditIfNotExists, desativado | 1.0.0 |
| Atribuir gerentes de conta | CMA_0015 - Atribuir gerentes de conta | Manual, Desativado | 1.1.0 |
| Funções privilegiadas de auditoria | CMA_0019 - Funções privilegiadas de auditoria | Manual, Desativado | 1.1.0 |
| Auditar o uso de funções RBAC personalizadas | Audite funções internas, como 'Proprietário, Contribuinte, Leitor' em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e modelagem de ameaças | Auditoria, Desativado | 1.0.1 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Monitorar atribuição de função privilegiada | CMA_0378 - Monitorar atribuição de função privilegiada | Manual, Desativado | 1.1.0 |
| Notificar os gerentes de conta sobre contas controladas pelo cliente | CMA_C1009 - Notificar os gerentes de conta sobre contas controladas pelo cliente | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever e reavaliar privilégios | CMA_C1207 - Rever e reavaliar privilégios | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Os clusters do Service Fabric só devem usar o Azure Ative Directory para autenticação de cliente | Auditar o uso da autenticação de cliente somente por meio do Azure Ative Directory no Service Fabric | Auditoria, Negar, Desativado | 1.1.0 |
| Usar o gerenciamento privilegiado de identidades | CMA_0533 - Use o gerenciamento privilegiado de identidades | Manual, Desativado | 1.1.0 |
Gestão de informações de autenticação secreta de utilizadores
ID: ISO 27001:2013 A.9.2.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Auditar máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Linux que não têm as permissões de arquivo passwd definidas como 0644 | AuditIfNotExists, desativado | 1.4.0 |
| Implante a extensão Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs Linux | Esta política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais Linux hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições de Configuração de Convidado do Linux e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
| Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
| Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador | Manual, Desativado | 1.1.0 |
| Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
| Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Gerenciar autenticadores | CMA_C1321 - Gerenciar autenticadores | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
| Reemitir autenticadores para grupos e contas alterados | CMA_0426 - Reemitir autenticadores para grupos e contas alterados | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
Revisão dos direitos de acesso do usuário
ID: ISO 27001:2013 A.9.2.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir gerentes de conta | CMA_0015 - Atribuir gerentes de conta | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
| Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
| Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
| Contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas | As contas externas com permissões de proprietário devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Contas de convidado com permissões de gravação em recursos do Azure devem ser removidas | As contas externas com privilégios de escrita devem ser removidas da sua subscrição para evitar o acesso não monitorizado. | AuditIfNotExists, desativado | 1.0.0 |
| Notificar os gerentes de conta sobre contas controladas pelo cliente | CMA_C1009 - Notificar os gerentes de conta sobre contas controladas pelo cliente | Manual, Desativado | 1.1.0 |
| Reatribuir ou remover privilégios de usuário conforme necessário | CMA_C1040 - Reatribuir ou remover privilégios de usuário conforme necessário | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever e reavaliar privilégios | CMA_C1207 - Rever e reavaliar privilégios | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
| Rever os privilégios de utilizador | CMA_C1039 - Rever os privilégios do utilizador | Manual, Desativado | 1.1.0 |
Supressão ou ajustamento dos direitos de acesso
ID: ISO 27001:2013 A.9.2.6 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atribuir gerentes de conta | CMA_0015 - Atribuir gerentes de conta | Manual, Desativado | 1.1.0 |
| Auditar o status da conta de usuário | CMA_0020 - Auditar o status da conta de usuário | Manual, Desativado | 1.1.0 |
| Contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas | Contas preteridas com permissões de proprietário devem ser removidas da sua assinatura. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas | As contas preteridas devem ser removidas das suas subscrições. Contas preteridas são contas que foram bloqueadas para entrar. | AuditIfNotExists, desativado | 1.0.0 |
| Definir tipos de conta do sistema de informação | CMA_0121 - Definir tipos de conta do sistema de informação | Manual, Desativado | 1.1.0 |
| Privilégios de acesso a documentos | CMA_0186 - Privilégios de acesso a documentos | Manual, Desativado | 1.1.0 |
| Estabelecer condições para a participação em funções | CMA_0269 - Estabelecer condições para a participação em funções | Manual, Desativado | 1.1.0 |
| Iniciar ações de transferência ou reatribuição | CMA_0333 - Iniciar ações de transferência ou reatribuição | Manual, Desativado | 1.1.0 |
| Modificar autorizações de acesso após transferência de pessoal | CMA_0374 - Modificar as autorizações de acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
| Notificar os gerentes de conta sobre contas controladas pelo cliente | CMA_C1009 - Notificar os gerentes de conta sobre contas controladas pelo cliente | Manual, Desativado | 1.1.0 |
| Notificar após a rescisão ou transferência | CMA_0381 - Notificar após a rescisão ou transferência | Manual, Desativado | 1.1.0 |
| Reavaliar o acesso após a transferência de pessoal | CMA_0424 - Reavaliar o acesso após a transferência de pessoal | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar logs de provisionamento de conta | CMA_0460 - Revisar logs de provisionamento de conta | Manual, Desativado | 1.1.0 |
| Rever e reavaliar privilégios | CMA_C1207 - Rever e reavaliar privilégios | Manual, Desativado | 1.1.0 |
| Rever contas de utilizador | CMA_0480 - Rever contas de utilizador | Manual, Desativado | 1.1.0 |
Uso de informações de autenticação secretas
ID: ISO 27001:2013 A.9.3.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
| Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
| Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador | Manual, Desativado | 1.1.0 |
| Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
| Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Gerenciar autenticadores | CMA_C1321 - Gerenciar autenticadores | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
| Reemitir autenticadores para grupos e contas alterados | CMA_0426 - Reemitir autenticadores para grupos e contas alterados | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Encerrar credenciais de conta controladas pelo cliente | CMA_C1022 - Encerrar credenciais de conta controladas pelo cliente | Manual, Desativado | 1.1.0 |
| Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
Restrição de acesso à informação
ID: ISO 27001:2013 A.9.4.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Automatize o gerenciamento de contas | CMA_0026 - Automatize o gerenciamento de contas | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desativado | 1.1.0 |
| Gerenciar contas de sistema e de administrador | CMA_0368 - Gerenciar contas de sistema e de administrador | Manual, Desativado | 1.1.0 |
| Monitore o acesso em toda a organização | CMA_0376 - Monitorar o acesso em toda a organização | Manual, Desativado | 1.1.0 |
| Notificar quando a conta não for necessária | CMA_0383 - Notificar quando a conta não for necessária | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Procedimentos de início de sessão seguros
ID: ISO 27001:2013 A.9.4.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Contas com permissões de proprietário em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com permissões de proprietário para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de leitura em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de leitura para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Contas com permissões de gravação em recursos do Azure devem ser habilitadas para MFA | A autenticação multifator (MFA) deve ser habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma violação de contas ou recursos. | AuditIfNotExists, desativado | 1.0.0 |
| Adotar mecanismos de autenticação biométrica | CMA_0005 - Adotar mecanismos de autenticação biométrica | Manual, Desativado | 1.1.0 |
| Habilitar a deteção de dispositivos de rede | CMA_0220 - Permitir a deteção de dispositivos de rede | Manual, Desativado | 1.1.0 |
| Impor um limite de tentativas consecutivas de login com falha | CMA_C1044 - Impor um limite de tentativas de login falhadas consecutivas | Manual, Desativado | 1.1.0 |
| Impor a exclusividade do usuário | CMA_0250 - Reforçar a exclusividade do utilizador | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de assinatura eletrônica e certificado | CMA_0271 - Estabelecer requisitos de assinatura eletrônica e certificado | Manual, Desativado | 1.1.0 |
| Gerar mensagens de erro | CMA_C1724 - Gerar mensagens de erro | Manual, Desativado | 1.1.0 |
| Identificar ações permitidas sem autenticação | CMA_0295 - Identificar ações permitidas sem autenticação | Manual, Desativado | 1.1.0 |
| Identificar e autenticar usuários não organizacionais | CMA_C1346 - Identificar e autenticar usuários não organizacionais | Manual, Desativado | 1.1.0 |
| Informações de feedback obscuras durante o processo de autenticação | CMA_C1344 - Informações de feedback obscuras durante o processo de autenticação | Manual, Desativado | 1.1.0 |
| Revelar mensagens de erro | CMA_C1725 - Revelar mensagens de erro | Manual, Desativado | 1.1.0 |
| Encaminhar o tráfego através de pontos de acesso de rede gerenciados | CMA_0484 - Encaminhe o tráfego através de pontos de acesso de rede gerenciados | Manual, Desativado | 1.1.0 |
| Definir notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | CMA_0495 - Defina notificações automatizadas para aplicativos de nuvem novos e em alta em sua organização | Manual, Desativado | 1.1.0 |
| Suporte a credenciais de verificação pessoal emitidas por autoridades legais | CMA_0507 - Apoiar credenciais de verificação pessoal emitidas por autoridades legais | Manual, Desativado | 1.1.0 |
| Encerrar sessão de usuário automaticamente | CMA_C1054 - Encerrar sessão de usuário automaticamente | Manual, Desativado | 1.1.0 |
Sistema de gestão de palavras-passe
ID: ISO 27001:2013 A.9.4.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado, mas não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Adicionar identidade gerenciada atribuída pelo sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída pelo usuário | Esta política adiciona uma identidade gerenciada atribuída pelo sistema a máquinas virtuais hospedadas no Azure que são suportadas pela Configuração de Convidado e têm pelo menos uma identidade atribuída pelo usuário, mas não têm uma identidade gerenciada atribuída pelo sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada às máquinas antes de usar qualquer definição de política de Configuração de Convidado. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | modificar | 1.3.0 |
| Auditar máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24 | AuditIfNotExists, desativado | 1.1.0 |
| Auditar máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade máxima da senha definida para o número especificado de dias. O valor padrão para a idade máxima da senha é 70 dias | AuditIfNotExists, desativado | 1.1.0 |
| Auditar máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a idade mínima da senha definida para o número especificado de dias. O valor padrão para a idade mínima da senha é de 1 dia | AuditIfNotExists, desativado | 1.1.0 |
| Auditar máquinas Windows que não têm a configuração de complexidade de senha habilitada | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não têm a configuração de complexidade de senha habilitada | AuditIfNotExists, desativado | 1.0.0 |
| Auditar máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres | Requer que os pré-requisitos sejam implantados no escopo da atribuição de política. Para mais detalhes, visite https://aka.ms/gcpol. As máquinas não são compatíveis se as máquinas Windows que não restringem o comprimento mínimo da senha ao número especificado de caracteres. O valor padrão para o comprimento mínimo da senha é de 14 caracteres | AuditIfNotExists, desativado | 1.1.0 |
| Implantar a extensão Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows | Esta política implanta a extensão Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure que são suportadas pela Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições de Configuração de Convidado do Windows e deve ser implantada em máquinas antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre Configuração de convidado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Desativar autenticadores após a rescisão | CMA_0169 - Desativar autenticadores após a rescisão | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Estabelecer uma política de senha | CMA_0256 - Estabeleça uma política de senha | Manual, Desativado | 1.1.0 |
| Estabelecer tipos e processos de autenticador | CMA_0267 - Estabelecer tipos e processos de autenticadores | Manual, Desativado | 1.1.0 |
| Estabelecer procedimentos para a distribuição inicial do autenticador | CMA_0276 - Estabelecer procedimentos para a distribuição inicial do autenticador | Manual, Desativado | 1.1.0 |
| Implementar parâmetros para verificadores secretos memorizados | CMA_0321 - Implementar parâmetros para verificadores secretos memorizados | Manual, Desativado | 1.1.0 |
| Implementar treinamento para proteger autenticadores | CMA_0329 - Implementar treinamento para proteger autenticadores | Manual, Desativado | 1.1.0 |
| Gerencie o tempo de vida e a reutilização do autenticador | CMA_0355 - Gerencie o tempo de vida e a reutilização do autenticador | Manual, Desativado | 1.1.0 |
| Gerenciar autenticadores | CMA_C1321 - Gerenciar autenticadores | Manual, Desativado | 1.1.0 |
| Proteja senhas com criptografia | CMA_0408 - Proteja senhas com criptografia | Manual, Desativado | 1.1.0 |
| Atualizar autenticadores | CMA_0425 - Atualizar autenticadores | Manual, Desativado | 1.1.0 |
| Reemitir autenticadores para grupos e contas alterados | CMA_0426 - Reemitir autenticadores para grupos e contas alterados | Manual, Desativado | 1.1.0 |
| Revogar funções privilegiadas conforme apropriado | CMA_0483 - Revogar funções privilegiadas conforme apropriado | Manual, Desativado | 1.1.0 |
| Verificar a identidade antes de distribuir autenticadores | CMA_0538 - Verificar a identidade antes de distribuir autenticadores | Manual, Desativado | 1.1.0 |
Utilização de programas utilitários privilegiados
ID: ISO 27001:2013 A.9.4.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Restringir o acesso a contas privilegiadas | CMA_0446 - Restringir o acesso a contas privilegiadas | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Controle de acesso ao código-fonte do programa
ID: ISO 27001:2013 A.9.4.5 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Autorizar o acesso a funções e informações de segurança | CMA_0022 - Autorizar o acesso a funções e informações de segurança | Manual, Desativado | 1.1.0 |
| Autorizar e gerenciar o acesso | CMA_0023 - Autorizar e gerir o acesso | Manual, Desativado | 1.1.0 |
| Projetar um modelo de controle de acesso | CMA_0129 - Projetar um modelo de controle de acesso | Manual, Desativado | 1.1.0 |
| Empregar acesso com privilégios mínimos | CMA_0212 - Empregar acesso com privilégios mínimos | Manual, Desativado | 1.1.0 |
| Impor acesso lógico | CMA_0245 - Impor acesso lógico | Manual, Desativado | 1.1.0 |
| Aplicar políticas de controle de acesso obrigatórias e discricionárias | CMA_0246 - Aplicar políticas de controle de acesso obrigatórias e discricionárias | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Limitar privilégios para fazer alterações no ambiente de produção | CMA_C1206 - Limitar privilégios para fazer alterações no ambiente de produção | Manual, Desativado | 1.1.0 |
| Exigir aprovação para a criação de conta | CMA_0431 - Requer aprovação para a criação de conta | Manual, Desativado | 1.1.0 |
| Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | CMA_0481 - Revisar grupos de usuários e aplicativos com acesso a dados confidenciais | Manual, Desativado | 1.1.0 |
Melhoria
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.e Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.f Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Não conformidade e ação corretiva
ID: ISO 27001:2013 C.10.1.g Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Contexto da organização
Determinar o âmbito do sistema de gestão da segurança da informação
ID: ISO 27001:2013 C.4.3.a Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Determinar o âmbito do sistema de gestão da segurança da informação
ID: ISO 27001:2013 C.4.3.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Determinar o âmbito do sistema de gestão da segurança da informação
ID: ISO 27001:2013 C.4.3.c Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alinhe os objetivos de negócios e as metas de TI | CMA_0008 - Alinhar objetivos de negócios e metas de TI | Manual, Desativado | 1.1.0 |
| Determinar as obrigações contratuais do fornecedor | CMA_0140 - Determinar as obrigações contratuais do fornecedor | Manual, Desativado | 1.1.0 |
| Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
| Critérios de aceitação do contrato de aquisição de documentos | CMA_0187 - Critérios de aceitação do contrato de aquisição de documentos | Manual, Desativado | 1.1.0 |
| Proteção documental de dados pessoais em contratos de aquisição | CMA_0194 - Proteção documental de dados pessoais em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Proteção de documentos de informações de segurança em contratos de aquisição | CMA_0195 - Proteção documental de informações de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos para a utilização de dados partilhados em contratos | CMA_0197 - Requisitos documentais para a utilização de dados partilhados em contratos | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de garantia de segurança nos contratos de aquisição | CMA_0199 - Documentar requisitos de garantia de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de documentação de segurança no contrato de aquisição | CMA_0200 - Documentar requisitos de documentação de segurança no contrato de aquisição | Manual, Desativado | 1.1.0 |
| Requisitos funcionais de segurança documental em contratos de aquisição | CMA_0201 - Requisitos funcionais de segurança documental em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar os requisitos de segurança nos contratos de aquisição | CMA_0203 - Documentar requisitos de segurança em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar o ambiente do sistema de informação nos contratos de aquisição | CMA_0205 - Documentar o ambiente do sistema de informação em contratos de aquisição | Manual, Desativado | 1.1.0 |
| Documentar a proteção dos dados do titular do cartão em contratos com terceiros | CMA_0207 - Documentar a proteção dos dados do titular do cartão em contratos de terceiros | Manual, Desativado | 1.1.0 |
| Empregar business case para registrar os recursos necessários | CMA_C1735 - Empregar business case para registrar os recursos necessários | Manual, Desativado | 1.1.0 |
| Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | CMA_C1734 - Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de privacidade para contratantes e prestadores de serviços | CMA_C1810 - Estabelecer requisitos de privacidade para contratantes e prestadores de serviços | Manual, Desativado | 1.1.0 |
| Governar a alocação de recursos | CMA_0293 - Governar a afetação de recursos | Manual, Desativado | 1.1.0 |
| Garantir o compromisso da liderança | CMA_0489 - Garantir o compromisso da liderança | Manual, Desativado | 1.1.0 |
Sistema de gestão da segurança da informação
ID: ISO 27001:2013 C.4.4 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Liderança
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.a Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.c Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alinhe os objetivos de negócios e as metas de TI | CMA_0008 - Alinhar objetivos de negócios e metas de TI | Manual, Desativado | 1.1.0 |
| Alocar recursos na determinação dos requisitos do sistema de informações | CMA_C1561 - Alocar recursos na determinação dos requisitos do sistema de informação | Manual, Desativado | 1.1.0 |
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Empregar business case para registrar os recursos necessários | CMA_C1735 - Empregar business case para registrar os recursos necessários | Manual, Desativado | 1.1.0 |
| Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | CMA_C1734 - Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | Manual, Desativado | 1.1.0 |
| Garantir que as informações do programa de privacidade estejam disponíveis publicamente | CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente | Manual, Desativado | 1.1.0 |
| Estabelecer um item de linha discreto na documentação de orçamento | CMA_C1563 - Estabelecer um item de linha discreto na documentação de orçamento | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Governar a alocação de recursos | CMA_0293 - Governar a afetação de recursos | Manual, Desativado | 1.1.0 |
| Garantir o compromisso da liderança | CMA_0489 - Garantir o compromisso da liderança | Manual, Desativado | 1.1.0 |
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.e Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Definir métricas de desempenho | CMA_0124 - Definir métricas de desempenho | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.f Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alinhe os objetivos de negócios e as metas de TI | CMA_0008 - Alinhar objetivos de negócios e metas de TI | Manual, Desativado | 1.1.0 |
| Alocar recursos na determinação dos requisitos do sistema de informações | CMA_C1561 - Alocar recursos na determinação dos requisitos do sistema de informação | Manual, Desativado | 1.1.0 |
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Empregar business case para registrar os recursos necessários | CMA_C1735 - Empregar business case para registrar os recursos necessários | Manual, Desativado | 1.1.0 |
| Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | CMA_C1734 - Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | Manual, Desativado | 1.1.0 |
| Estabelecer um item de linha discreto na documentação de orçamento | CMA_C1563 - Estabelecer um item de linha discreto na documentação de orçamento | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de privacidade | CMA_0257 - Estabelecer um programa de privacidade | Manual, Desativado | 1.1.0 |
| Governar a alocação de recursos | CMA_0293 - Governar a afetação de recursos | Manual, Desativado | 1.1.0 |
| Garantir o compromisso da liderança | CMA_0489 - Garantir o compromisso da liderança | Manual, Desativado | 1.1.0 |
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.g Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
| Definir métricas de desempenho | CMA_0124 - Definir métricas de desempenho | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
Liderança e compromisso
ID: ISO 27001:2013 C.5.1.h Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Nomear um responsável superior pela segurança da informação | CMA_C1733 - Nomear um responsável superior pela segurança da informação | Manual, Desativado | 1.1.0 |
Política
ID: ISO 27001:2013 C.5.2.a Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Política
ID: ISO 27001:2013 C.5.2.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Política
ID: ISO 27001:2013 C.5.2.c Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Política
ID: ISO 27001:2013 C.5.2.d Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Revisar políticas e procedimentos de controle de acesso | CMA_0457 - Revisar políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de planeamento de contingência | CMA_C1243 - Rever e atualizar políticas e procedimentos de planeamento de contingência | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de identificação e autenticação | CMA_C1299 - Rever e atualizar políticas e procedimentos de identificação e autenticação | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de resposta a incidentes | CMA_C1352 - Rever e atualizar políticas e procedimentos de resposta a incidentes | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de integridade das informações | CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade da informação | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de proteção de mídia | CMA_C1427 - Rever e atualizar políticas e procedimentos de proteção de mídia | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de segurança pessoal | CMA_C1507 - Rever e atualizar políticas e procedimentos de segurança pessoal | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos físicos e ambientais | CMA_C1446 - Rever e atualizar políticas e procedimentos físicos e ambientais | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | CMA_C1616 - Rever e atualizar as políticas e procedimentos de proteção do sistema e das comunicações | Manual, Desativado | 1.1.0 |
| Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | CMA_C1560 - Rever e atualizar políticas e procedimentos de aquisição de sistemas e serviços | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de manutenção do sistema | CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema | Manual, Desativado | 1.1.0 |
| Rever as políticas e procedimentos de avaliação de segurança e autorização | CMA_C1143 - Rever as políticas e procedimentos de avaliação de segurança e autorização | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Política
ID: ISO 27001:2013 C.5.2.e Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Política
ID: ISO 27001:2013 C.5.2.f Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de controle de acesso | CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso | Manual, Desativado | 1.1.0 |
| Atividades de formação em segurança e privacidade de documentos | CMA_0198 - Atividades de formação em segurança documental e privacidade | Manual, Desativado | 1.1.0 |
| Governar políticas e procedimentos | CMA_0292 - Governar políticas e procedimentos | Manual, Desativado | 1.1.0 |
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Política
ID: ISO 27001:2013 C.5.2.g Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Atualizar plano, políticas e procedimentos de privacidade | CMA_C1807 - Atualizar planos, políticas e procedimentos de privacidade | Manual, Desativado | 1.1.0 |
Funções, responsabilidades e autoridades organizacionais
ID: ISO 27001:2013 C.5.3.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Definir métricas de desempenho | CMA_0124 - Definir métricas de desempenho | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
Planeamento
Geral
ID: ISO 27001:2013 C.6.1.1.a Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Geral
ID: ISO 27001:2013 C.6.1.1.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Geral
ID: ISO 27001:2013 C.6.1.1.c Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Geral
ID: ISO 27001:2013 C.6.1.1.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Geral
ID: ISO 27001:2013 C.6.1.1.e.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Geral
ID: ISO 27001:2013 C.6.1.1.e.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.a.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.a.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabelecer uma estratégia de gestão de riscos | CMA_0258 - Estabelecer uma estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.b Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.c.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.c.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.d.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.d.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.d.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.e.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.6.1.2.e.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Implementar a estratégia de gestão de riscos | CMA_C1744 - Implementar a estratégia de gestão de riscos | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
Tratamento dos riscos de segurança da informação
ID: ISO 27001:2013 C.6.1.3.a Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
Tratamento dos riscos de segurança da informação
ID: ISO 27001:2013 C.6.1.3.b Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
Tratamento dos riscos de segurança da informação
ID: ISO 27001:2013 C.6.1.3.c Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
Tratamento dos riscos de segurança da informação
ID: ISO 27001:2013 C.6.1.3.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
Tratamento dos riscos de segurança da informação
ID: ISO 27001:2013 C.6.1.3.e Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
Tratamento dos riscos de segurança da informação
ID: ISO 27001:2013 C.6.1.3.f Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
Objetivos de segurança da informação e planejamento para alcançá-los
ID: ISO 27001:2013 C.6.2.e Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Suporte
Recursos
ID: ISO 27001:2013 C.7.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Alinhe os objetivos de negócios e as metas de TI | CMA_0008 - Alinhar objetivos de negócios e metas de TI | Manual, Desativado | 1.1.0 |
| Alocar recursos na determinação dos requisitos do sistema de informações | CMA_C1561 - Alocar recursos na determinação dos requisitos do sistema de informação | Manual, Desativado | 1.1.0 |
| Empregar business case para registrar os recursos necessários | CMA_C1735 - Empregar business case para registrar os recursos necessários | Manual, Desativado | 1.1.0 |
| Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | CMA_C1734 - Garantir que o planeamento de capital e os pedidos de investimento incluam os recursos necessários | Manual, Desativado | 1.1.0 |
| Estabelecer um item de linha discreto na documentação de orçamento | CMA_C1563 - Estabelecer um item de linha discreto na documentação de orçamento | Manual, Desativado | 1.1.0 |
| Governar a alocação de recursos | CMA_0293 - Governar a afetação de recursos | Manual, Desativado | 1.1.0 |
| Garantir o compromisso da liderança | CMA_0489 - Garantir o compromisso da liderança | Manual, Desativado | 1.1.0 |
Competência
ID: ISO 27001:2013 C.7.2.a Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Documentar a aceitação dos requisitos de privacidade pelo pessoal | CMA_0193 - Documentar a aceitação dos requisitos de privacidade pelo pessoal | Manual, Desativado | 1.1.0 |
| Monitore a conclusão do treinamento de segurança e privacidade | CMA_0379 - Monitorar a conclusão do treinamento de segurança e privacidade | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Competência
ID: ISO 27001:2013 C.7.2.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Monitore a conclusão do treinamento de segurança e privacidade | CMA_0379 - Monitorar a conclusão do treinamento de segurança e privacidade | Manual, Desativado | 1.1.0 |
Competência
ID: ISO 27001:2013 C.7.2.c Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Monitore a conclusão do treinamento de segurança e privacidade | CMA_0379 - Monitorar a conclusão do treinamento de segurança e privacidade | Manual, Desativado | 1.1.0 |
Competência
ID: ISO 27001:2013 C.7.2.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Reter registros de treinamento | CMA_0456 - Reter registos de formação | Manual, Desativado | 1.1.0 |
Sensibilização
ID: ISO 27001:2013 C.7.3.a Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Sensibilização
ID: ISO 27001:2013 C.7.3.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Sensibilização
ID: ISO 27001:2013 C.7.3.c Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver políticas e procedimentos de uso aceitável | CMA_0143 - Desenvolver políticas e procedimentos de uso aceitável | Manual, Desativado | 1.1.0 |
| Aplicar regras de comportamento e acordos de acesso | CMA_0248 - Fazer cumprir regras de comportamento e acordos de acesso | Manual, Desativado | 1.1.0 |
| Fornecer treinamento de privacidade | CMA_0415 - Fornecer treinamento de privacidade | Manual, Desativado | 1.1.0 |
Comunicação
ID: ISO 27001:2013 C.7.4.a Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Designar pessoal autorizado para publicar informações acessíveis ao público | CMA_C1083 - Designar pessoal autorizado para publicar informações acessíveis ao público | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Comunicação
ID: ISO 27001:2013 C.7.4.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Designar pessoal autorizado para publicar informações acessíveis ao público | CMA_C1083 - Designar pessoal autorizado para publicar informações acessíveis ao público | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Comunicação
ID: ISO 27001:2013 C.7.4.c Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Designar pessoal autorizado para publicar informações acessíveis ao público | CMA_C1083 - Designar pessoal autorizado para publicar informações acessíveis ao público | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Comunicação
ID: ISO 27001:2013 C.7.4.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Designar pessoal autorizado para publicar informações acessíveis ao público | CMA_C1083 - Designar pessoal autorizado para publicar informações acessíveis ao público | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Comunicação
ID: ISO 27001:2013 C.7.4.e Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Designar pessoal autorizado para publicar informações acessíveis ao público | CMA_C1083 - Designar pessoal autorizado para publicar informações acessíveis ao público | Manual, Desativado | 1.1.0 |
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Criação e atualização
ID: ISO 27001:2013 C.7.5.2.c Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver SSP que atenda aos critérios | CMA_C1492 - Desenvolver SSP que atenda aos critérios | Manual, Desativado | 1.1.0 |
Controlo da informação documentada
ID: ISO 27001:2013 C.7.5.3.a Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
Controlo da informação documentada
ID: ISO 27001:2013 C.7.5.3.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Controlo da informação documentada
ID: ISO 27001:2013 C.7.5.3.c Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
Controlo da informação documentada
ID: ISO 27001:2013 C.7.5.3.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Controlo da informação documentada
ID: ISO 27001:2013 C.7.5.3.e Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
Controlo da informação documentada
ID: ISO 27001:2013 C.7.5.3.f Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver e estabelecer um plano de segurança do sistema | CMA_0151 - Desenvolver e estabelecer um plano de segurança do sistema | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | CMA_0279 - Estabelecer requisitos de segurança para a fabricação de dispositivos conectados | Manual, Desativado | 1.1.0 |
| Implementar princípios de engenharia de segurança de sistemas de informação | CMA_0325 - Implementar princípios de engenharia de segurança de sistemas de informação | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Revisar e atualizar políticas e procedimentos de planejamento | CMA_C1491 - Rever e atualizar políticas e procedimentos de planeamento | Manual, Desativado | 1.1.0 |
Operação
Planeamento e controlo operacional
ID: ISO 27001:2013 C.8.1 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Automatize a solicitação de aprovação para alterações propostas | CMA_C1192 - Automatize a solicitação de aprovação de alterações propostas | Manual, Desativado | 1.1.0 |
| Automatize a implementação de notificações de alteração aprovadas | CMA_C1196 - Automatize a implementação de notificações de alteração aprovadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para documentar as alterações implementadas | CMA_C1195 - Automatize o processo para documentar as alterações implementadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para destacar propostas de alteração não revisadas | CMA_C1193 - Automatize o processo para destacar propostas de alteração não revisadas | Manual, Desativado | 1.1.0 |
| Automatize o processo para proibir a implementação de alterações não aprovadas | CMA_C1194 - Automatize o processo para proibir a implementação de alterações não aprovadas | Manual, Desativado | 1.1.0 |
| Automatize as alterações documentadas propostas | CMA_C1191 - Automatize as alterações documentadas propostas | Manual, Desativado | 1.1.0 |
| Realizar uma análise de impacto na segurança | CMA_0057 - Realizar uma análise de impacto na segurança | Manual, Desativado | 1.1.0 |
| Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades | Manual, Desativado | 1.1.0 |
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Impor definições de configuração de segurança | CMA_0249 - Impor definições de configuração de segurança | Manual, Desativado | 1.1.0 |
| Estabelecer e documentar processos de controle de alterações | CMA_0265 - Estabelecer e documentar processos de controlo de alterações | Manual, Desativado | 1.1.0 |
| Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de impacto na privacidade | CMA_0387 - Realizar uma avaliação de impacto na privacidade | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Realizar auditoria para controle de alterações de configuração | CMA_0390 - Realizar auditoria para controle de alterações de configuração | Manual, Desativado | 1.1.0 |
| Remediar falhas no sistema de informação | CMA_0427 - Remediar falhas no sistema de informação | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores implementem apenas as alterações aprovadas | CMA_C1596 - Exigir que os desenvolvedores implementem apenas as alterações aprovadas | Manual, Desativado | 1.1.0 |
| Exigir que os desenvolvedores gerenciem a integridade das alterações | CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade das alterações | Manual, Desativado | 1.1.0 |
| Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | CMA_C1586 - Exigir que os prestadores de serviços externos cumpram os requisitos de segurança | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Avaliação dos riscos para a segurança da informação
ID: ISO 27001:2013 C.8.2 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Realizar avaliações de risco e documentar seus resultados | CMA_C1542 - Realizar a avaliação de riscos e documentar os seus resultados | Manual, Desativado | 1.1.0 |
| Realizar uma avaliação de risco | CMA_0388 - Realizar uma avaliação de risco | Manual, Desativado | 1.1.0 |
| Rever e atualizar as políticas e procedimentos de avaliação de riscos | CMA_C1537 - Rever e atualizar as políticas e procedimentos de avaliação de riscos | Manual, Desativado | 1.1.0 |
Tratamento dos riscos de segurança da informação
ID: ISO 27001:2013 C.8.3 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Implementar a proteção de limites do sistema | CMA_0328 - Implementar a proteção de limites do sistema | Manual, Desativado | 1.1.0 |
| Proteja a interface para sistemas externos | CMA_0491 - Proteger a interface para sistemas externos | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Avaliação de Desempenho
Acompanhamento, medição, análise e avaliação
ID: ISO 27001:2013 C.9.1.a Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Acompanhamento, medição, análise e avaliação
ID: ISO 27001:2013 C.9.1.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Acompanhamento, medição, análise e avaliação
ID: ISO 27001:2013 C.9.1.c Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Acompanhamento, medição, análise e avaliação
ID: ISO 27001:2013 C.9.1.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Acompanhamento, medição, análise e avaliação
ID: ISO 27001:2013 C.9.1.e Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Acompanhamento, medição, análise e avaliação
ID: ISO 27001:2013 C.9.1.f Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Configurar a lista de permissões de deteção | CMA_0068 - Configurar a lista branca de deteção | Manual, Desativado | 1.1.0 |
| Ligue sensores para solução de segurança de endpoint | CMA_0514 - Ligue sensores para solução de segurança de endpoint | Manual, Desativado | 1.1.0 |
| Passar por uma revisão de segurança independente | CMA_0515 - Passar por uma revisão de segurança independente | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.a.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.a.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.c Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.d Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Desenvolver um plano de avaliação de segurança | CMA_C1144 - Desenvolver plano de avaliação de segurança | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.e Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Ajustar o nível de revisão, análise e emissão de relatórios de auditoria | CMA_C1123 - Ajustar o nível de revisão, análise e relatórios de auditoria | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de auditoria e prestação de contas | CMA_0154 - Desenvolver políticas e procedimentos de auditoria e prestação de contas | Manual, Desativado | 1.1.0 |
| Desenvolver políticas e procedimentos de segurança da informação | CMA_0158 - Desenvolver políticas e procedimentos de segurança da informação | Manual, Desativado | 1.1.0 |
| Empregar avaliadores independentes para conduzir avaliações de controle de segurança | CMA_C1148 - Empregar avaliadores independentes para realizar avaliações de controle de segurança | Manual, Desativado | 1.1.0 |
| Atualizar políticas de segurança da informação | CMA_0518 - Atualizar as políticas de segurança da informação | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.f Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Forneça resultados de avaliação de segurança | CMA_C1147 - Fornecer resultados de avaliação de segurança | Manual, Desativado | 1.1.0 |
Auditoria interna
ID: ISO 27001:2013 C.9.2.g Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Aderir aos períodos de retenção definidos | CMA_0004 - Respeitar os períodos de retenção definidos | Manual, Desativado | 1.1.0 |
| Manter políticas e procedimentos de segurança | CMA_0454 - Reter políticas e procedimentos de segurança | Manual, Desativado | 1.1.0 |
| Reter dados de usuários encerrados | CMA_0455 - Reter dados de usuários encerrados | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.a Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Implementar planos de ação e marcos para o processo do programa de segurança | CMA_C1737 - Implementar planos de ação e marcos para o processo do programa de segurança | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.b Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.c.1 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Definir métricas de desempenho | CMA_0124 - Definir métricas de desempenho | Manual, Desativado | 1.1.0 |
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Estabeleça um programa de segurança da informação | CMA_0263 - Estabelecer um programa de segurança da informação | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.c.2 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Desenvolver POA&M | CMA_C1156 - Desenvolver POA&M | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.c.3 Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Definir métricas de desempenho | CMA_0124 - Definir métricas de desempenho | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.c.4 Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Definir métricas de desempenho | CMA_0124 - Definir métricas de desempenho | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.d Propriedade: compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.e Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Revisão da gestão
ID: ISO 27001:2013 C.9.3.f Propriedade: Compartilhada
| Nome (Portal do Azure) |
Description | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| Avaliar os controlos de segurança | CMA_C1145 - Avaliar os Controlos de Segurança | Manual, Desativado | 1.1.0 |
| Realizar Avaliação de Risco | CMA_C1543 - Realizar Avaliação de Risco | Manual, Desativado | 1.1.0 |
| Atualizar itens POA&M | CMA_C1157 - Atualizar itens POA&M | Manual, Desativado | 1.1.0 |
Próximos passos
Artigos adicionais sobre a Política do Azure:
- Visão geral da conformidade regulamentar.
- Consulte a estrutura de definição da iniciativa.
- Analise outros exemplos em Exemplos de Política do Azure.
- Veja Compreender os efeitos do Policy.
- Saiba como corrigir recursos não compatíveis.