-
Segundo a ISO 27002:2013,
"9.1.1 Política de controle de acesso
Diretrizes para implementação
Convém que sejam considerados os controles de acesso lógico e físico (Ver 11) de forma conjunta."
-
SEÇÃO DE CONTROLE: CONTROLE DE ACESSO
OBJETIVO DE CONTROLE: Limitar o acesso à informação e aos recursos de processamento da informação
CONTROLE: Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios (considerando acessos lógico e físico; filosofia do "tudo é proibido a menos que expressamente permitido") .
-
11.1.1 Política de controle de acesso
Controle
Convém que a política de controle de acesso seja estabelecida documentada e analisada criticamente,
tomando-se como base os requisitos de acesso dos negócios e segurança da informação.
Diretrizes para implementação
Convém que as regras de controle de acesso e direitos para cada usuário ou grupos de usuários sejam
expressas claramente na política de controle de acesso. Convém considerar os controles de acesso lógico e
físico (ver seção 9) de forma conjunta. Convém fornecer aos usuários e provedores de serviços uma
declaração nítida dos requisitos do negócio a serem atendidos pelos controles de acessos.
ISO 27002:2013
-
A questão não está objetiva, mas a forma que está escrita induz que sejam controles aplicados separadamente, o que está ERRADO
-
9 Controle de acesso
9.1 Requisitos do negócio para controle de acesso
9.1.1 Política de controle de acesso
Controle
Convém que uma política de controle de acesso seja estabelecida, documentada e analisada criticamente, baseada nos requisitos de segurança da informação e dos negócios.
Diretrizes para implementação
Convém que os proprietários dos ativos determinem regras apropriadas do controle de acesso, direitos de acesso e restrições para papéis específicos dos usuários acessarem seus ativos, com o nível de detalhe e o rigor dos controles que reflitam os riscos de segurança da informação associados."Convém que sejam considerados os controles de acesso lógico e físico (ver Seção 11) de forma conjunta."
Fonte: ABNT NBR ISO/IEC 27002:2013
-
Controle de acesso tanto lógico como físico.