Detalhes da iniciativa interna de Conformidade Regulatória ISO 27001:2013

O artigo a seguir fornece detalhes sobre como a definição da iniciativa interna de Conformidade Regulatória do Azure Policy é mapeada para domínios de conformidade e controles no ISO 27001:2013. Para obter mais informações sobre esse padrão de conformidade, confira ISO 27001:2013. Para entender a Propriedade, confira os artigos sobre tipo de política e Responsabilidade compartilhada na nuvem .

Os seguintes mapeamentos referem-se aos controles ISO 27001:2013. Muitos dos controles são implementados com uma definição de iniciativa do Azure Policy. Para examinar a definição da iniciativa completa, abra Política no portal do Azure e selecione a página Definições. Em seguida, encontre e selecione a definição de iniciativa interna de Conformidade Regulatória ISO 27001:2013.

Importante

Cada controle abaixo está associado com uma ou mais definições do Azure Policy. Essas políticas podem ajudar você a avaliar a conformidade com o controle. No entanto, geralmente não há uma correspondência um para um ou completa entre um controle e uma ou mais políticas. Dessa forma, Conformidade no Azure Policy refere-se somente às próprias definições de política e não garante que você esteja em conformidade total com todos os requisitos de um controle. Além disso, o padrão de conformidade inclui controles que não são abordados por nenhuma definição do Azure Policy no momento. Portanto, a conformidade no Azure Policy é somente uma exibição parcial do status de conformidade geral. As associações entre os domínios de conformidade, os controles e as definições do Azure Policy para este padrão de conformidade podem ser alteradas ao longo do tempo. Para exibir o histórico de alterações, confira o Histórico de Confirmações do GitHub.

Criptografia

Política sobre o uso de controles de criptografia

ID: ISO 27001:2013 A.10.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	4.0.0
Auditar os computadores Windows que não armazenam senhas usando a criptografia reversível	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não armazenam senhas usando a criptografia reversível	AuditIfNotExists, desabilitado	2.0.0
As variáveis da conta de automação devem ser criptografadas	É importante habilitar a criptografia dos ativos variáveis da conta de Automação do Azure ao armazenar dados confidenciais	Audit, Deny, desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Documentar e distribuir uma política de privacidade	CMA_0188 - Documentar e distribuir uma política de privacidade	Manual, Desabilitado	1.1.0
Os aplicativos de funções só devem ser acessíveis por HTTPS	O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede.	Auditoria, desabilitado, negação	5.0.0
Implementar métodos de entrega de avisos de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas	Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão	Audit, Deny, desabilitado	1.0.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Restringir comunicações	CMA_0449 - Restringir comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
A transferência segura para contas de armazenamento deve ser habilitada	Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão	Audit, Deny, desabilitado	2.0.0
A propriedade ClusterProtectionLevel dos clusters do Service Fabric deve ser definida como EncryptAndSign	O Service Fabric fornece três níveis de proteção (Nenhum, Sinal e EncryptAndSign) para comunicação de nó a nó usando um certificado de cluster principal. Defina o nível de proteção para garantir que todas as mensagens de nó a nó sejam criptografadas e assinadas digitalmente	Audit, Deny, desabilitado	1.1.0
A Transparent Data Encryption em bancos de dados SQL deve ser habilitada	A Transparent Data Encryption deve ser habilitada para proteger os dados em repouso e atender aos requisitos de conformidade	AuditIfNotExists, desabilitado	2.0.0

Gerenciamento de chaves

ID: ISO 27001:2013 A.10.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	CMA_0123 – Definir requisitos organizacionais para o gerenciamento de chaves de criptografia	Manual, Desabilitado	1.1.0
Determinar os requisitos da declaração	CMA_0136 – Determinar os requisitos da declaração	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Estabelecer uma política de senha	CMA_0256 - Estabelecer uma política de senha	Manual, Desabilitado	1.1.0
Identificar ações permitidas sem autenticação	CMA_0295 - Identificar ações permitidas sem autenticação	Manual, Desabilitado	1.1.0
Identificar e autenticar usuários não organizacionais	CMA_C1346 – Identificar e autenticar usuários não organizacionais	Manual, Desabilitado	1.1.0
Implementar parâmetros para verificadores de segredo memorizados	CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados	Manual, Desabilitado	1.1.0
Emitir certificados de chave pública	CMA_0347 – Emitir certificados de chave pública	Manual, Desabilitado	1.1.0
Gerenciar chaves de criptografia simétricas	CMA_0367 – Gerenciar chaves de criptografia simétricas	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Restringir o acesso a chaves privadas	CMA_0445 – Restringir o acesso a chaves privadas	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Encerrar as credenciais da conta controlada pelo cliente	CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente	Manual, Desabilitado	1.1.0

Segurança Física e Ambiental

Perímetro de segurança física

ID: ISO 27001:2013 A.11.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Estabelecer e manter um inventário de ativos	CMA_0266 - Estabelecer e manter um inventário de ativos	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desabilitado	1.1.0
Gerenciar um sistema de câmera de vigilância seguro	CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0

Controles físicos de entrada

ID: ISO 27001:2013 A.11.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Designar pessoal para supervisionar as atividades de manutenção não autorizada	CMA_C1422 - Designar pessoal para supervisionar as atividades de manutenção não autorizada	Manual, Desabilitado	1.1.0
Estabelecer e manter um inventário de ativos	CMA_0266 - Estabelecer e manter um inventário de ativos	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Manter lista de pessoal de manutenção remota autorizado	CMA_C1420 - Manter lista de pessoal de manutenção remota autorizado	Manual, Desabilitado	1.1.0
Gerenciar a equipe de manutenção	CMA_C1421 - Gerenciar a equipe de manutenção	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0

Proteger escritórios, salas e instalações

ID: ISO 27001:2013 A.11.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Definir um processo de gerenciamento de chave física	CMA_0115 – Definir um processo de gerenciamento de chave física	Manual, Desabilitado	1.1.0
Estabelecer e manter um inventário de ativos	CMA_0266 - Estabelecer e manter um inventário de ativos	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0

Proteção contra ameaças ambientais e externas

ID: ISO 27001:2013 A.11.1.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Criar sites de armazenamento alternativos e primários separados	CMA_C1269 - Criar sites de armazenamento alternativos e primários separados	Manual, Desabilitado	1.1.0
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário	CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário	Manual, Desabilitado	1.1.0
Garantir que houve falha no sistema de informações do estado conhecido	CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido	Manual, Desabilitado	1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	Manual, Desabilitado	1.1.0
Estabelecer um site de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desabilitado	1.1.0
Identificar e reduzir possíveis problemas no site de armazenamento alternativo	CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desabilitado	1.1.0
Planejar a continuação de funções de negócios essenciais	CMA_C1255 – Planejar a continuação de funções de negócios essenciais	Manual, Desabilitado	1.1.0

Trabalhando em áreas seguras

ID: ISO 27001:2013 A.11.1.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0

Áreas de entrega e carregamento

ID: ISO 27001:2013 A.11.1.6 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Definir requisitos para gerenciar ativos	CMA_0125 - Definir requisitos para gerenciar ativos	Manual, Desabilitado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desabilitado	1.1.0
Gerenciar um sistema de câmera de vigilância seguro	CMA_0354 - Gerenciar um sistema de câmera de vigilância seguro	Manual, Desabilitado	1.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0

Proteção e guarda de equipamentos

ID: ISO 27001:2013 A.11.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0

Utilitários de suporte

ID: ISO 27001:2013 A.11.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Usar iluminação de emergência automática	CMA_0209 - Usar iluminação de emergência automática	Manual, Desabilitado	1.1.0
Estabelecer requisitos para provedores de serviços de Internet	CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0

Segurança de cabeamento

ID: ISO 27001:2013 A.11.2.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0

Manutenção de equipamentos

ID: ISO 27001:2013 A.11.2.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Automatizar atividades de manutenção remota	CMA_C1402 - Automatizar atividades de manutenção remota	Manual, Desabilitado	1.1.0
Controlar as atividades de manutenção e reparo	CMA_0080 - Controlar as atividades de manutenção e reparo	Manual, Desabilitado	1.1.0
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais	CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais	Manual, Desabilitado	1.1.0
Produzir registros completos das atividades de manutenção remota	CMA_C1403 - Produzir registros completos das atividades de manutenção remota	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Fornecer suporte de manutenção dentro do prazo	CMA_C1425 - Fornecer suporte de manutenção dentro do prazo	Manual, Desabilitado	1.1.0

Remoção de ativos

ID: ISO 27001:2013 A.11.2.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Controlar as atividades de manutenção e reparo	CMA_0080 - Controlar as atividades de manutenção e reparo	Manual, Desabilitado	1.1.0
Definir requisitos para gerenciar ativos	CMA_0125 - Definir requisitos para gerenciar ativos	Manual, Desabilitado	1.1.0
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais	CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais	Manual, Desabilitado	1.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0

Segurança de equipamentos e ativos fora das instalações

ID: ISO 27001:2013 A.11.2.6 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir requisitos do dispositivo móvel	CMA_0122 - Definir requisitos do dispositivo móvel	Manual, Desabilitado	1.1.0
Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas	CMA_C1183 - Garantir que não sejam necessárias garantias de segurança quando do retorno das pessoas	Manual, Desabilitado	1.1.0
Estabelecer termos e condições para acessar recursos	CMA_C1076 - Estabelecer termos e condições para acessar recursos	Manual, Desabilitado	1.1.0
Estabelecer termos e condições para o processamento de recursos	CMA_C1077 - Estabelecer termos e condições para o processamento de recursos	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0
Não permitir que os sistemas de informação acompanhem pessoas	CMA_C1182 - Não permitir que os sistemas de informação acompanhem pessoas	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Verificar os controles de segurança para sistemas de informações externos	CMA_0541 - Verificar controles de segurança para sistemas de informações externos	Manual, Desabilitado	1.1.0

Descarte seguro ou reutilização de equipamentos

ID: ISO 27001:2013 A.11.2.7 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Executar revisão de disposição	CMA_0391 - Executar revisão de disposição	Manual, Desabilitado	1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento	CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento	Manual, Desabilitado	1.1.0

Equipamento de usuário autônomo

ID: ISO 27001:2013 A.11.2.8 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Encerrar a sessão do usuário automaticamente	CMA_C1054 – Encerrar a sessão do usuário automaticamente	Manual, Desabilitado	1.1.0

Política de limpeza de mesa e tela

ID: ISO 27001:2013 A.11.2.9 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0

Segurança de operações

Procedimentos operacionais documentados

ID: ISO 27001:2013 A.12.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Distribuir a documentação do sistema de informações	CMA_C1584 - Distribuir a documentação do sistema de informações	Manual, Desabilitado	1.1.0
Documentar ações definidas pelo cliente	CMA_C1582 - Documentar ações definidas pelo cliente	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Obter documentação de administração	CMA_C1580 - Obter documentação de administração	Manual, Desabilitado	1.1.0
Obter documentação da função de segurança do usuário	CMA_C1581 - Obter documentação da função de segurança do usuário	Manual, Desabilitado	1.1.0
Proteger documentação do administrador e do usuário	CMA_C1583 - Proteger documentação do administrador e do usuário	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0

Mudar a gestão

ID: ISO 27001:2013 A.12.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Resolver vulnerabilidades de codificação	CMA_0003 - Resolver vulnerabilidades de codificação	Manual, Desabilitado	1.1.0
Automatizar a solicitação de aprovação para alterações propostas	CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas	Manual, Desabilitado	1.1.0
Automatizar a implementação de notificações de alterações aprovadas	CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas	Manual, Desabilitado	1.1.0
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas	CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas	Manual, Desabilitado	1.1.0
Automatizar as alterações documentadas propostas	CMA_C1191 - Automatizar as alterações documentadas propostas	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos	CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer um programa de desenvolvimento de software seguro	CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Instalar um sistema de alarme	CMA_0338 - Instalar um sistema de alarme	Manual, Desabilitado	1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais	CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas	CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração	CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração	Manual, Desabilitado	1.1.0

Gerenciamento de capacidade

ID: ISO 27001:2013 A.12.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Realizar um planejamento de capacidade	CMA_C1252 - Faça um planejamento da capacidade	Manual, Desabilitado	1.1.0
Controlar e monitorar atividades de processamento de auditoria	CMA_0289 – Controlar e monitorar atividades de processamento de auditoria	Manual, Desabilitado	1.1.0

Separação de ambientes operacionais, de teste e de desenvolvimento

ID: ISO 27001:2013 A.12.1.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Garantir que não existam autenticadores estáticos sem criptografia	CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Implementar controles para proteger informações de identificação pessoal	CMA_C1839 - Implementar controles para proteger informações de identificação pessoal	Manual, Desabilitado	1.1.0
Incorporar práticas de segurança e privacidade de dados no processamento de pesquisa	CMA_0331 - Incorporar práticas de segurança e privacidade de dados no processamento de pesquisas	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0

Controles contra malware

ID: ISO 27001:2013 A.12.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Controlar as atividades de manutenção e reparo	CMA_0080 - Controlar as atividades de manutenção e reparo	Manual, Desabilitado	1.1.0
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Gerenciar atividades de diagnóstico e manutenção não locais	CMA_0364 - Gerenciar atividades de diagnóstico e manutenção não locais	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico sobre conscientização de segurança	CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desabilitado	1.1.0
Fornecer treinamento de conscientização de segurança atualizado	CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado	Manual, Desabilitado	1.1.0
Examinar o relatório de detecções de malware semanalmente	CMA_0475 – Examinar o relatório de detecções de malware semanalmente	Manual, Desabilitado	1.1.0
Examinar o status de proteção contra ameaças semanalmente	CMA_0479 – Examinar o status de proteção contra ameaças semanalmente	Manual, Desabilitado	1.1.0
Atualizar definições de antivírus	CMA_0517 – Atualizar as definições de antivírus	Manual, Desabilitado	1.1.0

Backup de informações

ID: ISO 27001:2013 A.12.3.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Realizar backup da documentação do sistema de informações	CMA_C1289 - Realizar backup da documentação do sistema de informações	Manual, Desabilitado	1.1.0
Criar sites de armazenamento alternativos e primários separados	CMA_C1269 - Criar sites de armazenamento alternativos e primários separados	Manual, Desabilitado	1.1.0
Garantir que houve falha no sistema de informações do estado conhecido	CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido	Manual, Desabilitado	1.1.0
Estabelecer um site de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desabilitado	1.1.0
Estabelecer políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Implementar a recuperação com base na transação	CMA_C1296 - Implementar a recuperação com base na transação	Manual, Desabilitado	1.1.0
Executar revisão de disposição	CMA_0391 - Executar revisão de disposição	Manual, Desabilitado	1.1.0
Planejar a continuação de funções de negócios essenciais	CMA_C1255 – Planejar a continuação de funções de negócios essenciais	Manual, Desabilitado	1.1.0
Armazenar informações de backup separadamente	CMA_C1293 - Armazenar informações de backup separadamente	Manual, Desabilitado	1.1.0
Transferir informações de cópia de backup para um site de armazenamento alternativo	CMA_C1294 - Transferir informações de cópia de backup para um site de armazenamento alternativo	Manual, Desabilitado	1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento	CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento	Manual, Desabilitado	1.1.0

Log de eventos

ID: ISO 27001:2013 A.12.4.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas	Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1 – versão prévia
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Alertar o pessoal sobre vazamento de informações	CMA_0007 – Alertar o pessoal sobre vazamento de informações	Manual, Desabilitado	1.1.0
Auditar configuração de diagnóstico para tipos de recursos selecionados	Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico.	AuditIfNotExists	2.0.1
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
A auditoria no SQL Server deve ser habilitada	A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria.	AuditIfNotExists, desabilitado	2.0.0
Autorizar, monitorar e controlar VoIP	CMA_0025 – Autorizar, monitorar e controlar VoIP	Manual, Desabilitado	1.1.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	Manual, Desabilitado	1.1.0
Realizar uma análise completa do texto de comandos privilegiados registrados	CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados	Manual, Desabilitado	1.1.0
Configurar as funcionalidades da Auditoria do Azure	CMA_C1108 – Configurar as funcionalidades da Auditoria do Azure	Manual, Desabilitado	1.1.1
Correlacionar os registros de auditoria	CMA_0087 – Correlacionar registros de auditoria	Manual, Desabilitado	1.1.0
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas	Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado.	AuditIfNotExists, desabilitado	2.0.0
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas	Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado.	AuditIfNotExists, desabilitado	2.0.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Descobrir os indicadores de comprometimento	CMA_C1702 – Descobrir os indicadores de comprometimento	Manual, Desabilitado	1.1.0
Documentar a base jurídica para o processamento de informações pessoais	CMA_0206 – Documentar a base jurídica para o processamento de informações pessoais	Manual, Desabilitado	1.1.0
Aplicar e auditar restrições de acesso	CMA_C1203 - Aplicar e auditar restrições de acesso	Manual, Desabilitado	1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria	CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria	Manual, Desabilitado	1.1.0
Implementar métodos para solicitações de consumidor	CMA_0319 - Implementar métodos para solicitações de consumidor	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Integrar revisão de auditoria, análise e relatórios	CMA_0339 – Integrar revisão de auditoria, análise e relatórios	Manual, Desabilitado	1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM	CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM	Manual, Desabilitado	1.1.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas	Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Monitorar a atividade da conta	CMA_0377 – Monitorar atividade da conta	Manual, Desabilitado	1.1.0
Monitorar atribuição de função com privilégios	CMA_0378 – Monitorar atribuição de função com privilégios	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Obter opinião jurídica para monitorar atividades do sistema	CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Fornecer informações de monitoramento conforme o necessário	CMA_C1689 – Fornecer informações de monitoramento conforme o necessário	Manual, Desabilitado	1.1.0
Publicar procedimentos de acesso em SORNs	CMA_C1848 - Publicar procedimentos de acesso em SORNs	Manual, Desabilitado	1.1.0
Publicar regras e regulamentos que acessem os registros da Lei de Privacidade	CMA_C1847 - Publicar regras e regulamentos que acessem os registros da Lei de Privacidade	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Reter procedimentos e políticas de segurança	CMA_0454 – Reter procedimentos e políticas de segurança	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar atribuições de administrador semanalmente	CMA_0461 – Revisar atribuições de administrador semanalmente	Manual, Desabilitado	1.1.0
Revisar e atualizar os eventos definidos em AU-02	CMA_C1106 – Revisar e atualizar os eventos definidos em AU-02	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0
Analisar alterações em toda alteração não autorizada	CMA_C1204 – Analisar alterações em toda alteração não autorizada	Manual, Desabilitado	1.1.0
Revisar a visão geral do relatório de identidade na nuvem	CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem	Manual, Desabilitado	1.1.0
Revisar eventos de acesso controlado a pastas	CMA_0471 – Revisar eventos de acesso controlado a pastas	Manual, Desabilitado	1.1.0
Revisar a atividade de arquivo e pasta	CMA_0473 – Revisar a atividade de arquivo e pasta	Manual, Desabilitado	1.1.0
Revisar alterações de grupo de funções semanalmente	CMA_0476 – Revisar alterações de grupo de funções semanalmente	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada	CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0
Usar o Privileged Identity Management	CMA_0533 – Usar o Privileged Identity Management	Manual, Desabilitado	1.1.0

Proteção das informações de log

ID: ISO 27001:2013 A.12.4.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Definir as tarefas dos processadores	CMA_0127 – Definir as tarefas dos processadores	Manual, Desabilitado	1.1.0
Habilitar a autorização dupla ou conjunta	CMA_0226 – Habilitar a autorização dupla ou conjunta	Manual, Desabilitado	1.1.0
Executar revisão de disposição	CMA_0391 - Executar revisão de disposição	Manual, Desabilitado	1.1.0
Proteger informações de auditoria	CMA_0401 – Proteger informações de auditoria	Manual, Desabilitado	1.1.0
Registrar divulgações de PII para terceiros	CMA_0422 – Registrar divulgações de PII para terceiros	Manual, Desabilitado	1.1.0
Treinar pessoal sobre o compartilhamento de PII e suas consequências	CMA_C1871 – Treinar pessoal sobre o compartilhamento de PII e suas consequências	Manual, Desabilitado	1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento	CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento	Manual, Desabilitado	1.1.0

Logs de administrador e operador

ID: ISO 27001:2013 A.12.4.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas	Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1 – versão prévia
Auditar configuração de diagnóstico para tipos de recursos selecionados	Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico.	AuditIfNotExists	2.0.1
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
A auditoria no SQL Server deve ser habilitada	A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria.	AuditIfNotExists, desabilitado	2.0.0
Autorizar, monitorar e controlar VoIP	CMA_0025 – Autorizar, monitorar e controlar VoIP	Manual, Desabilitado	1.1.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	Manual, Desabilitado	1.1.0
Realizar uma análise completa do texto de comandos privilegiados registrados	CMA_0056 – Realizar uma análise completa do texto de comandos privilegiados registrados	Manual, Desabilitado	1.1.0
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas	Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado.	AuditIfNotExists, desabilitado	2.0.0
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas	Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado.	AuditIfNotExists, desabilitado	2.0.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Habilitar a autorização dupla ou conjunta	CMA_0226 – Habilitar a autorização dupla ou conjunta	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas	Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1
Gerenciar gateways	CMA_0363 – Gerenciar gateways	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Monitorar a atividade da conta	CMA_0377 – Monitorar atividade da conta	Manual, Desabilitado	1.1.0
Monitorar atribuição de função com privilégios	CMA_0378 – Monitorar atribuição de função com privilégios	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Obter opinião jurídica para monitorar atividades do sistema	CMA_C1688 – Obter opinião jurídica para monitorar atividades do sistema	Manual, Desabilitado	1.1.0
Proteger informações de auditoria	CMA_0401 – Proteger informações de auditoria	Manual, Desabilitado	1.1.0
Fornecer informações de monitoramento conforme o necessário	CMA_C1689 – Fornecer informações de monitoramento conforme o necessário	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada	CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada	Manual, Desabilitado	1.1.0
Usar o Privileged Identity Management	CMA_0533 – Usar o Privileged Identity Management	Manual, Desabilitado	1.1.0

Sincronização de relógio

ID: ISO 27001:2013 A.12.4.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
[Versão prévia]: a extensão do Log Analytics deve ser habilitada para as imagens das máquina virtuais listadas	Relata máquinas virtuais como sem conformidade se a imagem da máquina virtual não estiver na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1 – versão prévia
Auditar configuração de diagnóstico para tipos de recursos selecionados	Auditar configuração de diagnóstico para tipos de recursos selecionado. Selecione apenas os tipos de recursos que dão suporte às configurações de diagnóstico.	AuditIfNotExists	2.0.1
A auditoria no SQL Server deve ser habilitada	A auditoria no SQL Server deve ser habilitada para acompanhar as atividades de banco de dados em todos os bancos de dados no servidor e salvá-las em um log de auditoria.	AuditIfNotExists, desabilitado	2.0.0
Compilar registros de auditoria em auditoria de todo o sistema	CMA_C1140 - Compilar registros de auditoria na Auditoria de todo o sistema	Manual, Desabilitado	1.1.0
O Dependency Agent deverá ser habilitado para obter imagens das máquinas virtuais listadas	Relata máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado.	AuditIfNotExists, desabilitado	2.0.0
O Dependency Agent deverá ser habilitado em conjuntos de dimensionamento de máquinas virtuais para obter imagens das máquinas virtuais listadas	Relata os conjuntos de dimensionamento de máquinas virtuais como não compatíveis, caso a imagem da máquina virtual não esteja na lista definida e o agente não esteja instalado. A lista de imagens do sistema operacional será atualizada ao longo do tempo, conforme o suporte for atualizado.	AuditIfNotExists, desabilitado	2.0.0
A extensão do Log Analytics deve ser habilitada em conjuntos de dimensionamento de máquinas virtuais para as imagens da máquina virtual listadas	Relata os conjuntos de dimensionamento de máquinas virtuais como sem conformidade quando a imagem da máquina virtual não está na lista definida e a extensão não está instalada.	AuditIfNotExists, desabilitado	2.0.1
Usar relógios do sistema para registros de auditoria	CMA_0535 – Usar relógios do sistema para registros de auditoria	Manual, Desabilitado	1.1.0

Instalação do software de sistemas operacionais

ID: ISO 27001:2013 A.12.5.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Automatizar a solicitação de aprovação para alterações propostas	CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas	Manual, Desabilitado	1.1.0
Automatizar a implementação de notificações de alterações aprovadas	CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas	Manual, Desabilitado	1.1.0
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas	CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas	Manual, Desabilitado	1.1.0
Automatizar as alterações documentadas propostas	CMA_C1191 - Automatizar as alterações documentadas propostas	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Controlar a conformidade de provedores dos serviço de nuvem	CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 – Exibir e configurar dados de diagnóstico do sistema	Manual, Desabilitado	1.1.0

Gerenciamento de vulnerabilidades técnicas

ID: ISO 27001:2013 A.12.6.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Uma solução de avaliação de vulnerabilidade deve ser habilitada nas máquinas virtuais	Audita as máquinas virtuais para detectar se elas estão executando uma solução de avaliação de vulnerabilidade compatível. Um componente principal de cada programa de segurança e risco cibernético é a identificação e a análise das vulnerabilidades. O tipo de preço padrão da Central de Segurança do Azure inclui a verificação de vulnerabilidade para as máquinas virtuais sem custo adicional. Além disso, a Central de Segurança pode implantar essa ferramenta automaticamente para você.	AuditIfNotExists, desabilitado	3.0.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco e distribuir os resultados	CMA_C1544 – Realizar a avaliação de risco e distribuir os resultados	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco e documentar resultados	CMA_C1542 – Realizar a avaliação de risco e documentar resultados	Manual, Desabilitado	1.1.0
Incorporar a correção de falhas no gerenciamento de configuração	CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Selecionar testes adicionais para avaliações de controle de segurança	CMA_C1149 – Selecionar testes adicionais para avaliações de controle de segurança	Manual, Desabilitado	1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas	Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	4.1.0
As vulnerabilidades da configuração de segurança nas máquinas devem ser corrigidas	Os servidores que não atenderem à linha de base configurada serão monitorados pela Central de Segurança do Azure como recomendações	AuditIfNotExists, desabilitado	3.1.0

Restrições de instalação de software

ID: ISO 27001:2013 A.12.6.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Automatizar a solicitação de aprovação para alterações propostas	CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas	Manual, Desabilitado	1.1.0
Automatizar a implementação de notificações de alterações aprovadas	CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas	Manual, Desabilitado	1.1.0
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas	CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas	Manual, Desabilitado	1.1.0
Automatizar as alterações documentadas propostas	CMA_C1191 - Automatizar as alterações documentadas propostas	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Controlar a conformidade de provedores dos serviço de nuvem	CMA_0290 – Controlar a conformidade de provedores dos serviço de nuvem	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exibir e configurar dados de diagnóstico do sistema	CMA_0544 – Exibir e configurar dados de diagnóstico do sistema	Manual, Desabilitado	1.1.0

Controles de auditoria de sistemas da informação

ID: ISO 27001:2013 A.12.7.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Empregar uma equipe independente para teste de penetração	CMA_C1171 – Empregar uma equipe independente para teste de penetração	Manual, Desabilitado	1.1.0

Segurança de comunicações

Controles de rede

ID: ISO 27001:2013 A.13.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Todas as portas de rede devem ser restritas nos grupos de segurança de rede associados à sua máquina virtual	A Central de Segurança do Azure identificou algumas das regras de entrada de seus grupos de segurança de rede como permissivas demais. As regras de entrada não devem permitir o acesso por meio de intervalos "Qualquer" ou "Internet". Isso tem o potencial de tornar seus recursos alvos de invasores.	AuditIfNotExists, desabilitado	3.0.0
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Documentar e implementar diretrizes de acesso sem fio	CMA_0190 – Documentar e implementar diretrizes de acesso sem fio	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Empregar proteção de limite para isolar sistemas da informação	CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Estabelecer termos e condições para acessar recursos	CMA_C1076 - Estabelecer termos e condições para acessar recursos	Manual, Desabilitado	1.1.0
Estabelecer termos e condições para o processamento de recursos	CMA_C1077 - Estabelecer termos e condições para o processamento de recursos	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar um serviço de nome/endereço tolerante a falhas	CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Implementar a interface gerenciada para cada serviço externo	CMA_C1626 – Implementar a interface gerenciada para cada serviço externo	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar usuários sobre logon ou acesso do sistema	CMA_0382 – Notificar usuários sobre logon ou acesso do sistema	Manual, Desabilitado	1.1.0
Impedir a divisão de túneis para dispositivos remotos	CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos	Manual, Desabilitado	1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas	CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Proteger acesso sem fio	CMA_0411 – Proteger acesso sem fio	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Fornecer serviços seguros de resolução de endereço e nome	CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome	Manual, Desabilitado	1.1.0
Autenticar novamente ou encerrar uma sessão de usuário	CMA_0421 – Autenticar novamente ou encerrar uma sessão de usuário	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0
Proteger a interface para sistemas externos	CMA_0491 – Proteger a interface para sistemas externos	Manual, Desabilitado	1.1.0
Separar funcionalidade de gerenciamento de usuário e sistema de informações	CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações	Manual, Desabilitado	1.1.0
As contas de armazenamento devem restringir o acesso da rede	O acesso da rede às contas de armazenamento deve ser restrito. Configure as regras de rede de tal forma que somente os aplicativos das redes permitidas possam acessar a conta de armazenamento. Para permitir conexões de clientes específicos locais ou da Internet, o acesso pode ser permitido para o tráfego de redes virtuais específicas do Azure ou para intervalos de endereços IP públicos da Internet	Audit, Deny, desabilitado	1.1.1
Usar computadores dedicados para tarefas administrativas	CMA_0527 – Usar computadores dedicados para tarefas administrativas	Manual, Desabilitado	1.1.0
Verificar os controles de segurança para sistemas de informações externos	CMA_0541 - Verificar controles de segurança para sistemas de informações externos	Manual, Desabilitado	1.1.0

Segurança de serviços de rede

ID: ISO 27001:2013 A.13.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Estabelecer requisitos de certificado e assinatura eletrônica	CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Impedir a divisão de túneis para dispositivos remotos	CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Exigir contratos de segurança de interconexão	CMA_C1151 – Exigir contratos de segurança de interconexão	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada	CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada	Manual, Desabilitado	1.1.0
Proteger a interface para sistemas externos	CMA_0491 – Proteger a interface para sistemas externos	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0
Atualizar contratos de segurança de interconexão	CMA_0519 – Atualizar contratos de segurança de interconexão	Manual, Desabilitado	1.1.0

Diferenciação de redes

ID: ISO 27001:2013 A.13.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Empregar proteção de limite para isolar sistemas da informação	CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar um serviço de nome/endereço tolerante a falhas	CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas	Manual, Desabilitado	1.1.0
Implementar a interface gerenciada para cada serviço externo	CMA_C1626 – Implementar a interface gerenciada para cada serviço externo	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Controle de fluxo de informações usando filtros de política de segurança	CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança	Manual, Desabilitado	1.1.0
Impedir a divisão de túneis para dispositivos remotos	CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos	Manual, Desabilitado	1.1.0
Fornecer serviços seguros de resolução de endereço e nome	CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome	Manual, Desabilitado	1.1.0
Proteger a interface para sistemas externos	CMA_0491 – Proteger a interface para sistemas externos	Manual, Desabilitado	1.1.0
Separar funcionalidade de gerenciamento de usuário e sistema de informações	CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações	Manual, Desabilitado	1.1.0
Usar computadores dedicados para tarefas administrativas	CMA_0527 – Usar computadores dedicados para tarefas administrativas	Manual, Desabilitado	1.1.0

Políticas e procedimentos de transferência de informações

ID: ISO 27001:2013 A.13.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Definir requisitos do dispositivo móvel	CMA_0122 - Definir requisitos do dispositivo móvel	Manual, Desabilitado	1.1.0
Documentar e implementar diretrizes de acesso sem fio	CMA_0190 – Documentar e implementar diretrizes de acesso sem fio	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Estabelecer termos e condições para acessar recursos	CMA_C1076 - Estabelecer termos e condições para acessar recursos	Manual, Desabilitado	1.1.0
Estabelecer termos e condições para o processamento de recursos	CMA_C1077 - Estabelecer termos e condições para o processamento de recursos	Manual, Desabilitado	1.1.0
Notificação explícita do uso de dispositivos de computação colaborativa	CMA_C1649 – Notificação explícita do uso de dispositivos de computação colaborativa	Manual, Desabilitado	1.1.1
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar um serviço de nome/endereço tolerante a falhas	CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Implementar a interface gerenciada para cada serviço externo	CMA_C1626 – Implementar a interface gerenciada para cada serviço externo	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Controle de fluxo de informações usando filtros de política de segurança	CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança	Manual, Desabilitado	1.1.0
Somente conexões seguras com o Cache do Azure para Redis devem ser habilitadas	Auditoria de habilitação de somente conexões via SSL ao Cache Redis do Azure. O uso de conexões seguras garante a autenticação entre o servidor e o serviço e protege os dados em trânsito dos ataques de camada de rede, como man-in-the-middle, espionagem e sequestro de sessão	Audit, Deny, desabilitado	1.0.0
Produzir, controlar e distribuir chaves criptográficas assimétricas	CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas	Manual, Desabilitado	1.1.0
Proibir a ativação remota de dispositivos de computação colaborativa	CMA_C1648 – Proibir a ativação remota de dispositivos de computação colaborativa	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Proteger acesso sem fio	CMA_0411 – Proteger acesso sem fio	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Fornecer serviços seguros de resolução de endereço e nome	CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome	Manual, Desabilitado	1.1.0
Exigir contratos de segurança de interconexão	CMA_C1151 – Exigir contratos de segurança de interconexão	Manual, Desabilitado	1.1.0
Proteger a interface para sistemas externos	CMA_0491 – Proteger a interface para sistemas externos	Manual, Desabilitado	1.1.0
A transferência segura para contas de armazenamento deve ser habilitada	Exigência de auditoria de transferência segura em sua conta de armazenamento. A transferência segura é uma opção que força a sua conta de armazenamento a aceitar somente solicitações de conexões seguras (HTTPS). O uso de HTTPS garante a autenticação entre o servidor e o serviço e protege dados em trânsito de ataques de camada de rede, como ataques intermediários, interceptação e sequestro de sessão	Audit, Deny, desabilitado	2.0.0
Atualizar contratos de segurança de interconexão	CMA_0519 – Atualizar contratos de segurança de interconexão	Manual, Desabilitado	1.1.0
Verificar os controles de segurança para sistemas de informações externos	CMA_0541 - Verificar controles de segurança para sistemas de informações externos	Manual, Desabilitado	1.1.0

Contratos de transferência de informações

ID: ISO 27001:2013 A.13.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Identificar provedores de serviços externos	CMA_C1591 – Identificar provedores de serviços externos	Manual, Desabilitado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais	CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Exigir contratos de segurança de interconexão	CMA_C1151 – Exigir contratos de segurança de interconexão	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0
Atualizar contratos de segurança de interconexão	CMA_0519 – Atualizar contratos de segurança de interconexão	Manual, Desabilitado	1.1.0

Mensagens eletrônicas

ID: ISO 27001:2013 A.13.2.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar um serviço de nome/endereço tolerante a falhas	CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas	Manual, Desabilitado	1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas	CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Fornecer serviços seguros de resolução de endereço e nome	CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome	Manual, Desabilitado	1.1.0

Confidencialidade ou contratos de confidencialidade

ID: ISO 27001:2013 A.13.2.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Desenvolver política de código da organização	CMA_0159 – Desenvolver política de código de conduta da organização	Manual, Desabilitado	1.1.0
Desenvolver proteções de segurança	CMA_0161 – Desenvolver proteções de segurança	Manual, Desabilitado	1.1.0
Documentar contratos de acesso organizacional	CMA_0192 – Documentar contratos de acesso organizacional	Manual, Desabilitado	1.1.0
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	Manual, Desabilitado	1.1.0
Proibir práticas injustas	CMA_0396 – Proibir práticas injustas	Manual, Desabilitado	1.1.0
Exigir que os usuários assinem o contrato de acesso	CMA_0440 – Exigir que os usuários assinem o contrato de acesso	Manual, Desabilitado	1.1.0
Revisar e assinar regras de comportamento revisadas	CMA_0465 – Revisar e assinar regras de comportamento revisadas	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar contratos de acesso organizacional	CMA_0520 – Atualizar contratos de acesso organizacional	Manual, Desabilitado	1.1.0
Atualizar regras de comportamento e contratos de acesso	CMA_0521 – Atualizar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Atualizar regras de comportamento e contratos de acesso a cada três anos	CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos	Manual, Desabilitado	1.1.0

Aquisição, Desenvolvimento e Manutenção do Sistema

Especificação e análise de requisitos de segurança da informação

ID: ISO 27001:2013 A.14.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir responsabilidades e funções de segurança da informação	CMA_C1565 – Definir funções e responsabilidades de segurança da informação	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver um conceito de operações (CONOPS)	CMA_0141 – Desenvolver um conceito de operações (CONOPS)	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Desenvolver um SSP que atenda aos critérios	CMA_C1492 – Desenvolver um SSP que atenda aos critérios	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Identificar provedores de serviços externos	CMA_C1591 – Identificar provedores de serviços externos	Manual, Desabilitado	1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança	CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança	Manual, Desabilitado	1.1.1
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Integrar o processo de gerenciamento de riscos ao SDLC	CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC	Manual, Desabilitado	1.1.0
Revisar e atualizar a arquitetura de segurança da informação	CMA_C1504 – Revisar e atualizar a arquitetura de segurança da informação	Manual, Desabilitado	1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento	CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento	Manual, Desabilitado	1.1.0

Protegendo serviços de aplicativo em redes públicas

ID: ISO 27001:2013 A.14.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Impor exclusividade do usuário	CMA_0250 – Impor exclusividade do usuário	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Identificar e autenticar usuários não organizacionais	CMA_C1346 – Identificar e autenticar usuários não organizacionais	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar um serviço de nome/endereço tolerante a falhas	CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Controle de fluxo de informações usando filtros de política de segurança	CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar usuários sobre logon ou acesso do sistema	CMA_0382 – Notificar usuários sobre logon ou acesso do sistema	Manual, Desabilitado	1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas	CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Fornecer serviços seguros de resolução de endereço e nome	CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	Manual, Desabilitado	1.1.0

Protegendo transações de serviços de aplicativo

ID: ISO 27001:2013 A.14.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0
Empregar proteção de limite para isolar sistemas da informação	CMA_C1639 – Empregar proteção de limite para isolar sistemas da informação	Manual, Desabilitado	1.1.0
Empregar mecanismos de controle de fluxo de informações criptografadas	CMA_0211 – Empregar mecanismos de controle de fluxo de informações criptografadas	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Impor exclusividade do usuário	CMA_0250 – Impor exclusividade do usuário	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e autenticar usuários não organizacionais	CMA_C1346 – Identificar e autenticar usuários não organizacionais	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar um serviço de nome/endereço tolerante a falhas	CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Controle de fluxo de informações usando filtros de política de segurança	CMA_C1029 – Controle de fluxo de informações usando filtros de política de segurança	Manual, Desabilitado	1.1.0
Impedir a divisão de túneis para dispositivos remotos	CMA_C1632 – Impedir a divisão de túneis para dispositivos remotos	Manual, Desabilitado	1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas	CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Fornecer serviços seguros de resolução de endereço e nome	CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0
Proteger a interface para sistemas externos	CMA_0491 – Proteger a interface para sistemas externos	Manual, Desabilitado	1.1.0
Separar funcionalidade de gerenciamento de usuário e sistema de informações	CMA_0493 – Separar funcionalidade de gerenciamento de usuário e sistema de informações	Manual, Desabilitado	1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	Manual, Desabilitado	1.1.0
Usar computadores dedicados para tarefas administrativas	CMA_0527 – Usar computadores dedicados para tarefas administrativas	Manual, Desabilitado	1.1.0

Política de desenvolvimento seguro

ID: ISO 27001:2013 A.14.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir responsabilidades e funções de segurança da informação	CMA_C1565 – Definir funções e responsabilidades de segurança da informação	Manual, Desabilitado	1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança	CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança	Manual, Desabilitado	1.1.1
Integrar o processo de gerenciamento de riscos ao SDLC	CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores criem uma arquitetura de segurança	CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança	CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança	CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança	Manual, Desabilitado	1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento	CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento	Manual, Desabilitado	1.1.0

Procedimentos de controle de alterações do sistema

ID: ISO 27001:2013 A.14.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Resolver vulnerabilidades de codificação	CMA_0003 - Resolver vulnerabilidades de codificação	Manual, Desabilitado	1.1.0
Automatizar a solicitação de aprovação para alterações propostas	CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas	Manual, Desabilitado	1.1.0
Automatizar a implementação de notificações de alterações aprovadas	CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas	Manual, Desabilitado	1.1.0
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas	CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas	Manual, Desabilitado	1.1.0
Automatizar as alterações documentadas propostas	CMA_C1191 - Automatizar as alterações documentadas propostas	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos	CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer um programa de desenvolvimento de software seguro	CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Incorporar a correção de falhas no gerenciamento de configuração	CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas	CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração	CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração	Manual, Desabilitado	1.1.0

Revisão técnica dos aplicativos após alterações na plataforma operacional

ID: ISO 27001:2013 A.14.2.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Automatizar a solicitação de aprovação para alterações propostas	CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas	Manual, Desabilitado	1.1.0
Automatizar a implementação de notificações de alterações aprovadas	CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas	Manual, Desabilitado	1.1.0
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas	CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas	Manual, Desabilitado	1.1.0
Automatizar as alterações documentadas propostas	CMA_C1191 - Automatizar as alterações documentadas propostas	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Incorporar a correção de falhas no gerenciamento de configuração	CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0

Restrições em alterações nos pacotes de software

ID: ISO 27001:2013 A.14.2.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Resolver vulnerabilidades de codificação	CMA_0003 - Resolver vulnerabilidades de codificação	Manual, Desabilitado	1.1.0
Automatizar a solicitação de aprovação para alterações propostas	CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas	Manual, Desabilitado	1.1.0
Automatizar a implementação de notificações de alterações aprovadas	CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas	Manual, Desabilitado	1.1.0
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas	CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas	Manual, Desabilitado	1.1.0
Automatizar as alterações documentadas propostas	CMA_C1191 - Automatizar as alterações documentadas propostas	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos	CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer um programa de desenvolvimento de software seguro	CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas	CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração	CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração	Manual, Desabilitado	1.1.0

Princípios de engenharia de sistema seguros

ID: ISO 27001:2013 A.14.2.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Executar validação de entrada de informações	CMA_C1723 – Executar validação de entrada de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores criem uma arquitetura de segurança	CMA_C1612 – Exigir que os desenvolvedores criem uma arquitetura de segurança	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança	CMA_C1613 – Exigir que os desenvolvedores descrevam precisamente a funcionalidade de segurança	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança	CMA_C1614 – Exigir que os desenvolvedores apresentem uma abordagem unificada da proteção de segurança	Manual, Desabilitado	1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento	CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento	Manual, Desabilitado	1.1.0

Proteja o ambiente de desenvolvimento

ID: ISO 27001:2013 A.14.2.6 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Definir funções e responsabilidades de segurança da informação	CMA_C1565 – Definir funções e responsabilidades de segurança da informação	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança	CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança	Manual, Desabilitado	1.1.1
Integrar o processo de gerenciamento de riscos ao SDLC	CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0

Desenvolvimento terceirizado

ID: ISO 27001:2013 A.14.2.7 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Resolver vulnerabilidades de codificação	CMA_0003 - Resolver vulnerabilidades de codificação	Manual, Desabilitado	1.1.0
Avaliar o risco em relacionamentos de terceiros	CMA_0014 – Avaliar o risco em relacionamentos de terceiros	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 – Definir requisitos para o fornecimento de bens e serviços	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver e documentar requisitos de segurança de aplicativos	CMA_0148 - Desenvolver e documentar requisitos de segurança de aplicativos	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Estabelecer um programa de desenvolvimento de software seguro	CMA_0259 - Estabelecer um programa de desenvolvimento de software seguro	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas	CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração	CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança	CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança	Manual, Desabilitado	1.1.0

Teste de segurança do sistema

ID: ISO 27001:2013 A.14.2.8 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Fornecer resultados da avaliação de segurança	CMA_C1147 – Fornecer resultados da avaliação de segurança	Manual, Desabilitado	1.1.0
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0
Garantir que não existam autenticadores estáticos sem criptografia	CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Produzir relatórios de avaliação de segurança	CMA_C1146 – Produzir relatórios de avaliação de segurança	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança	CMA_C1602 – Exigir que os desenvolvedores produzam evidências da execução do plano de avaliação de segurança	Manual, Desabilitado	1.1.0

Teste de aceitação do sistema

ID: ISO 27001:2013 A.14.2.9 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atribuir um funcionário de autorização (AO)	CMA_C1158 – Atribuir um funcionário de autorização (AO)	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Garantir que os recursos sejam autorizados	CMA_C1159 – Garantir que os recursos sejam autorizados	Manual, Desabilitado	1.1.0
Garantir que não existam autenticadores estáticos sem criptografia	CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia	Manual, Desabilitado	1.1.0

Proteção dos dados de teste

ID: ISO 27001:2013 A.14.3.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Garantir que não existam autenticadores estáticos sem criptografia	CMA_C1340 - Garantir que não existam autenticadores estáticos sem criptografia	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Executar revisão de disposição	CMA_0391 - Executar revisão de disposição	Manual, Desabilitado	1.1.0
Executar verificações de vulnerabilidade	CMA_0393 – Executar verificações de vulnerabilidade	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Verificar se os dados pessoais foram excluídos ao final do processamento	CMA_0540 - Verificar se os dados pessoais foram excluídos ao final do processamento	Manual, Desabilitado	1.1.0

Relações com Fornecedores

Política de segurança de informações para relações com fornecedores

ID: ISO 27001:2013 A.15.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar o risco em relacionamentos de terceiros	CMA_0014 – Avaliar o risco em relacionamentos de terceiros	Manual, Desabilitado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 – Definir requisitos para o fornecimento de bens e serviços	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0

Abordagem da segurança no contrato do fornecedor

ID: ISO 27001:2013 A.15.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar o risco em relacionamentos de terceiros	CMA_0014 – Avaliar o risco em relacionamentos de terceiros	Manual, Desabilitado	1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	Manual, Desabilitado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 – Definir requisitos para o fornecimento de bens e serviços	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Desenvolver política de código da organização	CMA_0159 – Desenvolver política de código de conduta da organização	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	Manual, Desabilitado	1.1.0
Identificar provedores de serviços externos	CMA_C1591 – Identificar provedores de serviços externos	Manual, Desabilitado	1.1.0
Proibir práticas injustas	CMA_0396 – Proibir práticas injustas	Manual, Desabilitado	1.1.0
Revisar e assinar regras de comportamento revisadas	CMA_0465 – Revisar e assinar regras de comportamento revisadas	Manual, Desabilitado	1.1.0
Atualizar regras de comportamento e contratos de acesso	CMA_0521 – Atualizar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Atualizar regras de comportamento e contratos de acesso a cada três anos	CMA_0522 – Atualizar regras de comportamento e contratos de acesso a cada três anos	Manual, Desabilitado	1.1.0

Cadeia de fornecedores de tecnologia da informação e comunicação

ID: ISO 27001:2013 A.15.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar o risco em relacionamentos de terceiros	CMA_0014 – Avaliar o risco em relacionamentos de terceiros	Manual, Desabilitado	1.1.0
Definir requisitos para o fornecimento de bens e serviços	CMA_0126 – Definir requisitos para o fornecimento de bens e serviços	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	CMA_0275 – Estabelecer políticas de gerenciamento de riscos da cadeia de suprimentos	Manual, Desabilitado	1.1.0

Monitoramento e revisão dos serviços de fornecedores

ID: ISO 27001:2013 A.15.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Gerenciando alterações nos serviços de fornecedores

ID: ISO 27001:2013 A.15.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Gerenciamento de Incidentes de Segurança de Informação

Responsabilidades e procedimentos

ID: ISO 27001:2013 A.16.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar eventos de segurança da informação	CMA_0013 – Avaliar eventos de segurança da informação	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Manter registros de violação de dados	CMA_0351 – Manter registros de violação de dados	Manual, Desabilitado	1.1.0
Manter plano de resposta a incidentes	CMA_0352 – Manter plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Proteger o plano de resposta a incidentes	CMA_0405 – Proteger o plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0

Relatório de eventos de segurança de informações

ID: ISO 27001:2013 A.16.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Correlacionar os registros de auditoria	CMA_0087 – Correlacionar registros de auditoria	Manual, Desabilitado	1.1.0
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria	CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Integrar revisão de auditoria, análise e relatórios	CMA_0339 – Integrar revisão de auditoria, análise e relatórios	Manual, Desabilitado	1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM	CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM	Manual, Desabilitado	1.1.0
Informar comportamento atípico nas contas de usuário	CMA_C1025 - Informar comportamento atípico nas contas de usuário	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar atribuições de administrador semanalmente	CMA_0461 – Revisar atribuições de administrador semanalmente	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0
Revisar a visão geral do relatório de identidade na nuvem	CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem	Manual, Desabilitado	1.1.0
Revisar eventos de acesso controlado a pastas	CMA_0471 – Revisar eventos de acesso controlado a pastas	Manual, Desabilitado	1.1.0
Revisar a atividade de arquivo e pasta	CMA_0473 – Revisar a atividade de arquivo e pasta	Manual, Desabilitado	1.1.0
Revisar alterações de grupo de funções semanalmente	CMA_0476 – Revisar alterações de grupo de funções semanalmente	Manual, Desabilitado	1.1.0

Informando falhas na segurança das informações

ID: ISO 27001:2013 A.16.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Documentar operações de segurança	CMA_0202 – Documentar operações de segurança	Manual, Desabilitado	1.1.0
Incorporar a correção de falhas no gerenciamento de configuração	CMA_C1671 – Incorporar a correção de falhas no gerenciamento de configuração	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Informar comportamento atípico nas contas de usuário	CMA_C1025 - Informar comportamento atípico nas contas de usuário	Manual, Desabilitado	1.1.0

Avaliação e decisão sobre eventos de segurança da informação

ID: ISO 27001:2013 A.16.1.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar eventos de segurança da informação	CMA_0013 – Avaliar eventos de segurança da informação	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Correlacionar registros de auditoria	CMA_0087 – Correlacionar registros de auditoria	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Desenvolver proteções de segurança	CMA_0161 – Desenvolver proteções de segurança	Manual, Desabilitado	1.1.0
Habilitar a proteção de rede	CMA_0238 – Habilitar a proteção de rede	Manual, Desabilitado	1.1.0
Erradicar informações contaminadas	CMA_0253 – Erradicar informações contaminadas	Manual, Desabilitado	1.1.0
Estabelecer requisitos para revisão e relatórios de auditoria	CMA_0277 – Estabelecer requisitos para revisão e relatórios de auditoria	Manual, Desabilitado	1.1.0
Executar ações em resposta a despejos de informações	CMA_0281 – Executar ações em resposta a despejos de informações	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Integrar revisão de auditoria, análise e relatórios	CMA_0339 – Integrar revisão de auditoria, análise e relatórios	Manual, Desabilitado	1.1.0
Integrar a segurança do aplicativo em nuvem a um SIEM	CMA_0340 – Integrar a segurança do aplicativo em nuvem a um SIEM	Manual, Desabilitado	1.1.0
Manter plano de resposta a incidentes	CMA_0352 – Manter plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Informar comportamento atípico nas contas de usuário	CMA_C1025 - Informar comportamento atípico nas contas de usuário	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar atribuições de administrador semanalmente	CMA_0461 – Revisar atribuições de administrador semanalmente	Manual, Desabilitado	1.1.0
Examinar dados de auditoria	CMA_0466 – Examinar dados de auditoria	Manual, Desabilitado	1.1.0
Revisar a visão geral do relatório de identidade na nuvem	CMA_0468 – Revisar a visão geral do relatório de identidade na nuvem	Manual, Desabilitado	1.1.0
Revisar eventos de acesso controlado a pastas	CMA_0471 – Revisar eventos de acesso controlado a pastas	Manual, Desabilitado	1.1.0
Revisar a atividade de arquivo e pasta	CMA_0473 – Revisar a atividade de arquivo e pasta	Manual, Desabilitado	1.1.0
Revisar alterações de grupo de funções semanalmente	CMA_0476 – Revisar alterações de grupo de funções semanalmente	Manual, Desabilitado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 – Exibir e investigar usuários restritos	Manual, Desabilitado	1.1.0

Resposta a incidentes de segurança de informações

ID: ISO 27001:2013 A.16.1.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar eventos de segurança da informação	CMA_0013 – Avaliar eventos de segurança da informação	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Desenvolver proteções de segurança	CMA_0161 – Desenvolver proteções de segurança	Manual, Desabilitado	1.1.0
Habilitar a proteção de rede	CMA_0238 – Habilitar a proteção de rede	Manual, Desabilitado	1.1.0
Erradicar informações contaminadas	CMA_0253 – Erradicar informações contaminadas	Manual, Desabilitado	1.1.0
Executar ações em resposta a despejos de informações	CMA_0281 – Executar ações em resposta a despejos de informações	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Manter plano de resposta a incidentes	CMA_0352 – Manter plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Informar comportamento atípico nas contas de usuário	CMA_C1025 - Informar comportamento atípico nas contas de usuário	Manual, Desabilitado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 – Exibir e investigar usuários restritos	Manual, Desabilitado	1.1.0

Aprendizagem com incidentes de segurança da informação

ID: ISO 27001:2013 A.16.1.6 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar eventos de segurança da informação	CMA_0013 – Avaliar eventos de segurança da informação	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Desenvolver um plano de resposta a incidentes	CMA_0145 – Desenvolver um plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Desenvolver proteções de segurança	CMA_0161 – Desenvolver proteções de segurança	Manual, Desabilitado	1.1.0
Descobrir os indicadores de comprometimento	CMA_C1702 – Descobrir os indicadores de comprometimento	Manual, Desabilitado	1.1.0
Habilitar a proteção de rede	CMA_0238 – Habilitar a proteção de rede	Manual, Desabilitado	1.1.0
Erradicar informações contaminadas	CMA_0253 – Erradicar informações contaminadas	Manual, Desabilitado	1.1.0
Executar ações em resposta a despejos de informações	CMA_0281 – Executar ações em resposta a despejos de informações	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Manter plano de resposta a incidentes	CMA_0352 – Manter plano de resposta a incidentes	Manual, Desabilitado	1.1.0
Executar uma análise de tendências de ameaças	CMA_0389 – Executar uma análise de tendências de ameaças	Manual, Desabilitado	1.1.0
Informar comportamento atípico nas contas de usuário	CMA_C1025 - Informar comportamento atípico nas contas de usuário	Manual, Desabilitado	1.1.0
Exibir e investigar usuários restritos	CMA_0545 – Exibir e investigar usuários restritos	Manual, Desabilitado	1.1.0

Coleção de evidências

ID: ISO 27001:2013 A.16.1.7 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	Manual, Desabilitado	1.1.0
Determinar eventos auditáveis	CMA_0137 – Determinar eventos auditáveis	Manual, Desabilitado	1.1.0
Implementar tratamento de incidentes	CMA_0318 – Implementar tratamento de incidentes	Manual, Desabilitado	1.1.0
Informar comportamento atípico nas contas de usuário	CMA_C1025 - Informar comportamento atípico nas contas de usuário	Manual, Desabilitado	1.1.0
Reter procedimentos e políticas de segurança	CMA_0454 – Reter procedimentos e políticas de segurança	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0

Aspectos de Segurança da Informação da Gestão de Continuidade de Negócios

Planejamento da continuidade de segurança das informações

ID: ISO 27001:2013 A.17.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Comunicar alterações no plano de contingência	CMA_C1249 - Comunicar alterações no plano de contingência	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências	CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências	Manual, Desabilitado	1.1.0
Distribuir procedimentos e políticas	CMA_0185 - Distribuir procedimentos e políticas	Manual, Desabilitado	1.1.0
Planejar a retomada das funções essenciais do negócio	CMA_C1253 – Planejar a retomada das funções essenciais do negócio	Manual, Desabilitado	1.1.0
Retomar todas as funções da missão e do negócio	CMA_C1254 - Retomar todas as funções da missão e do negócio	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar o plano de contingência	CMA_C1247 – Revisar o plano de contingência	Manual, Desabilitado	1.1.0
Atualizar o plano de contingência	CMA_C1248 – Atualizar o plano de contingência	Manual, Desabilitado	1.1.0

Implementando a continuidade da segurança das informações

ID: ISO 27001:2013 A.17.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Comunicar alterações no plano de contingência	CMA_C1249 - Comunicar alterações no plano de contingência	Manual, Desabilitado	1.1.0
Realizar backup da documentação do sistema de informações	CMA_C1289 - Realizar backup da documentação do sistema de informações	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Criar sites de armazenamento alternativos e primários separados	CMA_C1269 - Criar sites de armazenamento alternativos e primários separados	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário	CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário	Manual, Desabilitado	1.1.0
Garantir que houve falha no sistema de informações do estado conhecido	CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido	Manual, Desabilitado	1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	Manual, Desabilitado	1.1.0
Estabelecer um site de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desabilitado	1.1.0
Estabelecer políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desabilitado	1.1.0
Estabelecer requisitos para provedores de serviços de Internet	CMA_0278 - Estabelecer requisitos para provedores de serviços de Internet	Manual, Desabilitado	1.1.0
Identificar e reduzir possíveis problemas no site de armazenamento alternativo	CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Implementar a recuperação com base na transação	CMA_C1296 - Implementar a recuperação com base na transação	Manual, Desabilitado	1.1.0
Planejar a continuação de funções de negócios essenciais	CMA_C1255 – Planejar a continuação de funções de negócios essenciais	Manual, Desabilitado	1.1.0
Planejar a retomada das funções essenciais do negócio	CMA_C1253 – Planejar a retomada das funções essenciais do negócio	Manual, Desabilitado	1.1.0
Recuperar e reconstituir recursos após qualquer interrupção	CMA_C1295 – Recuperar e reconstituir recursos após qualquer interrupção	Manual, Desabilitado	1.1.1
Retomar todas as funções da missão e do negócio	CMA_C1254 - Retomar todas as funções da missão e do negócio	Manual, Desabilitado	1.1.0

Verificar, revisar e avaliar a continuidade da segurança das informações

ID: ISO 27001:2013 A.17.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Iniciar o plano de contingência testando ações corretivas	CMA_C1263 - Iniciar as ações corretivas do teste de plano de contingência	Manual, Desabilitado	1.1.0
Revisar os resultados do teste do plano de contingência	CMA_C1262 - Revisar os resultados do teste do plano de contingência	Manual, Desabilitado	1.1.0
Testar o plano de continuidade dos negócios e recuperação de desastres	CMA_0509 – Testar o plano de continuidade dos negócios e recuperação de desastres	Manual, Desabilitado	1.1.0

Disponibilidade de instalações de processamento de informações

ID: ISO 27001:2013 A.17.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Comunicar alterações no plano de contingência	CMA_C1249 - Comunicar alterações no plano de contingência	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Criar sites de armazenamento alternativos e primários separados	CMA_C1269 - Criar sites de armazenamento alternativos e primários separados	Manual, Desabilitado	1.1.0
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências	CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências	Manual, Desabilitado	1.1.0
Distribuir procedimentos e políticas	CMA_0185 - Distribuir procedimentos e políticas	Manual, Desabilitado	1.1.0
Garantir que as proteções do site de armazenamento alternativo sejam equivalentes às do site primário	CMA_C1268 - Garantir que as proteções alternativas do site de armazenamento sejam equivalentes ao site primário	Manual, Desabilitado	1.1.0
Garantir que houve falha no sistema de informações do estado conhecido	CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido	Manual, Desabilitado	1.1.0
Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	CMA_C1267 - Estabelecer um local de armazenamento alternativo para armazenar e recuperar informações de backup	Manual, Desabilitado	1.1.0
Estabelecer um site de processamento alternativo	CMA_0262 - Estabelecer um local de processamento alternativo	Manual, Desabilitado	1.1.0
Identificar e reduzir possíveis problemas no site de armazenamento alternativo	CMA_C1271 - Identificar e reduzir possíveis problemas no site de armazenamento alternativo	Manual, Desabilitado	1.1.0
Planejar a continuação de funções de negócios essenciais	CMA_C1255 – Planejar a continuação de funções de negócios essenciais	Manual, Desabilitado	1.1.0
Planejar a retomada das funções essenciais do negócio	CMA_C1253 – Planejar a retomada das funções essenciais do negócio	Manual, Desabilitado	1.1.0
Retomar todas as funções da missão e do negócio	CMA_C1254 - Retomar todas as funções da missão e do negócio	Manual, Desabilitado	1.1.0
Revisar o plano de contingência	CMA_C1247 – Revisar o plano de contingência	Manual, Desabilitado	1.1.0
Atualizar o plano de contingência	CMA_C1248 – Atualizar o plano de contingência	Manual, Desabilitado	1.1.0

Conformidade

Identificação de requisitos contratuais e legislação aplicável

ID: ISO 27001:2013 A.18.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Proteger o plano de programa de segurança da informação	CMA_C1732 – Proteger o plano do programa de segurança da informação	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Direitos de propriedade intelectual

ID: ISO 27001:2013 A.18.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Exigir conformidade com direitos de propriedade intelectual	CMA_0432 – Exigir conformidade com os direitos de propriedade intelectual	Manual, Desabilitado	1.1.0
Acompanhar o uso de licenças de software	CMA_C1235 – Acompanhar o uso de licenças de software	Manual, Desabilitado	1.1.0

Proteção de registros

ID: ISO 27001:2013 A.18.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Realizar backup da documentação do sistema de informações	CMA_C1289 - Realizar backup da documentação do sistema de informações	Manual, Desabilitado	1.1.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Habilitar a autorização dupla ou conjunta	CMA_0226 – Habilitar a autorização dupla ou conjunta	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Garantir que houve falha no sistema de informações do estado conhecido	CMA_C1662 - Garantir que houve falha no sistema de informações do estado conhecido	Manual, Desabilitado	1.1.0
Estabelecer políticas e procedimentos de backup	CMA_0268 - Estabelecer políticas e procedimentos de backup	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Implementar a recuperação com base na transação	CMA_C1296 - Implementar a recuperação com base na transação	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Proteger informações de auditoria	CMA_0401 – Proteger informações de auditoria	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Privacidade e proteção de informações de identificação pessoal

ID: ISO 27001:2013 A.18.1.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Gerenciar atividades de conformidade	CMA_0358 – Gerenciar atividades de conformidade	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Regulamentação dos controles criptográficos

ID: ISO 27001:2013 A.18.1.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autenticar-se no módulo de criptografia	CMA_0021 – Autenticar-se no módulo de criptografia	Manual, Desabilitado	1.1.0
Definir o uso de criptografia	CMA_0120 – Definir o uso de criptografia	Manual, Desabilitado	1.1.0

Revisão independente da segurança de informações

ID: ISO 27001:2013 A.18.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Empregar uma equipe independente para teste de penetração	CMA_C1171 – Empregar uma equipe independente para teste de penetração	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Conformidade com os padrões e políticas de segurança

ID: ISO 27001:2013 A.18.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	CMA_0053 – Verificar a conformidade de privacidade e segurança antes de estabelecer conexões internas	Manual, Desabilitado	1.1.0
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Fornecer resultados da avaliação de segurança	CMA_C1147 – Fornecer resultados da avaliação de segurança	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Produzir relatórios de avaliação de segurança	CMA_C1146 – Produzir relatórios de avaliação de segurança	Manual, Desabilitado	1.1.0
Proteger o plano de programa de segurança da informação	CMA_C1732 – Proteger o plano do programa de segurança da informação	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Análise de conformidade técnica

ID: ISO 27001:2013 A.18.2.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Fornecer resultados da avaliação de segurança	CMA_C1147 – Fornecer resultados da avaliação de segurança	Manual, Desabilitado	1.1.0
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0
Empregar uma equipe independente para teste de penetração	CMA_C1171 – Empregar uma equipe independente para teste de penetração	Manual, Desabilitado	1.1.0
Produzir relatórios de avaliação de segurança	CMA_C1146 – Produzir relatórios de avaliação de segurança	Manual, Desabilitado	1.1.0

Políticas de Segurança da Informação

Políticas para segurança de informações

ID: ISO 27001:2013 A.5.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Estabelecer requisitos de privacidade para prestadores e provedores de serviço	CMA_C1810 – Estabelecer requisitos de privacidade para prestadores e provedores de serviço	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Gerenciar atividades de conformidade	CMA_0358 – Gerenciar atividades de conformidade	Manual, Desabilitado	1.1.0
Proteger o plano de programa de segurança da informação	CMA_C1732 – Proteger o plano do programa de segurança da informação	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Revisão das políticas de segurança da informação

ID: ISO 27001:2013 A.5.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Proteger o plano de programa de segurança da informação	CMA_C1732 – Proteger o plano do programa de segurança da informação	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Organização da segurança das informações

Responsabilidades e funções de segurança das informações

ID: ISO 27001:2013 A.6.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Comunicar alterações no plano de contingência	CMA_C1249 - Comunicar alterações no plano de contingência	Manual, Desabilitado	1.1.0
Coordenar os planos de contingência com os planos relacionados	CMA_0086 - Coordenar os planos de contingência com os planos relacionados	Manual, Desabilitado	1.1.0
Criar proteção para o plano de configurações	CMA_C1233 – Criar proteção para o plano de configurações	Manual, Desabilitado	1.1.0
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Definir funções e responsabilidades de segurança da informação	CMA_C1565 – Definir funções e responsabilidades de segurança da informação	Manual, Desabilitado	1.1.0
Designar os indivíduos para cumprir funções e responsabilidades específicas	CMA_C1747 - Designar indivíduos para cumprir funções e responsabilidades específicas	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	CMA_0146 – Desenvolver e documentar um plano de continuidade dos negócios e recuperação de desastres	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Desenvolver e manter configurações de linha de base	CMA_0153 – Desenvolver e manter configurações de linha de base	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver um plano de identificação do item de configuração	CMA_C1231 – Desenvolver um plano de identificação do item de configuração	Manual, Desabilitado	1.1.0
Desenvolver um plano de gerenciamento de configuração	CMA_C1232 – Desenvolver um plano de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Desenvolver plano de contingência	CMA_C1244 – Desenvolver plano de contingência	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de planejamento de contingências	CMA_0156 – Desenvolver procedimentos e políticas de planejamento de contingências	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Distribuir procedimentos e políticas	CMA_0185 - Distribuir procedimentos e políticas	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar e implementar procedimentos de reclamação de privacidade	CMA_0189 - Documentar e implementar procedimentos de reclamação de privacidade	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Documentar requisitos de segurança de pessoal terceirizado	CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente	CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Estabelecer e documentar um plano de gerenciamento de configuração	CMA_0264 – Estabelecer e documentar um plano de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado	CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança	CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança	Manual, Desabilitado	1.1.1
Implementar uma ferramenta de gerenciamento de configuração automatizada	CMA_0311 – Implementar uma ferramenta de gerenciamento de configuração automatizada	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Integrar o processo de gerenciamento de riscos ao SDLC	CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC	Manual, Desabilitado	1.1.0
Gerenciar o estado de segurança dos sistemas de informações	CMA_C1746 - Gerenciar estado de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Monitorar a conformidade do provedor de terceiros	CMA_C1533 – Monitorar a conformidade do provedor de terceiros	Manual, Desabilitado	1.1.0
Planejar a retomada das funções essenciais do negócio	CMA_C1253 – Planejar a retomada das funções essenciais do negócio	Manual, Desabilitado	1.1.0
Proteger o plano de programa de segurança da informação	CMA_C1732 – Proteger o plano do programa de segurança da informação	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Exigir notificação da transferência ou rescisão de pessoal terceirizado	CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado	Manual, Desabilitado	1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal	CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Retomar todas as funções da missão e do negócio	CMA_C1254 - Retomar todas as funções da missão e do negócio	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Revisar o plano de contingência	CMA_C1247 – Revisar o plano de contingência	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0
Atualizar o plano de contingência	CMA_C1248 – Atualizar o plano de contingência	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Diferenciação de tarefas

ID: ISO 27001:2013 A.6.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Um máximo de três proprietários deve ser designado para sua assinatura	Recomenda-se designar até 3 proprietários de assinaturas para reduzir o potencial de violação por parte de um proprietário comprometido.	AuditIfNotExists, desabilitado	3.0.0
Definir autorizações de acesso para dar suporte à separação de tarefas	CMA_0116 – Definir autorizações de acesso para dar suporte à separação de tarefas	Manual, Desabilitado	1.1.0
Documentar separação de tarefas	CMA_0204 – Documentar separação de tarefas	Manual, Desabilitado	1.1.0
Separar tarefas de indivíduos	CMA_0492 – Separar tarefas de indivíduos	Manual, Desabilitado	1.1.0
Deve haver mais de um proprietário atribuído à sua assinatura	Recomenda-se designar mais de um proprietário de assinatura para ter redundância de acesso de administrador.	AuditIfNotExists, desabilitado	3.0.0

Contato com as autoridades

ID: ISO 27001:2013 A.6.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Gerenciar contatos para autoridades e grupos de interesse especiais	CMA_0359 – Gerenciar contatos para autoridades e grupos de interesses especiais	Manual, Desabilitado	1.1.0

Contato com grupos de interesse especial

ID: ISO 27001:2013 A.6.1.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Divulgar alertas de segurança para o pessoal	CMA_C1705 – Divulgar alertas de segurança para o pessoal	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer um programa de inteligência contra ameaças	CMA_0260 – Estabelecer um programa de inteligência contra ameaças	Manual, Desabilitado	1.1.0
Gerar alertas de segurança internos	CMA_C1704 – Gerar alertas de segurança internos	Manual, Desabilitado	1.1.0
Implementar diretivas de segurança	CMA_C1706 – Implementar diretivas de segurança	Manual, Desabilitado	1.1.0
Gerenciar contatos para autoridades e grupos de interesse especiais	CMA_0359 – Gerenciar contatos para autoridades e grupos de interesses especiais	Manual, Desabilitado	1.1.0

Segurança de informações no gerenciamento de projetos

ID: ISO 27001:2013 A.6.1.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alinhar os objetivos de negócios e os objetivos de TI	CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI	Manual, Desabilitado	1.1.0
Alocar recursos para determinar os requisitos do sistema de informações	CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações	Manual, Desabilitado	1.1.0
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Definir funções e responsabilidades de segurança da informação	CMA_C1565 – Definir funções e responsabilidades de segurança da informação	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Estabelecer um item de linha discreto na documentação do orçamento	CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Controlar a alocação de recursos	CMA_0293 – Controlar a alocação de recursos	Manual, Desabilitado	1.1.0
Identificar os indivíduos com funções e responsabilidades de segurança	CMA_C1566 – Identificar os indivíduos com funções e responsabilidades de segurança	Manual, Desabilitado	1.1.1
Integrar o processo de gerenciamento de riscos ao SDLC	CMA_C1567 – Integrar o processo de gerenciamento de riscos ao SDLC	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Revisar o processo, os padrões e as ferramentas de desenvolvimento	CMA_C1610 – Revisar o processo, os padrões e as ferramentas de desenvolvimento	Manual, Desabilitado	1.1.0
Garantir o comprometimento da liderança	CMA_0489 – Garantir o comprometimento da liderança	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Política de dispositivos móveis

ID: ISO 27001:2013 A.6.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Definir requisitos do dispositivo móvel	CMA_0122 - Definir requisitos do dispositivo móvel	Manual, Desabilitado	1.1.0
Documentar e implementar diretrizes de acesso sem fio	CMA_0190 – Documentar e implementar diretrizes de acesso sem fio	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar usuários sobre logon ou acesso do sistema	CMA_0382 – Notificar usuários sobre logon ou acesso do sistema	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger acesso sem fio	CMA_0411 – Proteger acesso sem fio	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0

Trabalho remoto

ID: ISO 27001:2013 A.6.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Autorizar o acesso remoto	CMA_0024 – Autorizar o acesso remoto	Manual, Desabilitado	1.1.0
Documentar o treinamento de mobilidade	CMA_0191 – Documentar o treinamento de mobilidade	Manual, Desabilitado	1.1.0
Documentar as diretrizes de acesso remoto	CMA_0196 – Documentar as diretrizes de acesso remoto	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Identificar e autenticar dispositivos de rede	CMA_0296 – Identificar e autenticar dispositivos de rede	Manual, Desabilitado	1.1.0
Implementar controles para proteger sites de trabalho alternativos	CMA_0315 – Implementar controles para proteger sites de trabalho alternativos	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar usuários sobre logon ou acesso do sistema	CMA_0382 – Notificar usuários sobre logon ou acesso do sistema	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Segurança dos Recursos Humanos

Triagem

ID: ISO 27001:2013 A.7.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desmarcar o pessoal com acesso às informações confidenciais	CMA_0054 – Desmarcar o pessoal com acesso às informações classificadas	Manual, Desabilitado	1.1.0
Implementar triagem de pessoal	CMA_0322 – Implementar triagem de pessoal	Manual, Desabilitado	1.1.0
Reexaminar indivíduos em uma frequência definida	CMA_C1512 – Reexaminar indivíduos em uma frequência definida	Manual, Desabilitado	1.1.0

Termos e condições de contratação

ID: ISO 27001:2013 A.7.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Desenvolver proteções de segurança	CMA_0161 – Desenvolver proteções de segurança	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar contratos de acesso organizacional	CMA_0192 – Documentar contratos de acesso organizacional	Manual, Desabilitado	1.1.0
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	Manual, Desabilitado	1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente	CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Implementar métodos de entrega de aviso de privacidade	CMA_0324 - Implementar métodos de entrega de avisos de privacidade	Manual, Desabilitado	1.1.0
Obter consentimento antes da coleta ou processamento de dados pessoais	CMA_0385 – Obter consentimento antes da coleta ou processamento de dados pessoais	Manual, Desabilitado	1.1.0
Fornecer aviso de privacidade	CMA_0414 - Fornecer aviso de privacidade	Manual, Desabilitado	1.1.0
Exigir que os usuários assinem o contrato de acesso	CMA_0440 – Exigir que os usuários assinem o contrato de acesso	Manual, Desabilitado	1.1.0
Atualizar contratos de acesso organizacional	CMA_0520 – Atualizar contratos de acesso organizacional	Manual, Desabilitado	1.1.0

Responsabilidades de gerenciamento

ID: ISO 27001:2013 A.7.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir e documentar supervisão governamental	CMA_C1587 – Definir e documentar supervisão governamental	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar contratos de acesso organizacional	CMA_0192 – Documentar contratos de acesso organizacional	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Documentar requisitos de segurança de pessoal terceirizado	CMA_C1531 – Documentar requisitos de segurança de pessoal terceirizado	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	CMA_C1528 - Verificar se os contratos de acesso são assinados ou cancelados dentro do prazo	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança de pessoal terceirizado	CMA_C1529 – Estabelecer requisitos de segurança de pessoal terceirizado	Manual, Desabilitado	1.1.0
Monitorar a conformidade do provedor de terceiros	CMA_C1533 – Monitorar a conformidade do provedor de terceiros	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Exigir notificação da transferência ou rescisão de pessoal terceirizado	CMA_C1532 – Exigir notificação de transferência ou rescisão de pessoal terceirizado	Manual, Desabilitado	1.1.0
Exigir que provedores terceiros cumpram as políticas e os procedimentos de segurança de pessoal	CMA_C1530 – Exigir que provedores terceiros cumpram as políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Exigir que os usuários assinem o contrato de acesso	CMA_0440 – Exigir que os usuários assinem o contrato de acesso	Manual, Desabilitado	1.1.0
Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	CMA_0469 – Revisar a conformidade com políticas e contratos do provedor de serviços de nuvem	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0
Atualizar contratos de acesso organizacional	CMA_0520 – Atualizar contratos de acesso organizacional	Manual, Desabilitado	1.1.0

Conscientização, educação e treinamento sobre segurança da informação

ID: ISO 27001:2013 A.7.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Aplicar ambiente de treinamento automatizado	CMA_C1357 – Aplicar ambiente de treinamento automatizado	Manual, Desabilitado	1.1.0
Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação	CMA_C1752 – Estabelecer programa de desenvolvimento e aperfeiçoamento da força de trabalho de segurança da informação	Manual, Desabilitado	1.1.0
Monitorar a conclusão dos treinamentos de segurança e privacidade	CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade	Manual, Desabilitado	1.1.0
Fornecer treinamento de contingência	CMA_0412 – Fornecer treinamento de contingência	Manual, Desabilitado	1.1.0
Fornecer treinamento de vazamento de informações	CMA_0413 – Fornecer treinamento de vazamento de informações	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico de segurança baseada em funções	CMA_C1095 – Fornecer treinamento periódico de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento periódico sobre conscientização de segurança	CMA_C1091 - Fornecer treinamento periódico sobre conscientização de segurança	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança baseada em funções	CMA_C1094 – Fornecer treinamentos de segurança baseada em funções	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança antes de fornecer acesso	CMA_0418 – Fornecer treinamento de segurança antes de fornecer acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento de segurança para novos usuários	CMA_0419 - Fornecer treinamento de segurança para novos usuários	Manual, Desabilitado	1.1.0
Fornecer treinamento de conscientização de segurança atualizado	CMA_C1090 - Fornecer treinamento de conscientização de segurança atualizado	Manual, Desabilitado	1.1.0
Reter registros de treinamento	CMA_0456 – Reter registros de treinamento	Manual, Desabilitado	1.1.0
Treinar o pessoal sobre a divulgação de informações não públicas	CMA_C1084 – Treinar o pessoal sobre a divulgação de informações não públicas	Manual, Desabilitado	1.1.0

Processo disciplinar

ID: ISO 27001:2013 A.7.2.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar processo formal de sanções	CMA_0317 – Implementar processo formal de sanções	Manual, Desabilitado	1.1.0
Notificar o pessoal sobre as sanções	CMA_0380 – Notificar o pessoal sobre sanções	Manual, Desabilitado	1.1.0

Término ou alteração das responsabilidades do emprego

ID: ISO 27001:2013 A.7.3.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Realizar entrevista de saída após a rescisão	CMA_0058 – Realizar entrevista de saída após a rescisão	Manual, Desabilitado	1.1.0
Desabilitar os autenticadores após o encerramento	CMA_0169 – Desabilitar os autenticadores após o encerramento	Manual, Desabilitado	1.1.0
Iniciar ações de transferência ou reatribuição	CMA_0333 – Iniciar ações de transferência ou reatribuição	Manual, Desabilitado	1.1.0
Modificar autorizações de acesso após a transferência de pessoal	CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal	Manual, Desabilitado	1.1.0
Notificar após a rescisão ou transferência	CMA_0381 – Notificar após a rescisão ou transferência	Manual, Desabilitado	1.1.0
Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo	CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo	Manual, Desabilitado	1.1.0
Reavaliar o acesso após a transferência de pessoal	CMA_0424 – Reavaliar o acesso após a transferência de pessoal	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0

Gerenciamento de Ativos

Inventário de ativos

ID: ISO 27001:2013 A.8.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Criar um estoque de dados	CMA_0096 – Criar um estoque de dados	Manual, Desabilitado	1.1.0
Manter registros de processamento de dados pessoais	CMA_0353 – Manter registros de processamento de dados pessoais	Manual, Desabilitado	1.1.0

Propriedade de ativos

ID: ISO 27001:2013 A.8.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Controlar o uso de dispositivos de armazenamento portáteis	CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis	Manual, Desabilitado	1.1.0
Criar um estoque de dados	CMA_0096 – Criar um estoque de dados	Manual, Desabilitado	1.1.0
Estabelecer e manter um inventário de ativos	CMA_0266 - Estabelecer e manter um inventário de ativos	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Manter registros de processamento de dados pessoais	CMA_0353 – Manter registros de processamento de dados pessoais	Manual, Desabilitado	1.1.0
Restringir uso de mídia	CMA_0450 – Restringir uso de mídia	Manual, Desabilitado	1.1.0

Uso aceitável de ativos

ID: ISO 27001:2013 A.8.1.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0

Retorno de ativos

ID: ISO 27001:2013 A.8.1.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Realizar entrevista de saída após a rescisão	CMA_0058 – Realizar entrevista de saída após a rescisão	Manual, Desabilitado	1.1.0
Desabilitar os autenticadores após o encerramento	CMA_0169 – Desabilitar os autenticadores após o encerramento	Manual, Desabilitado	1.1.0
Iniciar ações de transferência ou reatribuição	CMA_0333 – Iniciar ações de transferência ou reatribuição	Manual, Desabilitado	1.1.0
Modificar autorizações de acesso após a transferência de pessoal	CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal	Manual, Desabilitado	1.1.0
Notificar após a rescisão ou transferência	CMA_0381 – Notificar após a rescisão ou transferência	Manual, Desabilitado	1.1.0
Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo	CMA_0398 – Proteger-se e impedir o roubo de dados por parte dos funcionários que deixaram o cargo	Manual, Desabilitado	1.1.0
Reavaliar o acesso após a transferência de pessoal	CMA_0424 – Reavaliar o acesso após a transferência de pessoal	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0

Classificação de informações

ID: ISO 27001:2013 A.8.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Categorizar informações	CMA_0052 – Categorizar informações	Manual, Desabilitado	1.1.0
Desenvolver esquemas de classificação de negócios	CMA_0155 – Desenvolver esquemas de classificação de negócios	Manual, Desabilitado	1.1.0
Garantir a aprovação da categorização de segurança	CMA_C1540 – Garantir a aprovação da categorização de segurança	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0
Os bancos de dados SQL devem ter as descobertas de vulnerabilidade resolvidas	Monitore os resultados da verificação da avaliação de vulnerabilidades e as recomendações sobre como corrigir as vulnerabilidades do banco de dados.	AuditIfNotExists, desabilitado	4.1.0

Rotulagem de informações

ID: ISO 27001:2013 A.8.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Manuseio de ativos

ID: ISO 27001:2013 A.8.2.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Configurar as estações de trabalho para verificar certificados digitais	CMA_0073 – Configurar as estações de trabalho para verificar certificados digitais	Manual, Desabilitado	1.1.0
Controlar o fluxo de informações	CMA_0079 – Controlar o fluxo de informações	Manual, Desabilitado	1.1.0
Controlar o acesso físico	CMA_0081 – Controlar o acesso físico	Manual, Desabilitado	1.1.0
Controlar o uso de dispositivos de armazenamento portáteis	CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis	Manual, Desabilitado	1.1.0
Definir requisitos para gerenciar ativos	CMA_0125 - Definir requisitos para gerenciar ativos	Manual, Desabilitado	1.1.0
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Estabelecer um procedimento de gerenciamento de vazamento de dados	CMA_0255 – Estabelecer um procedimento de gerenciamento de vazamento de dados	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Estabelecer padrões de configuração de firewall e roteador	CMA_0272 – Estabelecer padrões de configuração de firewall e roteador	Manual, Desabilitado	1.1.0
Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	CMA_0273 – Estabelecer a segmentação de rede para o ambiente de dados do titular do cartão	Manual, Desabilitado	1.1.0
Identificar e gerenciar trocas de informações downstream	CMA_0298 – Identificar e gerenciar trocas de informações downstream	Manual, Desabilitado	1.1.0
Implementar um serviço de nome/endereço tolerante a falhas	CMA_0305 – Implementar um serviço de nome/endereço tolerante a falhas	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	CMA_0323 - Implementar segurança física para escritórios, áreas de trabalho e áreas seguras	Manual, Desabilitado	1.1.0
Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	CMA_0369 – Gerenciar a entrada, a saída, o processamento e o armazenamento de dados	Manual, Desabilitado	1.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Produzir, controlar e distribuir chaves criptográficas assimétricas	CMA_C1646 – Produzir, controlar e distribuir chaves criptográficas assimétricas	Manual, Desabilitado	1.1.0
Proteger dados em trânsito usando criptografia	CMA_0403 – Proteger dados em trânsito usando criptografia	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Proteger informações especiais	CMA_0409 – Proteger informações especiais	Manual, Desabilitado	1.1.0
Fornecer serviços seguros de resolução de endereço e nome	CMA_0416 – Fornecer serviços seguros de resolução de endereço e nome	Manual, Desabilitado	1.1.0
Restringir uso de mídia	CMA_0450 – Restringir uso de mídia	Manual, Desabilitado	1.1.0
Examinar a atividade e a análise de rótulos	CMA_0474 – Examinar a atividade e a análise de rótulos	Manual, Desabilitado	1.1.0

Gerenciamento de mídia removível

ID: ISO 27001:2013 A.8.3.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Bloquear processos não assinados e não confiáveis executados por USB	CMA_0050 – Bloquear processos não confiáveis e não assinados executados por meio de um USB	Manual, Desabilitado	1.1.0
Controlar o uso de dispositivos de armazenamento portáteis	CMA_0083 – Controlar o uso de dispositivos de armazenamento portáteis	Manual, Desabilitado	1.1.0
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0
Restringir uso de mídia	CMA_0450 – Restringir uso de mídia	Manual, Desabilitado	1.1.0

Descarte de mídia

ID: ISO 27001:2013 A.8.3.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Empregar um mecanismo de limpeza de mídia	CMA_0208 - Empregar um mecanismo de limpeza de mídia	Manual, Desabilitado	1.1.0
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0

Transferência de mídia física

ID: ISO 27001:2013 A.8.3.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar controles para proteger todas as mídias	CMA_0314 – Implementar controles para proteger todas as mídias	Manual, Desabilitado	1.1.0
Gerenciar o transporte de ativos	CMA_0370 - Gerenciar o transporte de ativos	Manual, Desabilitado	1.1.0

Controle de acesso

Política de controle de acesso

ID: ISO 27001:2013 A.9.1.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0

Acesso a redes e serviços de rede

ID: ISO 27001:2013 A.9.1.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Auditar os computadores Linux que permitem conexões remotas de contas sem senhas	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem conexões remotas de contas sem senhas	AuditIfNotExists, desabilitado	3.1.0
Auditar os computadores Linux que têm contas sem senhas	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que permitem contas sem senhas	AuditIfNotExists, desabilitado	3.1.0
Auditar VMs que não usam discos gerenciados	Essa política audita VMs que não usam discos gerenciados	auditoria	1.0.0
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux	Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Habilitar a detecção de dispositivos de rede	CMA_0220 – Habilitar a detecção de dispositivos de rede	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Impor exclusividade do usuário	CMA_0250 – Impor exclusividade do usuário	Manual, Desabilitado	1.1.0
Estabelecer requisitos de certificado e assinatura eletrônica	CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica	Manual, Desabilitado	1.1.0
Identificar ações permitidas sem autenticação	CMA_0295 - Identificar ações permitidas sem autenticação	Manual, Desabilitado	1.1.0
Identificar e autenticar usuários não organizacionais	CMA_C1346 – Identificar e autenticar usuários não organizacionais	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada	CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0
As contas de armazenamento devem ser migradas para os novos recursos do Azure Resource Manager	Use o novo Azure Resource Manager para suas contas de armazenamento para fornecer aprimoramentos de segurança, como: controle de acesso (RBAC) mais forte, melhor auditoria, implantação e controle com base no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves por segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos para facilitar o gerenciamento de segurança	Audit, Deny, desabilitado	1.0.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	Manual, Desabilitado	1.1.0
As máquinas virtuais devem ser migradas para os novos recursos do Azure Resource Manager	Use o novo Azure Resource Manager para suas máquinas virtuais a fim de fornecer melhorias de segurança como: RBAC (controle de acesso) mais forte, melhor auditoria, implantação e governança baseadas no Azure Resource Manager, acesso a identidades gerenciadas, acesso ao cofre de chaves para segredos, autenticação baseada no Azure AD e suporte para marcas e grupos de recursos visando facilitar o gerenciamento da segurança	Audit, Deny, desabilitado	1.0.0

Registro e cancelamento de registros de usuários

ID: ISO 27001:2013 A.9.2.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atribuir gerentes de conta	CMA_0015 – Atribuir gerentes de conta	Manual, Desabilitado	1.1.0
Atribuir identificadores de sistema	CMA_0018 – Atribuir identificadores de sistema	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Definir tipos de conta do sistema de informações	CMA_0121 – Definir tipos de contas do sistema de informação	Manual, Desabilitado	1.1.0
Documentar privilégios de acesso	CMA_0186 – Documentar privilégios de acesso	Manual, Desabilitado	1.1.0
Habilitar a detecção de dispositivos de rede	CMA_0220 – Habilitar a detecção de dispositivos de rede	Manual, Desabilitado	1.1.0
Impor exclusividade do usuário	CMA_0250 – Impor exclusividade do usuário	Manual, Desabilitado	1.1.0
Estabelecer processos e tipos de autenticador	CMA_0267 – Estabelecer processos e tipos de autenticador	Manual, Desabilitado	1.1.0
Estabelecer condições para associação de função	CMA_0269 – Estabelecer condições para associação de função	Manual, Desabilitado	1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador	CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador	Manual, Desabilitado	1.1.0
Identificar ações permitidas sem autenticação	CMA_0295 - Identificar ações permitidas sem autenticação	Manual, Desabilitado	1.1.0
Identificar e autenticar usuários não organizacionais	CMA_C1346 – Identificar e autenticar usuários não organizacionais	Manual, Desabilitado	1.1.0
Implementar treinamento para proteção de autenticadores	CMA_0329 – Implementar treinamento para proteção de autenticadores	Manual, Desabilitado	1.1.0
Gerenciar tempo de vida e reutilização do autenticador	CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador	Manual, Desabilitado	1.1.0
Gerenciar autenticadores	CMA_C1321 – Gerenciar autenticadores	Manual, Desabilitado	1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente	CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente	Manual, Desabilitado	1.1.0
Impedir a reutilização do identificador pelo período de tempo definido	CMA_C1314 – Impedir a reutilização do identificador pelo período de tempo definido	Manual, Desabilitado	1.1.0
Atualizar autenticadores	CMA_0425 – Atualizar autenticadores	Manual, Desabilitado	1.1.0
Reemitir autenticadores para contas e grupos alterados	CMA_0426 – Reemitir autenticadores para contas e grupos alterados	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar e reavaliar privilégios	CMA_C1207 – Revisar e reavaliar privilégios	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	Manual, Desabilitado	1.1.0
Verificar identidade antes de distribuir autenticadores	CMA_0538 – Verificar identidade antes de distribuir autenticadores	Manual, Desabilitado	1.1.0

Provisionamento do acesso do usuário

ID: ISO 27001:2013 A.9.2.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atribuir gerentes de conta	CMA_0015 – Atribuir gerentes de conta	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Definir tipos de conta do sistema de informações	CMA_0121 – Definir tipos de contas do sistema de informação	Manual, Desabilitado	1.1.0
Documentar privilégios de acesso	CMA_0186 – Documentar privilégios de acesso	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer condições para associação de função	CMA_0269 – Estabelecer condições para associação de função	Manual, Desabilitado	1.1.0
Limitar privilégios para fazer alterações no ambiente de produção	CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente	CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar e reavaliar privilégios	CMA_C1207 – Revisar e reavaliar privilégios	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0

Gerenciamento de direitos de acesso privilegiado

ID: ISO 27001:2013 A.9.2.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Um administrador do Azure Active Directory deve ser provisionado para servidores SQL	Audite o provisionamento de um administrador do Active Directory Domain Services do Azure para o seu servidor SQL para habilitar a autenticação do AD do Azure. A autenticação do Microsoft Azure Active Directory permite o gerenciamento simplificado de permissões e o gerenciamento centralizado de identidades dos usuários de banco de dados e de outros serviços da Microsoft	AuditIfNotExists, desabilitado	1.0.0
Atribuir gerentes de conta	CMA_0015 – Atribuir gerentes de conta	Manual, Desabilitado	1.1.0
Auditar funções com privilégios	CMA_0019 – Auditar funções com privilégios	Manual, Desabilitado	1.1.0
Auditoria o uso de funções personalizadas do RBAC	Auditar funções internas, como 'Proprietário, Contribuidor, Leitor', em vez de funções RBAC personalizadas, que são propensas a erros. O uso de funções personalizadas é tratado como uma exceção e requer uma revisão rigorosa e uma modelagem de ameaças	Audit, desabilitado	1.0.1
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Definir tipos de conta do sistema de informações	CMA_0121 – Definir tipos de contas do sistema de informação	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Documentar privilégios de acesso	CMA_0186 – Documentar privilégios de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer condições para associação de função	CMA_0269 – Estabelecer condições para associação de função	Manual, Desabilitado	1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Limitar privilégios para fazer alterações no ambiente de produção	CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Monitorar atribuição de função com privilégios	CMA_0378 – Monitorar atribuição de função com privilégios	Manual, Desabilitado	1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente	CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar e reavaliar privilégios	CMA_C1207 – Revisar e reavaliar privilégios	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Os clusters do Service Fabric só devem usar o Azure Active Directory para autenticação de cliente	Auditar o uso da autenticação do cliente somente por meio do Active Directory do Azure no Service Fabric	Audit, Deny, desabilitado	1.1.0
Usar o Privileged Identity Management	CMA_0533 – Usar o Privileged Identity Management	Manual, Desabilitado	1.1.0

Gerenciamento de informações de autenticação secretas de usuários

ID: ISO 27001:2013 A.9.2.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Auditar os computadores Linux que não têm as permissões de arquivo de senha definidas como 0644	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Linux que não têm as permissões de arquivo de senha definidas como 0644	AuditIfNotExists, desabilitado	3.1.0
Implantar a extensão de Configuração de Convidado do Linux para habilitar atribuições de Configuração de Convidado em VMs do Linux	Essa política implanta a extensão de Configuração de Convidado do Linux em máquinas virtuais do Linux hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Linux é um pré-requisito para todas as atribuições da Configuração de Convidado do Linux e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Linux. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	deployIfNotExists	3.1.0
Desabilitar os autenticadores após o encerramento	CMA_0169 – Desabilitar os autenticadores após o encerramento	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Estabelecer uma política de senha	CMA_0256 - Estabelecer uma política de senha	Manual, Desabilitado	1.1.0
Estabelecer processos e tipos de autenticador	CMA_0267 – Estabelecer processos e tipos de autenticador	Manual, Desabilitado	1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador	CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador	Manual, Desabilitado	1.1.0
Implementar parâmetros para verificadores de segredo memorizados	CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados	Manual, Desabilitado	1.1.0
Implementar treinamento para proteção de autenticadores	CMA_0329 – Implementar treinamento para proteção de autenticadores	Manual, Desabilitado	1.1.0
Gerenciar tempo de vida e reutilização do autenticador	CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador	Manual, Desabilitado	1.1.0
Gerenciar autenticadores	CMA_C1321 – Gerenciar autenticadores	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Atualizar autenticadores	CMA_0425 – Atualizar autenticadores	Manual, Desabilitado	1.1.0
Reemitir autenticadores para contas e grupos alterados	CMA_0426 – Reemitir autenticadores para contas e grupos alterados	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Verificar identidade antes de distribuir autenticadores	CMA_0538 – Verificar identidade antes de distribuir autenticadores	Manual, Desabilitado	1.1.0

Análise dos direitos de acesso do usuário

ID: ISO 27001:2013 A.9.2.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atribuir gerentes de conta	CMA_0015 – Atribuir gerentes de conta	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
Definir tipos de conta do sistema de informações	CMA_0121 – Definir tipos de contas do sistema de informação	Manual, Desabilitado	1.1.0
Documentar privilégios de acesso	CMA_0186 – Documentar privilégios de acesso	Manual, Desabilitado	1.1.0
Estabelecer condições para associação de função	CMA_0269 – Estabelecer condições para associação de função	Manual, Desabilitado	1.1.0
As contas de convidado com permissões de proprietário em recursos do Azure devem ser removidas	Contas externas com permissões de proprietário devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
As contas de convidado com permissões de gravação em recursos do Azure devem ser removidas	Contas externas com privilégios de gravação devem ser removidas da sua assinatura para evitar o acesso não monitorado.	AuditIfNotExists, desabilitado	1.0.0
Notificar os gerentes de conta das contas controladas pelo cliente	CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente	Manual, Desabilitado	1.1.0
Reatribuir ou remover privilégios de usuário conforme o necessário	CMA_C1040 – Reatribuir ou remover privilégios de usuário conforme o necessário	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar e reavaliar privilégios	CMA_C1207 – Revisar e reavaliar privilégios	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0
Examinar os privilégios do usuário	CMA_C1039 – Examinar os privilégios do usuário	Manual, Desabilitado	1.1.0

Remoção ou ajuste de direitos de acesso

ID: ISO 27001:2013 A.9.2.6 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atribuir gerentes de conta	CMA_0015 – Atribuir gerentes de conta	Manual, Desabilitado	1.1.0
Auditar o status da conta de usuário	CMA_0020 – Auditar o status da conta de usuário	Manual, Desabilitado	1.1.0
As contas bloqueadas com permissões de proprietário em recursos do Azure devem ser removidas	Contas descontinuadas com permissões de proprietário devem ser removidas da sua assinatura. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
As contas bloqueadas com permissões de leitura e gravação em recursos do Azure devem ser removidas	Contas descontinuadas devem ser removidas de suas assinaturas. Contas descontinuadas são contas que foram impedidas de fazer login.	AuditIfNotExists, desabilitado	1.0.0
Definir tipos de conta do sistema de informações	CMA_0121 – Definir tipos de contas do sistema de informação	Manual, Desabilitado	1.1.0
Documentar privilégios de acesso	CMA_0186 – Documentar privilégios de acesso	Manual, Desabilitado	1.1.0
Estabelecer condições para associação de função	CMA_0269 – Estabelecer condições para associação de função	Manual, Desabilitado	1.1.0
Iniciar ações de transferência ou reatribuição	CMA_0333 – Iniciar ações de transferência ou reatribuição	Manual, Desabilitado	1.1.0
Modificar autorizações de acesso após a transferência de pessoal	CMA_0374 – Modificar autorizações de acesso após a transferência de pessoal	Manual, Desabilitado	1.1.0
Notificar os gerentes de conta das contas controladas pelo cliente	CMA_C1009 – Notificar os gerentes de conta das contas controladas pelo cliente	Manual, Desabilitado	1.1.0
Notificar após a rescisão ou transferência	CMA_0381 – Notificar após a rescisão ou transferência	Manual, Desabilitado	1.1.0
Reavaliar o acesso após a transferência de pessoal	CMA_0424 – Reavaliar o acesso após a transferência de pessoal	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar logs de provisionamento de conta	CMA_0460 – Examinar logs de provisionamento de conta	Manual, Desabilitado	1.1.0
Revisar e reavaliar privilégios	CMA_C1207 – Revisar e reavaliar privilégios	Manual, Desabilitado	1.1.0
Examinar contas de usuário	CMA_0480: – Examinar contas de usuário	Manual, Desabilitado	1.1.0

Uso de informações de autenticação secretas

ID: ISO 27001:2013 A.9.3.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desabilitar os autenticadores após o encerramento	CMA_0169 – Desabilitar os autenticadores após o encerramento	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Estabelecer uma política de senha	CMA_0256 - Estabelecer uma política de senha	Manual, Desabilitado	1.1.0
Estabelecer processos e tipos de autenticador	CMA_0267 – Estabelecer processos e tipos de autenticador	Manual, Desabilitado	1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador	CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador	Manual, Desabilitado	1.1.0
Implementar parâmetros para verificadores de segredo memorizados	CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados	Manual, Desabilitado	1.1.0
Implementar treinamento para proteção de autenticadores	CMA_0329 – Implementar treinamento para proteção de autenticadores	Manual, Desabilitado	1.1.0
Gerenciar tempo de vida e reutilização do autenticador	CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador	Manual, Desabilitado	1.1.0
Gerenciar autenticadores	CMA_C1321 – Gerenciar autenticadores	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Atualizar autenticadores	CMA_0425 – Atualizar autenticadores	Manual, Desabilitado	1.1.0
Reemitir autenticadores para contas e grupos alterados	CMA_0426 – Reemitir autenticadores para contas e grupos alterados	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Encerrar as credenciais da conta controlada pelo cliente	CMA_C1022 - Encerrar as credenciais da conta controlada pelo cliente	Manual, Desabilitado	1.1.0
Verificar identidade antes de distribuir autenticadores	CMA_0538 – Verificar identidade antes de distribuir autenticadores	Manual, Desabilitado	1.1.0

Restrição de acesso às informações

ID: ISO 27001:2013 A.9.4.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Automatizar o gerenciamento de contas	CMA_0026 – Automatizar o gerenciamento de contas	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Limitar privilégios para fazer alterações no ambiente de produção	CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção	Manual, Desabilitado	1.1.0
Gerenciar contas de administrador e sistema	CMA_0368 – Gerenciar contas de administrador e sistema	Manual, Desabilitado	1.1.0
Monitorar o acesso em toda a organização	CMA_0376 – Monitorar o acesso em toda a organização	Manual, Desabilitado	1.1.0
Notificar quando a conta não for necessária	CMA_0383 – Notificar quando a conta não for necessária	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Procedimentos de logon seguro

ID: ISO 27001:2013 A.9.4.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Contas com permissões de proprietário em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com permissões de proprietário para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de leitura em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve ser ativada para todas as contas de assinatura com privilégios de leitura para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Contas com permissões de gravação em recursos do Azure devem estar habilitadas para MFA	A autenticação Multifator do Microsoft Azure (MFA) deve estar habilitada para todas as contas de assinatura com privilégios de gravação para evitar uma quebra de contas ou recursos.	AuditIfNotExists, desabilitado	1.0.0
Adotar os mecanismos de autenticação biométrica	CMA_0005 – Adotar os mecanismos de autenticação biométrica	Manual, Desabilitado	1.1.0
Habilitar a detecção de dispositivos de rede	CMA_0220 – Habilitar a detecção de dispositivos de rede	Manual, Desabilitado	1.1.0
Impor um limite de tentativas consecutivas de login com falha	CMA_C1044 - Impor um limite de tentativas consecutivas de login com falha	Manual, Desabilitado	1.1.0
Impor exclusividade do usuário	CMA_0250 – Impor exclusividade do usuário	Manual, Desabilitado	1.1.0
Estabelecer requisitos de certificado e assinatura eletrônica	CMA_0271 - Estabelecer requisitos de certificado e assinatura eletrônica	Manual, Desabilitado	1.1.0
Gerar mensagens de erro	CMA_C1724 – Gerar mensagens de erro	Manual, Desabilitado	1.1.0
Identificar ações permitidas sem autenticação	CMA_0295 - Identificar ações permitidas sem autenticação	Manual, Desabilitado	1.1.0
Identificar e autenticar usuários não organizacionais	CMA_C1346 – Identificar e autenticar usuários não organizacionais	Manual, Desabilitado	1.1.0
Informações de feedback desconhecido durante o processo de autenticação	CMA_C1344 – Informações de feedback desconhecido durante o processo de autenticação	Manual, Desabilitado	1.1.0
Revelar mensagens de erro	CMA_C1725 - Revelar mensagens de erro	Manual, Desabilitado	1.1.0
Rotear o tráfego por meio de pontos de acesso à rede gerenciada	CMA_0484 – Rotear o tráfego por meio de pontos de acesso à rede gerenciada	Manual, Desabilitado	1.1.0
Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	CMA_0495 – Definir notificações automatizadas para aplicativos de nuvem novos e em tendência na organização	Manual, Desabilitado	1.1.0
Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	CMA_0507 – Dar suporte a credenciais de verificação pessoal emitidas por autoridades legais	Manual, Desabilitado	1.1.0
Encerrar a sessão do usuário automaticamente	CMA_C1054 – Encerrar a sessão do usuário automaticamente	Manual, Desabilitado	1.1.0

Sistema de gerenciamento de senhas

ID: ISO 27001:2013 A.9.4.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Adicionar identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em máquinas virtuais sem identidades	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado, mas que não têm identidades gerenciadas. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Adicionar uma identidade gerenciada atribuída ao sistema para habilitar atribuições de Configuração de Convidado em VMs com uma identidade atribuída ao usuário	Essa política adiciona uma identidade gerenciada atribuída ao sistema a máquinas virtuais hospedadas no Azure com suporte da Configuração de Convidado e tem pelo menos uma identidade atribuída ao usuário, mas não tem uma identidade gerenciada atribuída ao sistema. Uma identidade gerenciada atribuída ao sistema é um pré-requisito para todas as atribuições de Configuração de Convidado e deve ser adicionada a computadores antes de usar definições de política da Configuração de Convidado. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	modify	4.1.0
Auditar computadores Windows que permitem o reutilização das senhas após o número especificado de senhas exclusivas	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows permitem a reutilização das senhas após o número especificado de senhas exclusivas. O valor padrão para senhas exclusivas é 24	AuditIfNotExists, desabilitado	2.1.0
Auditar computadores Windows que não têm a idade máxima da senha definida como o número especificado de dias	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se os computadores Windows não tiverem a idade máxima da senha definida como o número especificado de dias. O valor padrão para a idade máxima da senha é de 70 dias	AuditIfNotExists, desabilitado	2.1.0
Auditar computadores Windows que não têm a idade mínima da senha definida como o número especificado de dias	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se computadores Windows não têm a idade mínima da senha definida como o número especificado de dias. O valor padrão para a idade mínima da senha é 1 dia	AuditIfNotExists, desabilitado	2.1.0
Auditar os computadores Windows que não têm a configuração de complexidade de senha habilitada	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não têm a configuração de complexidade de senha habilitada	AuditIfNotExists, desabilitado	2.0.0
Auditar os computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres	Requer que os pré-requisitos sejam implantados no escopo de atribuição de política. Para obter detalhes, visite https://aka.ms/gcpol. Os computadores não estarão em conformidade se forem computadores Windows que não restringem o tamanho mínimo da senha a um número especificado de caracteres. O valor padrão no comprimento mínimo da senha é de 14 caracteres	AuditIfNotExists, desabilitado	2.1.0
Implantar a extensão de Configuração de Convidado do Windows para habilitar atribuições de Configuração de Convidado em VMs do Windows	Essa política implanta a extensão de Configuração de Convidado do Windows em máquinas virtuais do Windows hospedadas no Azure com suporte da Configuração de Convidado. A extensão de Configuração de Convidado do Windows é um pré-requisito para todas as atribuições da Configuração de Convidado do Windows e precisa ser implantada em computadores antes de usar qualquer definição de política de Configuração de Convidado do Windows. Para obter mais informações sobre a Configuração de Convidado, acesse https://aka.ms/gcpol.	deployIfNotExists	1.2.0
Desabilitar os autenticadores após o encerramento	CMA_0169 – Desabilitar os autenticadores após o encerramento	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Estabelecer uma política de senha	CMA_0256 - Estabelecer uma política de senha	Manual, Desabilitado	1.1.0
Estabelecer processos e tipos de autenticador	CMA_0267 – Estabelecer processos e tipos de autenticador	Manual, Desabilitado	1.1.0
Estabelecer procedimentos para a distribuição inicial do autenticador	CMA_0276 – Estabelecer procedimentos para distribuição inicial do autenticador	Manual, Desabilitado	1.1.0
Implementar parâmetros para verificadores de segredo memorizados	CMA_0321 - Implementar parâmetros para verificadores de segredos memorizados	Manual, Desabilitado	1.1.0
Implementar treinamento para proteção de autenticadores	CMA_0329 – Implementar treinamento para proteção de autenticadores	Manual, Desabilitado	1.1.0
Gerenciar tempo de vida e reutilização do autenticador	CMA_0355 – Gerenciar tempo de vida e reutilização do autenticador	Manual, Desabilitado	1.1.0
Gerenciar autenticadores	CMA_C1321 – Gerenciar autenticadores	Manual, Desabilitado	1.1.0
Proteger senhas com criptografia	CMA_0408 – Proteger senhas com criptografia	Manual, Desabilitado	1.1.0
Atualizar autenticadores	CMA_0425 – Atualizar autenticadores	Manual, Desabilitado	1.1.0
Reemitir autenticadores para contas e grupos alterados	CMA_0426 – Reemitir autenticadores para contas e grupos alterados	Manual, Desabilitado	1.1.0
Revogar funções com privilégios conforme a necessidade	CMA_0483 – Revogar funções com privilégios conforme a necessidade	Manual, Desabilitado	1.1.0
Verificar identidade antes de distribuir autenticadores	CMA_0538 – Verificar identidade antes de distribuir autenticadores	Manual, Desabilitado	1.1.0

Uso de programas utilitários privilegiados

ID: ISO 27001:2013 A.9.4.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Restringir o acesso a contas privilegiadas	CMA_0446 – Restringir o acesso a contas privilegiadas	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Controle de acesso ao código-fonte do programa

ID: ISO 27001:2013 A.9.4.5 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Autorizar o acesso às funções e informações de segurança	CMA_0022 – Autorizar o acesso às funções e informações de segurança	Manual, Desabilitado	1.1.0
Autorizar e gerenciar o acesso	CMA_0023 – Autorizar e gerenciar o acesso	Manual, Desabilitado	1.1.0
Criar um modelo de controle de acesso	CMA_0129 – Criar um modelo de controle de acesso	Manual, Desabilitado	1.1.0
Empregar acesso de privilégio mínimo	CMA_0212 – Empregar o acesso de privilégios mínimos	Manual, Desabilitado	1.1.0
Impor o acesso lógico	CMA_0245 – Impor o acesso lógico	Manual, Desabilitado	1.1.0
Impor políticas de controle de acesso obrigatórias e opcionais	CMA_0246 – Impor políticas de controle de acesso obrigatórias e opcionais	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Limitar privilégios para fazer alterações no ambiente de produção	CMA_C1206 – Limitar privilégios para fazer alterações no ambiente de produção	Manual, Desabilitado	1.1.0
Exigir aprovação para criação de conta	CMA_0431 – Exigir aprovação para criação de conta	Manual, Desabilitado	1.1.0
Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	CMA_0481 – Examinar grupos de usuários e aplicativos com acesso a dados confidenciais	Manual, Desabilitado	1.1.0

Aperfeiçoamento

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Não conformidade e ação corretiva

ID: ISO 27001:2013 C.10.1.g Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Contexto da organização

Determinando o escopo do sistema de gerenciamento de segurança da informação

ID: ISO 27001:2013 C.4.3.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver um SSP que atenda aos critérios	CMA_C1492 – Desenvolver um SSP que atenda aos critérios	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0

Determinando o escopo do sistema de gerenciamento de segurança da informação

ID: ISO 27001:2013 C.4.3.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver um SSP que atenda aos critérios	CMA_C1492 – Desenvolver um SSP que atenda aos critérios	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0

Determinando o escopo do sistema de gerenciamento de segurança da informação

ID: ISO 27001:2013 C.4.3.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alinhar os objetivos de negócios e os objetivos de TI	CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI	Manual, Desabilitado	1.1.0
Determinar as obrigações do contrato de fornecedor	CMA_0140 – Determinar as obrigações do contrato de fornecedor	Manual, Desabilitado	1.1.0
Desenvolver um SSP que atenda aos critérios	CMA_C1492 – Desenvolver um SSP que atenda aos critérios	Manual, Desabilitado	1.1.0
Documentar critérios de aceitação do contrato de aquisição	CMA_0187 – Documentar critérios de aceitação do contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados pessoais em contratos de aquisição	CMA_0194 – Documentar a proteção de dados pessoais em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de informações de segurança em contratos de aquisição	CMA_0195 – Documentar a proteção de informações de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos para o uso de dados compartilhados em contratos	CMA_0197 – Documentar requisitos para o uso de dados compartilhados em contratos	Manual, Desabilitado	1.1.0
Documentar requisitos de garantia de segurança em contratos de aquisição	CMA_0199 – Documentar requisitos de garantia de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de documentação de segurança no contrato de aquisição	CMA_0200 – Documentar requisitos de documentação de segurança no contrato de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos funcionais de segurança nos contratos de aquisição	CMA_0201 – Documentar requisitos funcionais de segurança nos contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar requisitos de força de segurança em contratos de aquisição	CMA_0203 - Documentar requisitos de força de segurança em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar o ambiente do sistema de informações em contratos de aquisição	CMA_0205 - Documentar o ambiente do sistema de informações em contratos de aquisição	Manual, Desabilitado	1.1.0
Documentar a proteção de dados de titulares em contratos terceirizados	CMA_0207 – Documentar a proteção dos dados de titulares em contratos terceirizados	Manual, Desabilitado	1.1.0
Aplicar caso comercial para registrar os recursos necessários	CMA_C1735 – Aplicar caso comercial para registrar os recursos necessários	Manual, Desabilitado	1.1.0
Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	CMA_C1734 – Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	Manual, Desabilitado	1.1.0
Estabelecer requisitos de privacidade para prestadores e provedores de serviço	CMA_C1810 – Estabelecer requisitos de privacidade para prestadores e provedores de serviço	Manual, Desabilitado	1.1.0
Controlar a alocação de recursos	CMA_0293 – Controlar a alocação de recursos	Manual, Desabilitado	1.1.0
Garantir o comprometimento da liderança	CMA_0489 – Garantir o comprometimento da liderança	Manual, Desabilitado	1.1.0

Sistema de gerenciamento de segurança da informação

ID: ISO 27001:2013 C.4.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Liderança

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alinhar os objetivos de negócios e os objetivos de TI	CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI	Manual, Desabilitado	1.1.0
Alocar recursos para determinar os requisitos do sistema de informações	CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações	Manual, Desabilitado	1.1.0
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Aplicar caso comercial para registrar os recursos necessários	CMA_C1735 – Aplicar caso comercial para registrar os recursos necessários	Manual, Desabilitado	1.1.0
Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	CMA_C1734 – Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	Manual, Desabilitado	1.1.0
Garantir que as informações do programa de privacidade estejam disponíveis publicamente	CMA_C1867 - Garantir que as informações do programa de privacidade estejam disponíveis publicamente	Manual, Desabilitado	1.1.0
Estabelecer um item de linha discreto na documentação do orçamento	CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Controlar a alocação de recursos	CMA_0293 – Controlar a alocação de recursos	Manual, Desabilitado	1.1.0
Garantir o comprometimento da liderança	CMA_0489 – Garantir o comprometimento da liderança	Manual, Desabilitado	1.1.0

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Definir métricas de desempenho	CMA_0124 -Definir métricas de desempenho	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alinhar os objetivos de negócios e os objetivos de TI	CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI	Manual, Desabilitado	1.1.0
Alocar recursos para determinar os requisitos do sistema de informações	CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações	Manual, Desabilitado	1.1.0
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Aplicar caso comercial para registrar os recursos necessários	CMA_C1735 – Aplicar caso comercial para registrar os recursos necessários	Manual, Desabilitado	1.1.0
Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	CMA_C1734 – Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	Manual, Desabilitado	1.1.0
Estabelecer um item de linha discreto na documentação do orçamento	CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento	Manual, Desabilitado	1.1.0
Estabelecer um programa de privacidade	CMA_0257 – Estabelecer um programa de privacidade	Manual, Desabilitado	1.1.0
Controlar a alocação de recursos	CMA_0293 – Controlar a alocação de recursos	Manual, Desabilitado	1.1.0
Garantir o comprometimento da liderança	CMA_0489 – Garantir o comprometimento da liderança	Manual, Desabilitado	1.1.0

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.g Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0
Definir métricas de desempenho	CMA_0124 -Definir métricas de desempenho	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0

Liderança e compromisso

ID: ISO 27001:2013 C.5.1.h Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Nomear um responsável pela segurança da informação sênior	CMA_C1733 – Nomear um responsável pela segurança da informação sênior	Manual, Desabilitado	1.1.0

Política

ID: ISO 27001:2013 C.5.2.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Política

ID: ISO 27001:2013 C.5.2.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Política

ID: ISO 27001:2013 C.5.2.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Política

ID: ISO 27001:2013 C.5.2.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de controle de acesso	CMA_0457 - Revisar políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	CMA_C1175 - Revisar e atualizar políticas e procedimentos de gerenciamento de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento de contingência	CMA_C1243 - Revisar e atualizar políticas e procedimentos de planejamento de contingência	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de identificação e autenticação	CMA_C1299 - Revisar e atualizar políticas e procedimentos de identificação e autenticação	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de resposta a incidentes	CMA_C1352 - Revisar e atualizar as políticas e procedimentos de resposta a incidentes	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos de integridade das informações	CMA_C1667 - Revisar e atualizar políticas e procedimentos de integridade das informações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção de mídia	CMA_C1427 - Revisar e atualizar políticas e procedimentos de proteção de mídia	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de segurança de pessoal	CMA_C1507 - Revisar e atualizar políticas e procedimentos de segurança de pessoal	Manual, Desabilitado	1.1.0
Revisar e atualizar as políticas e procedimentos físicos e ambientais	CMA_C1446 - Revisar e atualizar políticas e procedimentos físicos e ambientais	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	CMA_C1616 - Revisar e atualizar políticas e procedimentos de proteção do sistema e das comunicações	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	CMA_C1560 - Revisar e atualizar políticas e procedimentos de aquisição de sistemas e serviços	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de manutenção do sistema	CMA_C1395 - Revisar e atualizar políticas e procedimentos de manutenção do sistema	Manual, Desabilitado	1.1.0
Revisar políticas e procedimentos de autorização e avaliação de segurança	CMA_C1143 - Revisar políticas e procedimentos de autorização e avaliação de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Política

ID: ISO 27001:2013 C.5.2.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Política

ID: ISO 27001:2013 C.5.2.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver políticas e procedimentos de controle de acesso	CMA_0144 - Desenvolver políticas e procedimentos de controle de acesso	Manual, Desabilitado	1.1.0
Documentar atividades de treinamento de privacidade e segurança	CMA_0198 - Documentar atividades de treinamento de privacidade e segurança	Manual, Desabilitado	1.1.0
Controlar políticas e procedimentos	CMA_0292 - Controlar políticas e procedimentos	Manual, Desabilitado	1.1.0
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Política

ID: ISO 27001:2013 C.5.2.g Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Atualizar o plano, as políticas e os procedimentos de privacidade	CMA_C1807 – Atualizar o plano, as políticas e os procedimentos de privacidade	Manual, Desabilitado	1.1.0

Funções, responsabilidades e autoridades organizacionais

ID: ISO 27001:2013 C.5.3.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Definir métricas de desempenho	CMA_0124 -Definir métricas de desempenho	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0

Planejamento

Geral

ID: ISO 27001:2013 C.6.1.1.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Geral

ID: ISO 27001:2013 C.6.1.1.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Geral

ID: ISO 27001:2013 C.6.1.1.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Geral

ID: ISO 27001:2013 C.6.1.1.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Geral

ID: ISO 27001:2013 C.6.1.1.e.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Geral

ID: ISO 27001:2013 C.6.1.1.e.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.a.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.a.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer uma estratégia de gerenciamento de riscos	CMA_0258 - Estabelecer uma estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.c.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.c.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.d.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.d.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.d.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.e.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.2.e.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Implementar a estratégia de gerenciamento de riscos	CMA_C1744 – Implementar a estratégia de gerenciamento de riscos	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0

Tratamento de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.3.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0

Tratamento de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.3.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0

Tratamento de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.3.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0

Tratamento de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.3.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver um SSP que atenda aos critérios	CMA_C1492 – Desenvolver um SSP que atenda aos critérios	Manual, Desabilitado	1.1.0

Tratamento de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.3.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0

Tratamento de risco de segurança da informação

ID: ISO 27001:2013 C.6.1.3.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0

Objetivos de segurança da informação e planejamento para alcançar

ID: ISO 27001:2013 C.6.2.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0

Suporte

Recursos

ID: ISO 27001:2013 C.7.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Alinhar os objetivos de negócios e os objetivos de TI	CMA_0008 – Alinhar os objetivos de negócios e os objetivos de TI	Manual, Desabilitado	1.1.0
Alocar recursos para determinar os requisitos do sistema de informações	CMA_C1561 – Alocar recursos para determinar os requisitos do sistema de informações	Manual, Desabilitado	1.1.0
Aplicar caso comercial para registrar os recursos necessários	CMA_C1735 – Aplicar caso comercial para registrar os recursos necessários	Manual, Desabilitado	1.1.0
Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	CMA_C1734 – Garantir que as solicitações de investimento e planejamento de capital incluam os recursos necessários	Manual, Desabilitado	1.1.0
Estabelecer um item de linha discreto na documentação do orçamento	CMA_C1563 – Estabelecer um item de linha discreto na documentação do orçamento	Manual, Desabilitado	1.1.0
Controlar a alocação de recursos	CMA_0293 – Controlar a alocação de recursos	Manual, Desabilitado	1.1.0
Garantir o comprometimento da liderança	CMA_0489 – Garantir o comprometimento da liderança	Manual, Desabilitado	1.1.0

Competência

ID: ISO 27001:2013 C.7.2.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Documentar aceitação do pessoal de requisitos de privacidade	CMA_0193 – Documentar a aceitação do pessoal dos requisitos de privacidade	Manual, Desabilitado	1.1.0
Monitorar a conclusão dos treinamentos de segurança e privacidade	CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0

Competência

ID: ISO 27001:2013 C.7.2.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Monitorar a conclusão dos treinamentos de segurança e privacidade	CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade	Manual, Desabilitado	1.1.0

Competência

ID: ISO 27001:2013 C.7.2.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Monitorar a conclusão dos treinamentos de segurança e privacidade	CMA_0379 – Monitorar a conclusão dos treinamentos de segurança e privacidade	Manual, Desabilitado	1.1.0

Competência

ID: ISO 27001:2013 C.7.2.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Reter registros de treinamento	CMA_0456 – Reter registros de treinamento	Manual, Desabilitado	1.1.0

Reconhecimento

ID: ISO 27001:2013 C.7.3.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0

Reconhecimento

ID: ISO 27001:2013 C.7.3.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0

Reconhecimento

ID: ISO 27001:2013 C.7.3.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver procedimentos e políticas de uso aceitáveis	CMA_0143 – Desenvolver políticas e procedimentos de uso aceitáveis	Manual, Desabilitado	1.1.0
Aplicar regras de comportamento e contratos de acesso	CMA_0248 – Aplicar regras de comportamento e contratos de acesso	Manual, Desabilitado	1.1.0
Fornecer treinamento de privacidade	CMA_0415 – Fornecer treinamento de privacidade	Manual, Desabilitado	1.1.0

Comunicação

ID: ISO 27001:2013 C.7.4.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Designar pessoal autorizado para postar informações publicamente acessíveis	CMA_C1083 – Designar pessoal autorizado para postar informações publicamente acessíveis	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Comunicação

ID: ISO 27001:2013 C.7.4.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Designar pessoal autorizado para postar informações publicamente acessíveis	CMA_C1083 – Designar pessoal autorizado para postar informações publicamente acessíveis	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Comunicação

ID: ISO 27001:2013 C.7.4.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Designar pessoal autorizado para postar informações publicamente acessíveis	CMA_C1083 – Designar pessoal autorizado para postar informações publicamente acessíveis	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Comunicação

ID: ISO 27001:2013 C.7.4.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Designar pessoal autorizado para postar informações publicamente acessíveis	CMA_C1083 – Designar pessoal autorizado para postar informações publicamente acessíveis	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Comunicação

ID: ISO 27001:2013 C.7.4.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Designar pessoal autorizado para postar informações publicamente acessíveis	CMA_C1083 – Designar pessoal autorizado para postar informações publicamente acessíveis	Manual, Desabilitado	1.1.0
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Criando e atualizando

ID: ISO 27001:2013 C.7.5.2.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver um SSP que atenda aos critérios	CMA_C1492 – Desenvolver um SSP que atenda aos critérios	Manual, Desabilitado	1.1.0

Controle de informações documentadas

ID: ISO 27001:2013 C.7.5.3.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0

Controle de informações documentadas

ID: ISO 27001:2013 C.7.5.3.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Controle de informações documentadas

ID: ISO 27001:2013 C.7.5.3.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0

Controle de informações documentadas

ID: ISO 27001:2013 C.7.5.3.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Controle de informações documentadas

ID: ISO 27001:2013 C.7.5.3.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0

Controle de informações documentadas

ID: ISO 27001:2013 C.7.5.3.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver e estabelecer um plano de segurança do sistema	CMA_0151 – Desenvolver e estabelecer um plano de segurança do sistema	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	CMA_0279 – Estabelecer requisitos de segurança para a fabricação de dispositivos conectados	Manual, Desabilitado	1.1.0
Implementar princípios de engenharia de segurança para os sistemas de informações	CMA_0325 – Implementar princípios de engenharia de segurança de sistemas de informações	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de planejamento	CMA_C1491 - Revisar e atualizar políticas e procedimentos de planejamento	Manual, Desabilitado	1.1.0

Operação

Planejamento e controle operacional

ID: ISO 27001:2013 C.8.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Automatizar a solicitação de aprovação para alterações propostas	CMA_C1192 - Automatizar a solicitação de aprovação para alterações propostas	Manual, Desabilitado	1.1.0
Automatizar a implementação de notificações de alterações aprovadas	CMA_C1196 - Automatizar a implementação de notificações de alterações aprovadas	Manual, Desabilitado	1.1.0
Automatizar o processo para documentar as alterações implementadas	CMA_C1195 - Automatizar o processo para documentar alterações implementadas	Manual, Desabilitado	1.1.0
Automatizar o processo para destacar propostas de alteração não visualizadas	CMA_C1193 - Automatizar o processo para destacar propostas de alteração não visualizadas	Manual, Desabilitado	1.1.0
Automatizar o processo para proibir a implementação de alterações não aprovadas	CMA_C1194 - Automatizar o processo para proibir a implementação de alterações não aprovadas	Manual, Desabilitado	1.1.0
Automatizar as alterações documentadas propostas	CMA_C1191 - Automatizar as alterações documentadas propostas	Manual, Desabilitado	1.1.0
Realizar uma análise de impacto de segurança	CMA_0057 - Realizar uma análise de impacto de segurança	Manual, Desabilitado	1.1.0
Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	CMA_0152 - Desenvolver e manter um padrão de gerenciamento de vulnerabilidades	Manual, Desabilitado	1.1.0
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Impor definições de configuração de segurança	CMA_0249 – Impor definições de configuração de segurança	Manual, Desabilitado	1.1.0
Estabelecer e documentar processos de controle de alterações	CMA_0265 – Estabelecer e documentar processos de controle de alterações	Manual, Desabilitado	1.1.0
Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	CMA_0270 - Estabelecer requisitos de gerenciamento de configuração para desenvolvedores	Manual, Desabilitado	1.1.0
Executar uma avaliação de impacto de privacidade	CMA_0387 - Executar uma avaliação de impacto de privacidade	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Executar auditoria para controle de alterações de configuração	CMA_0390 - Executar auditoria para controle de alterações de configuração	Manual, Desabilitado	1.1.0
Corrigir falhas do sistema de informações	CMA_0427 – Corrigir falhas do sistema de informações	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	CMA_C1597 - Exigir que os desenvolvedores documentem as alterações aprovadas e o impacto potencial	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores implementem somente alterações aprovadas	CMA_C1596 - Exigir que os desenvolvedores implementem somente as alterações aprovadas	Manual, Desabilitado	1.1.0
Exigir que os desenvolvedores gerenciem a integridade da alteração	CMA_C1595 - Exigir que os desenvolvedores gerenciem a integridade da alteração	Manual, Desabilitado	1.1.0
Exigir que provedores de serviços externos cumpram os requisitos de segurança	CMA_C1586 – Exigir que provedores de serviços externos cumpram os requisitos de segurança	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Avaliação de risco de segurança da informação

ID: ISO 27001:2013 C.8.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Realizar a avaliação de risco e documentar resultados	CMA_C1542 – Realizar a avaliação de risco e documentar resultados	Manual, Desabilitado	1.1.0
Executar uma avaliação de risco	CMA_0388 - Executar uma avaliação de risco	Manual, Desabilitado	1.1.0
Revisar e atualizar políticas e procedimentos de avaliação de risco	CMA_C1537 - Revisar e atualizar políticas e procedimentos de avaliação de risco	Manual, Desabilitado	1.1.0

Tratamento de risco de segurança da informação

ID: ISO 27001:2013 C.8.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Implementar a proteção de limites do sistema	CMA_0328 – Implementar a proteção de limites do sistema	Manual, Desabilitado	1.1.0
Proteger a interface para sistemas externos	CMA_0491 – Proteger a interface para sistemas externos	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Avaliação de Desempenho

Monitoramento, medida, análise e avaliação

ID: ISO 27001:2013 C.9.1.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Monitoramento, medida, análise e avaliação

ID: ISO 27001:2013 C.9.1.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Monitoramento, medida, análise e avaliação

ID: ISO 27001:2013 C.9.1.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Monitoramento, medida, análise e avaliação

ID: ISO 27001:2013 C.9.1.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Monitoramento, medida, análise e avaliação

ID: ISO 27001:2013 C.9.1.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Monitoramento, medida, análise e avaliação

ID: ISO 27001:2013 C.9.1.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Configurar lista de permissões de detecção	CMA_0068 – Configurar lista de permissões de detecção	Manual, Desabilitado	1.1.0
Ativar sensores para a solução de segurança de ponto de extremidade	CMA_0514 – Ativar sensores para a solução de segurança de ponto de extremidade	Manual, Desabilitado	1.1.0
Passar por revisão de segurança independente	CMA_0515 – Passar por revisão de segurança independente	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.a.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.a.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.c Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Desenvolver plano de avaliação de segurança	CMA_C1144 – Desenvolver plano de avaliação de segurança	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Ajustar o nível de revisão, análise e relatórios de auditoria	CMA_C1123 – Ajustar o nível de revisão, análise e relatórios de auditoria	Manual, Desabilitado	1.1.0
Desenvolver políticas e procedimentos de auditoria e responsabilidade	CMA_0154 - Desenvolver políticas e procedimentos de auditoria e responsabilidade	Manual, Desabilitado	1.1.0
Desenvolver procedimentos e políticas de segurança de informações	CMA_0158 - Desenvolver políticas e procedimentos de segurança de informações	Manual, Desabilitado	1.1.0
Contratar assessores independentes para realizar avaliações de controle de segurança	CMA_C1148 – Contratar assessores independentes para realizar avaliações de controle de segurança	Manual, Desabilitado	1.1.0
Atualizar políticas de segurança de informações	CMA_0518 – Atualizar políticas de segurança da informação	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Fornecer resultados da avaliação de segurança	CMA_C1147 – Fornecer resultados da avaliação de segurança	Manual, Desabilitado	1.1.0

Auditoria interna

ID: ISO 27001:2013 C.9.2.g Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Obedecer os períodos de retenção definidos	CMA_0004 – Obedecer os períodos de retenção definidos	Manual, Desabilitado	1.1.0
Reter procedimentos e políticas de segurança	CMA_0454 – Reter procedimentos e políticas de segurança	Manual, Desabilitado	1.1.0
Reter dados de usuário removido	CMA_0455 – Reter dados de usuário removido	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.a Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Implementar planos de ação e marcos para o processo do programa de segurança	CMA_C1737 – Implementar planos de ação e marcos para o processo do programa de segurança	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.b Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.c.1 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Definir métricas de desempenho	CMA_0124 -Definir métricas de desempenho	Manual, Desabilitado	1.1.0
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Estabelecer um programa de segurança da informação	CMA_0263 – Estabelecer um programa de segurança da informação	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.c.2 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Desenvolver POA&M	CMA_C1156 - Desenvolver POA&M	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.c.3 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Definir métricas de desempenho	CMA_0124 -Definir métricas de desempenho	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.c.4 Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Definir métricas de desempenho	CMA_0124 -Definir métricas de desempenho	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.d Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.e Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Revisão de gerenciamento

ID: ISO 27001:2013 C.9.3.f Propriedade: Compartilhado

Nome (Portal do Azure)	Descrição	Efeito(s)	Versão (GitHub)
Avaliar controles de segurança	CMA_C1145 – Avaliar controles de segurança	Manual, Desabilitado	1.1.0
Realizar a avaliação de risco	CMA_C1543 – Realizar a avaliação de risco	Manual, Desabilitado	1.1.0
Atualizar itens de POA&M	CMA_C1157 - Atualizar os itens de POA&M	Manual, Desabilitado	1.1.0

Próximas etapas

Artigos adicionais sobre o Azure Policy:

• Visão geral da Conformidade Regulatória.
• Consulte a estrutura de definição da iniciativa.
• Veja outros exemplos em Amostras do Azure Policy.
• Revisar Compreendendo os efeitos da política.
• Saiba como corrigir recursos fora de conformidade.