4260. Estabelecer processos e atividades para a gestão da segurança da informação
14261. A organização executa processo de gestão de riscos de segurança da informação (1).
Fundamentação:
1 
BRASIL. Lei 12.527, de 18 de nov. 2011.Regula o acesso a informações
•  Art. 8º É dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas. Art. 25. É dever do Estado controlar o acesso e a divulgação de informações sigilosas produzidas por seus órgãos e entidades, assegurando a sua proteção.
BRASIL. Medida Provisória nº 2.200-2, de 24 de agosto de 2001.
•  Art. 1º Fica instituída a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. Art. 10º Consideram-se documentos públicos ou particulares, para todos os fins legais, os documentos eletrônicos de que trata esta Medida Provisória. § 1º As declarações constantes dos documentos em forma eletrônica produzidos com a utilização de processo de certificação disponibilizado pela ICP-Brasil presumem-se verdadeiros em relação aos signatários, na forma do art. 131 da Lei nº 3.071, de 1º de janeiro de 1916 - Código Civil.
BRASIL. Decreto nº 9.637, de 26 de dezembro de 2018.
• Art. 1º Fica instituída a Política Nacional de Segurança da Informação - PNSI, no âmbito da administração pública federal, com a finalidade de assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação a nível nacional. [...] Art. 5º São instrumentos da PNSI: I - a Estratégia Nacional de Segurança da Informação; e II - os planos nacionais. [...] Art. 15. Aos órgãos e às entidades da administração pública federal, em seu âmbito de atuação, compete: I - implementar a PNSI; II - elaborar sua política de segurança da informação e as normas internas de segurança da informação, observadas as normas de segurança da informação editadas pelo Gabinete de Segurança Institucional da Presidência da República; III - designar um gestor de segurança da informação interno, indicado pela alta administração do órgão ou da entidade; IV - instituir comitê de segurança da informação ou estrutura equivalente, para deliberar sobre os assuntos relativos à PNSI; V - destinar recursos orçamentários para ações de segurança da informação; VI - promover ações de capacitação e profissionalização dos recursos humanos em temas relacionados à segurança da informação; VII - instituir e implementar equipe de tratamento e resposta a incidentes em redes computacionais, que comporá a rede de equipes formada pelos órgãos e entidades da administração pública federal, coordenada pelo Centro de Tratamento de Incidentes de Redes do Governo do Gabinete de Segurança Institucional da Presidência da República; VIII - coordenar e executar as ações de segurança da informação no âmbito de sua atuação; IX - consolidar e analisar os resultados dos trabalhos de auditoria sobre a gestão de segurança da informação; e X - aplicar as ações corretivas e disciplinares cabíveis nos casos de violação da segurança da informação. § 1º O comitê de segurança da informação interno de que trata o inciso IV do caput será composto por: I - o gestor da segurança da informação do órgão ou da entidade, de que trata o inciso III do caput, que o coordenará; [...]
BRASIL. Tribunal de Contas da União. Acórdão 1.603/2008-TCU-Plenario.
• 9.1. recomendar ao Conselho Nacional de Justiça - CNJ e ao Conselho Nacional do Ministério Público - CNMP que, nos órgãos integrantes da estrutura do Poder Judiciário Federal e do Ministério Público da União, respectivamente: 9.1.3. orientem sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante normatização, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso; 9.2. recomendar ao Gabinete de Segurança Institucional da Presidência da República - GSI/PR que oriente os órgãos/entidades da Administração Pública Federal sobre a importância do gerenciamento da segurança da informação, promovendo, inclusive mediante orientação normativa, ações que visem estabelecer e/ou aperfeiçoar a gestão da continuidade do negócio, a gestão de mudanças, a gestão de capacidade, a classificação da informação, a gerência de incidentes, a análise de riscos de TI, a área específica para gerenciamento da segurança da informação, a política de segurança da informação e os procedimentos de controle de acesso;
BRASIL. Tribunal de Contas da União. Acórdão 1.233/2012-TCU-Plenario.
• 9.2. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Secretaria de Logística e Tecnologia da Informação (SLTI/MP) que: 9.2.9. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.2.9.7. segurança da informação; 9.8. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Gabinete de Segurança Institucional da Presidência da república (GSI/PR) que: 9.8.1. em atenção à Lei 10.168/2003, art. 6º, IV, articule-se com as escolas de governo, notadamente à Enap, a fim de ampliar a oferta de ações de capacitação em segurança da informação para os entes sob sua jurisdição (subitem II.8); 9.8.2. em atenção a Lei 10.168/2003, art. 6º, IV, oriente os órgãos e entidades sob sua jurisdição que a implantação dos controles gerais de segurança da informação positivados nas normas do GSI/PR não é faculdade, mas obrigação da alta administração, e sua não implantação sem justificativa é passível da sanção prevista na Lei 8.443/1992, art. 58, II (subitem II.8); 9.11. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, à Comissão Interministerial de Governança Corporativa e de Administração de Participações Societárias da União (CGPAR) que: 9.11.12. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.11.12. 8. segurança da informação; 9.13. Recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional da Justiça (CNJ) que: 9.13.9. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos seguintes controles (subitem II.8): 9.13.9.1. nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação; 9.13.9.2. criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação; 9.13.9.3. processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação; 9.13.9.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação; 9.13.9.5. processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – Inventário de ativos; 9.13.9.6. processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – Classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II, e art. 67; 9.13.14. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos nos seguintes processos (subitem II.11): 9.13.14.8. segurança da informação; 9.15. recomendar, com fundamento na Lei 8.443/1992, art. 43, inciso I, c/c RITCU, art. 250, inciso III, ao Conselho Nacional do Ministério Público (CNMP) que: 9.15.12. estabeleça a obrigatoriedade de que os entes sob sua jurisdição implementem os seguintes controles gerais de TI relativos à segurança da informação (subitem II.8): 9.15.12.1. nomeação de responsável pela segurança da informação na organização, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.3 – Atribuição de responsabilidade para segurança da informação; 9.15.12.2. criação de comitê para coordenar os assuntos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 6.1.2 – Coordenação de segurança da informação; 9.15.12.3. processo de gestão de riscos de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27005 – Gestão de riscos de segurança da informação; 9.15.12.4. estabelecimento de política de segurança da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 5.1 – Política de segurança da informação; 9.15.12.5. processo de elaboração de inventário de ativos, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.1 – Inventário de ativos; 9.15.12.6. processo de classificação da informação, à semelhança das orientações contidas na NBR ISO/IEC 27.002, item 7.2 – Classificação da informação, processo necessário segundo o Decreto 4.553/2002, art. 6º, § 2º, inciso II e art. 67; 9.15.13. crie procedimentos para orientar os entes sob sua jurisdição na implementação dos controles listados no item acima (subitem II.8); 9.15.18. em atenção ao Decreto-Lei 200/1967, art. 6º, V, estabeleça, normativamente para todos os entes sob sua jurisdição, a obrigatoriedade de a alta administração implantar uma estrutura de controles internos mediante a definição de atividades de controle em todos os níveis da organização para mitigar os riscos de suas atividades, pelo menos, nos seguintes processos (subitem II.11): 9.15.18.8. segurança da informação;
BRASIL. Tribunal de Contas da União. Acórdão 3.051/2014-TCU-Plenario.
•  9.3. recomendar ao Gabinete de Segurança Institucional da Presidência da República – GSI que: 9.3.1. elabore e acompanhe periodicamente, a exemplo do realizado na Estratégia Geral de Tecnologia da Informação no Sisp e da Estratégia de TIC no Poder Judiciário, planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição, envolvendo não somente a tecnologia da informação, mas também os demais segmentos relacionados à proteção das informações institucionais; 9.3.2. alerte as organizações sob sua jurisdição que a elaboração periódica de planejamento das ações de segurança da informação é obrigação expressa prevista no item 3.1 da Norma Complementar 2/IN01/DSIC/GSIPR, além de ser boa prática prevista na NBR ISO/IEC 27.001/2013, item 6, bem como no Cobit 5, Prática de Gestão APO 13.2. 9.4. recomendar ao Conselho Nacional de Justiça (CNJ) que: 9.4.1. elabore e acompanhe periodicamente, a exemplo do realizado na Estratégia Geral de Tecnologia da Informação no Sisp e na Estratégia de TIC no Poder Judiciário, planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição, envolvendo não somente a tecnologia da informação, mas todos os segmentos relacionados à proteção das informações institucionais; 9.4.2. alerte as organizações sob sua jurisdição que o estabelecimento de um modelo de gestão que abranja, entre outros processos, a elaboração periódica de planejamento estratégico de segurança da informação é diretriz expressa pelo Conselho Nacional de Justiça para a gestão da segurança da informação, além de ser boa prática prevista na NBR ISO/IEC 27.001/2013, item 6, bem como no Cobit 5, Prática de Gestão APO 13.2. 9.5. recomendar ao Conselho Nacional do Ministério Público (CNMP) que: 9.5.1. elabore e acompanhe periodicamente, a exemplo do realizado na Estratégia Geral de Tecnologia da Informação no Sisp e na Estratégia de TIC no Poder Judiciário, planejamento que abranja a estratégia geral de segurança da informação para o setor sob sua jurisdição, envolvendo não somente a tecnologia da informação, mas todos os segmentos relacionados à proteção das informações institucionais; 9.5.2. alerte as organizações sob sua jurisdição que o estabelecimento de um modelo de gestão que contemple, entre outros processos, a elaboração periódica de planejamento estratégico de segurança da informação é boa prática prevista na NBR ISO/IEC 27.001/2013, item 6, bem como no Cobit 5, Prática de Gestão APO 13.2.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Norma Complementar 03/IN01/DSIC/GSIPR. Diretrizes para elaboração de política de segurança da informação e comunicações nos órgãos e entidades da Administração Pública Federal.
• Objetivo: Estabelecer diretrizes, critérios e procedimentos para elaboração, institucionalização, divulgação e atualização da Política de Segurança da Informação e Comunicações (POSIC) nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Norma Complementar 05/IN01/DSIC/GSIPR. Criação de Equipes de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR.
• Objetivo: Disciplinar a criação de Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais – ETIR nos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Norma Complementar 08/IN01/DSIC/GSIPR – Gestão de ETIR: Diretrizes para Gerenciamento de Incidentes em Redes Computacionais nos Órgãos e Entidades da Administração Pública Federal.
• Objetivo: Disciplinar o gerenciamento de Incidentes de Segurança em Redes de Computadores realizado pelas Equipes de Tratamento e Resposta a Incidentes de Segurança em Redes Computacionais - ETIR dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.
BRASIL. Presidência da República. Gabinete de Segurança Institucional. Norma Complementar 10/IN01/DSIC/GSIPR – Inventário e Mapeamento de Ativos de Informação nos Aspectos Relativos à Segurança da Informação e Comunicações nos órgãos e entidades da Administração Pública Federal.
• Objetivo: Estabelecer diretrizes para o processo de Inventário e Mapeamento de Ativos de Informação, para apoiar a Segurança da Informação e Comunicações (SIC), dos órgãos e entidades da Administração Pública Federal, direta e indireta – APF.
BRASIL. Conselho Nacional de Justiça. Resolução 211, de 15 dez. 2015. Institui a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD).
• Art. 12. Os órgãos deverão constituir e manter estruturas organizacionais adequadas e compatíveis com a relevância e demanda de TIC, considerando, no mínimo, os seguintes macroprocessos: I - macroprocesso de governança e de gestão: a) de planejamento; b) orçamentária; c) de aquisições e contratações de soluções; d) de projetos; e) de capacitação; II – macroprocesso de segurança da informação: a) de continuidade de serviços essenciais; b) de incidentes de segurança; c) de riscos; III – macroprocesso de software: a) de escopo e requisitos; b) de arquitetura; c) de processos de desenvolvimento e sustentação; IV – macroprocesso de serviços: a) de catálogo; b) de requisições; c) de incidentes; d) de ativos de microinformática; e) de central de serviços; V – macroprocesso de infraestrutura: a) de disponibilidade; b) de capacidade; c) de ativos de infraestrutura e de telecomunicação corporativas.
BRASIL. Conselho Nacional de Justiça. Diretrizes para a Gestão de Segurança da Informação no âmbito do Poder Judiciário, de junho de 2012.
•  Estabelecimento de um Modelo de Gestão que permita a criação e a manutenção de um Sistema de Gestão de Segurança da Informação (SGSI) apoiado por uma Política de Segurança, Normas e Procedimentos. O Modelo de Gestão deve contemplar, no mínimo, os seguintes processos: Planejamento Estratégico da Segurança da Informação; Gestão da Política de Segurança, das Normas e dos Procedimentos; Classificação da Informação; Controle de Acesso; Gestão de Riscos; Gestão da Continuidade do Negócio; Gestão de Resposta a Incidentes; Gestão de Mudanças; Divulgação e Conscientização; Auditoria e Conformidade;
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27005:2011.
•  p. 8 - 6 Visão geral do processo de gestão de riscos de segurança da informação – O processo de gestão de riscos de segurança da informação consiste na definição do contexto (Seção 7), processo de avaliação de riscos (Seção 8), tratamento do risco (Seção 9), aceitação do risco (Seção 10), comunicação e consulta do risco (Seção 11) e monitoramento e análise crítica de riscos (Seção 12). P. 15 7.4 Organização para gestão de riscos de segurança da informação – Convém que a organização e as responsabilidades para o processo de gestão de riscos de segurança da informação sejam estabelecidas e mantidas.
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002:2013.
•  p. 2 - 5 Política de segurança da informação. Objetivo: Prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. 5.1 Política de segurança da informação – Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Convém que, no mais alto nível, a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação. P. 4-5 6 Organização da segurança da informação. 6.1 Organização interna – Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da organização. 6.1.1. Responsabilidades e papéis pela segurança da informação – Convém que todas as responsabilidades pela segurança da informação sejam definidas e atribuídas. Muitas organizações atribuem a um gestor de segurança da informação a responsabilidade global pelo desenvolvimento e implementação da segurança da informação, e para apoiar a identificação de controles.  p. 11-13 7 Segurança em recursos humanos. Objetivo: Assegurar que funcionários e partes externas entendem as suas responsabilidades e estão em conformidade com os papéis para os quais eles foram selecionados 8.2. Durante a contratação – Objetivo: Assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação. 7.2.1 Responsabilidades da Direção – Convém que a Direção solicite a todos os funcionários e partes externas que pratiquem a segurança da informação de acordo com o estabelecido nas políticas e procedimentos da organização. 7.2.2 Conscientização, educação e treinamento em segurança da informação – Convém que todos os funcionários da organização e, onde pertinente, partes externas recebam treinamento, educação e conscientização apropriados, e as atualizações regulares das políticas e procedimentos organizacionais relevantes para as suas funções.  p. 16-17 8 Gestão de ativos. 8.1 Responsabilidade pelos ativos – Objetivo: Identificar os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos. 8.1.1 Inventário dos ativos – Convém que os ativos associados à informação e aos recursos de processamento da informação sejam identificados, e um inventário desses ativos seja estruturado e mantido. 8.1.2 Proprietário dos ativos – Convém que os ativos mantidos no inventário tenham um proprietário.  p. 18 8.2 Classificação da informação – Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização. 8.2.1 Classificação da informação – Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.  p. 23 9 Controle de acessos. 9.1 Requisitos do negócio para controle de acesso – Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação. 9.1.1 Política de controle de acesso – Convém que uma política de controle de acesso seja estabelecida documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios.  p. 35-36 10.1 Controles criptográficos – Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da informação. 10.1.2. Gerenciamento de Chaves – Convém que uma política sobre o uso, proteção e tempo de vida das chaves criptográficas seja desenvolvida e implementada ao longo de todo o seu ciclo de vida.  p. 51-54 12.2 Proteção contra malware - Convém que sejam implementados controles de detecção, prevenção e recuperação para proteger contra malware, combinados com um adequado programa de conscientização do usuário. Convém que a proteção contra malware seja baseada em software de detecção e resposta a malware, na conscientização da segurança da informação, no controle de acesso adequado e nos controles de gerenciamento de mudanças.  p. 53 12.3 Cópias de segurança – Objetivo: Proteger contra a perda de dados. 12.3.1 Cópias de segurança das informações – Convém que as cópias de segurança das informações, dos softwares e das imagens do sistema sejam efetuadas e testadas regularmente conforme a política de geração de cópias de segurança definida.  p. 54-56 12.4 Registro e Monitoramento – Objetivo: Registrar eventos e gerar evidências. 12.4.1 Registro de eventos – Convém que registros (log) de eventos das atividades do usuário, exceções, falhas e eventos de segurança da informação sejam produzidos, mantidos e analisados criticamente a intervalos regulares. 12.4.2 Proteção das informações dos registros de eventos (logs) – Convém que as informações dos registros de eventos (log) e os seus recursos sejam protegidos contra acesso não autorizado e adulteração.12.4.3 Registro de eventos de administrador e operador – Convém que as atividades dos administradores e operadores sejam registradas e os registros (logs) protegidos e analisados criticamente a intervalos regulares.  p. 57 12.5 Controle de software operacional - É recomendável que software adquirido de fornecedores e utilizado em sistemas operacionais seja mantido em um nível apoiado pelo fornecedor.  p. 58 12.6 Gestão de vulnerabilidades técnicas – Objetivo: Prevenir a exploração de vulnerabilidades técnicas. Convém que informações sobre vulnerabilidades técnicas dos sistemas de informação em uso sejam obtidas em tempo hábil; convém que a exposição da organização a estas vulnerabilidades seja avaliada e que sejam tomadas as medidas apropriadas para lidar com os riscos associados. Um inventário completo e atualizado dos ativos de informação é um pré-requisito para uma gestão efetiva de vulnerabilidade técnica.  p. 61-63 13.1 Gerenciamento de segurança em redes. 13.1.1 Controle de redes - Convém que as redes sejam gerenciadas e controladas para proteger as informações nos sistemas e aplicações. 13.1.3 Segregação de redes - Convém que grupos de serviços de informação, usuários e sistemas de informação sejam segregados em redes. Um método de controlar a segurança da informação em grandes redes é dividir em diferentes domínios de redes.  p. 83 16 Gestão de incidentes de segurança da informação. Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação sobre fragilidades e eventos de segurança da informação 16.1 Responsabilidades e procedimentos – Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar respostas rápidas, efetivas e ordenadas aos incidentes de segurança da informação.
CIS. Center for Internet Security. CIS Controls Version 7.1.
• Basic Controls: CIS Control 1: Inventory and Control of Hardware Assets CIS Control 2: Inventory and Control of Software Assets CIS Control 3: Continuous Vulnerability Management CIS Control 4: Controlled Use of Administrative Privileges CIS Control 5: Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers CIS Control 6: Maintenance, Monitoring and Analysis of Audit Logs CIS Control 7: Email and Web Browser Protections Foundational Controls: CIS Control 8: Malware Defenses CIS Control 9: Limitation and Control of Network Ports, Protocols and Services CIS Control 10: Data Recovery Capabilities CIS Control 11: Secure Configuration for Network Devices, such as Firewalls, Routers and Switches CIS Control 12: Boundary Defense CIS Control 13: Data Protection CIS Control 14: Controlled Access Based on the Need to Know CIS Control 15: Wireless Access Control CIS Control 16: Account Monitoring and Control Organizational Controls: CIS Control 17: Implement a Security Awareness and Training Program CIS Control 18: Application Software Security CIS Control 19: Incident Response and Management CIS Control 20: Penetration Tests and Red Team Exercises