Title Page
-
AUDITORIA INTERNA ABNT NBR ISO/IEC 27701:2019
-
Cliente
-
Período
-
Auditor Líder
-
Local
-
Participantes
5 - Requisitos específicos (SGPI)
-
5.1 - Informações gerais
5.2 - Contexto da organização
-
5.2.1 - A organização determinou os fatores pretendidos do SGPI?
-
5.2.2 - A organização incluiu responsabilidades ligadas ao tratamento de DP, incluindo os Titulares de DP?
-
5.2.3 - A organização incluiu o tratamento aos DP, de acordo com SGPI?
-
5.2.4 - A organização mantem, estabelece, implementa e possui melhoria continua para o SGPI em conformidade com os requisitos da ABNT NBR ISO/IEC 27001:2013 ?
5.3 - Liderança
-
5.3.1 - Os requisitos definidos no item 5.1 da ABNT NBR ISO/IEC 27001:2013 foram estabelecidos?
-
5.3.2 - Os requisitos definidos no item 5.1 da ABNT NBR ISO/IEC 27001:2013 foram estabelecidos?
-
5.3.3 - Os requisitos definidos no item 5.1 da ABNT NBR ISO/IEC 27001:2013 foram estabelecidos?
5.4 - Planejamento
5.4.1 - Práticas para trabalhar riscos e oportunidades
-
5.4.1.1 - Informações Gerais
-
5.4.1.2 - Analise de riscos foram estabelecidas conforme determinados no item 6.1.2 da ABNT NBR ISO/IEC 27001:2013 ?
-
5.4.1.3 - Os controles estabelecidos na ABNT NBR ISO/IEC 27001:2013, do item 6.1.3 b, estão relacionados aos controles do Anexo A e B da ABNT NBR ISO/IEC 27001:2013,?
5.4.2 - Os requisitos determinados no item 7.1 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
5.5 - Apoio
-
5.5.1- Os requisitos determinados no item 7.1 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.5.2 - Os requisitos determinados no item 7.2 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.5.3 - Os requisitos determinados no item 7.3 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.5.4 - Os requisitos determinados no item 7.4 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
5.5.5 - Informação documentada
-
5.5.5.1 - Informações gerais
-
5.5.5.2 - Os requisitos determinados no item 7.5.2 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.5.5.3 - Os requisitos determinados no item 7.5.3 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
5.6 - Operação
-
5.6.1 - Os requisitos determinados no item 8.1 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.6.2 - Os requisitos determinados no item 8.2 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.6.3 - Os requisitos determinados no item 8.3 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
5.7 - Avaliação de desempenho
-
5.7.1 - Os requisitos determinados no item 9.1 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.7.2 - Os requisitos determinados no item 9.2 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.7.3 - Os requisitos determinados no item 9.3 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
5.8 - Melhoria
-
5.8.1 - Os requisitos determinados no item 10.1 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
-
5.8.2 - Os requisitos determinados no item 10.2 da ABNT NBR ISO/IEC 27001:2013, juntamente com o item 5.1, foram estabelecidos?
6 - Diretrizes específicas (SGPI) em relação à ABNT NBR ISO/IEC 27002
-
6.1 - Informações gerais
6.2 - A Política de segurança da informação está adequada ?
6.2.1 - instrução da Direção em relação a segurança da informa segurança da informação
-
6.2.1.1 - As diretrizes estabelecidas para a implementação das politicas de segurança da informação na organização estão de acordo com a ABNT NBR ISO/IEC 27001:2013, item 5.1.1 ?
-
6.2.1.2 - De acordo com as informações proporcionadas na ABNT NBR ISO/IEC 27002:2013, item 5.1.2, as diretrizes estabelecidas para implementação se aplicam ?
- Conforme
- Não Conforme
- Preocupação
- Oportunidade de Melhoria
- Não Aplicado
6.3 - Estrutura da segurança da informação
6.3.1 - Disposição interna
-
6.3.1.1 - As responsabilidades e papéis estabelecidas na segurança da informação estão adequadas ?
-
6.3.1.2 - A Segregação de funções, foram estabelecida de acordo a com ABNT NBR ISO/IEC 27002:2013, 6.1.2?
-
6.3.1.3 - O contato com as autoridades, foram estabelecidos de acordo com a ABNT NBR ISO/IEC 27002:2013, 6.1.3?
-
6.3.1.4 - O contato com grupos especiais da organização, foram estabelecidos de acordo com a ABNT NBR ISO/IEC 27002:2013, 6.1.4?
-
6.3.1.5 - Foram estabelecidos, os controles de SI no gerenciamento, conforme especificada na ABNT NBR ISO/IEC 27002:2013, 6.1.5?
6.3.2 - Dispositivos móveis e trabalho remoto
-
6.3.2.1 - A organização assegura que os dispositivos usados em trabalho remoto, não possui nenhum comprometimento com DP?
-
6.3.2.2 - De acordo com a ABNT NBR ISO/IEC 27002:2013, de item 6.2.2, as diretrizes estabelecidas para controle de trabalho remoto são aplicáveis ?
6.4 - Segurança em recursos humanos
6.4.1 - Antes da contratação
-
6.4.1.1 - De acordo com a ABNT NBR ISO/IEC 27002:2013, de item7.1.1, seleção de contratação da organização estão adequados ?
-
6.4.1.2 - De acordo com a ABNT NBR ISO/IEC 27002:2013, de item 7.1.2, os termos de condições para contratações se encontram adequados ?
6.4.2 - Durante a contratação
-
6.4.2.1 - Obrigações da Direção
-
6.4.2.2 - De acordo com a ABNT NBR ISO/IEC 27002:2013, de item 7.2.2, a conscientização, educação e treinamento em segurança da informação na organização estão adequadamente estabelecidos?
-
6.4.2.3 -De acordo com a ABNT NBR ISO/IEC 27002:2013, de item 7.2.3, a organização possui controles para processos diciplinar estabelecidos?
6.4.3 - Conclusão e modificação da contratação
-
6.4.3.1 - As obrigações definidas para conclusão ou alteração da contratação, foram estabelecidas?
6.5 - Gerenciamento de ativos
6.5.1 - Atribuições para os ativos
-
6.5.1.1 - Conforme estabelecido na ABNT NBR ISO/IEC 27002:2013, o inventario dos ativos estão precisos?
-
6.5.1.2 - Conforme estabelecido na ABNT NBR ISO/IEC 27002:2013, no item 8.1.2, os ativos que são mantidos no inventario, possui um proprietário responsável ?
- Conforme
- Não Conforme
- Preocupação
- Oportunidade de Melhoria
- Não Aplicado
-
6.5.1.3 - Conforme estabelecido na ABNT NBR ISO/IEC 27002:2013, os requisitos apontados no item 8.1.3, os ativos associados, possui uma regra para o processamento das informações nele contidas ?
-
6.5.1.4 - Conforme estabelecido na ABNT NBR ISO/IEC 27002:2013, os requisitos apontados no item 8.1.4, o organização possui praticas para a devolução dos ativos, em atos de encerramento de acordos ?
6.5.2 - Classificação da informação
-
6.5.2.1 - De acordo com requisitos apontados na ABNT NBR ISO/IEC 27002:2013, no item 8.2.1, a identificação das informações foram estabelecidas ?
-
6.5.2.2 - De acordo com requisitos apontados na ABNT NBR ISO/IEC 27002:2013, no item 8.2.2, estão estabelecida com as informações necessárias ?
-
6.5.2.3 - De acordo com requisitos apontados na ABNT NBR ISO/IEC 27002:2013, no item 8.2.3, a proteção dos ativos foram estabelecidos ?
6.5.3 - Tratamento de mídias
-
6.5.3.1 - Em relação com os requisitos apresentados na ABNT NBR ISO/IEC 27002:2013, no item 8.3.1, a organização possui práticas para o gerenciamento de mídias removíveis?
-
6.5.3.2 - Em relação com os requisitos apresentados na ABNT NBR ISO/IEC 27002:2013, no item 8.3.2, a organização possui práticas para o descarte de mídias removíveis?
-
6.5.3.3 - Em relação com os requisitos apresentados na ABNT NBR ISO/IEC 27002:2013, no item 8.3.3, a organização possui práticas para uma transferência física para mídias removíveis?
6.6 - Comando de acesso
6.6.1 - Exigência do negócio para domínio de acesso
-
6.6.1.1 - A organização possui uma politica de acesso estabelecida, de acordo com a ABNT NBR ISO/IEC 27002:2013, no item 9.1.1?
-
6.6.1.2 - A organização possui controles para acesso a redes estabelecida, de acordo com a ABNT NBR ISO/IEC 27002:2013, no item 9.1.2 ?
-
6.6.2 - Gestão de acesso do usuário
-
6.6.2.1 - As diretrizes de registros e cancelamento de usuário apontados na ABNT NBR ISO/IEC 27002:2013, no item 9.2.1 se encontram precisos?
-
6.6.2.2 - As diretrizes de provisão para <br>acesso de usuário apontados na ABNT NBR ISO/IEC 27002:2013, no item 9.2.2 se encontram precisos?
-
6.6.2.3 - As diretrizes para gestão de direito a acessos privilegiados, apontados na ABNT NBR ISO/IEC 27002:2013, no item 9.2.3 se encontram precisos?
-
6.6.2.4 - As diretrizes para gestão da <br>informação de autenticação <br>secreta de usuários, apontados na ABNT NBR ISO/IEC 27002:2013, no item 9.2.4 se encontram precisos?
-
6.6.2.5 - 6.6.2.1 - As diretrizes para a relação de analise critica dos direitos de acesso a usuários, apontados na ABNT NBR ISO/IEC 27002:2013, no item 9.2.5 se encontram precisos?
-
6.6.2.6 - 6.6.2.1 - As diretrizes para retirada e ajustes dos direitos de acessos, apontados na ABNT NBR ISO/IEC 27002:2013, no item 9.2.6 se encontram precisos?
6.6.3 - Obrigações dos usuários
-
6.6.3.1 -A organização possui métodos apropriados para o uso de autenticação secreta para informações ?
6.6.4 - Comando de acesso ao sistema e à aplicação
-
6.6.4.1- A organização possui controle de acesso à informação aplicada?
-
6.6.4.2 - A organização possui métodos seguros de abertura no sistema (log-on) ?
-
6.6.4.3 - A organização possui um sistema para gerenciamento de senha aplicado?
-
6.6.4.4 - A organização utiliza de métodos de gerenciamento para utilitários privilegiados aplicado ?
-
6.6.4.5 - A organização possui gerenciamento de acessos a código-fonte de sistemas aplicado?
6.7 - Criptografia
6.7.1 - Comandos criptográficos
-
6.7.1.1 - De acordo com as condições apresentadas pela ABNT NBR ISO/IEC 27002:2013, no item 10.1.1, o uso para controles criptográficos foram estabelecidos?
-
6.7.1.2 - De acordo com as condições apresentadas pela ABNT NBR ISO/IEC 27002:2013, no item 10.1.1, o uso para gerenciamento de chaves, foram estabelecidos?
6.8 - Segurança física e do ambiente
6.8.1 - perímetros seguros
-
6.8.1.1 - A organização apresenta perímetros de segurança física estabelecidos de acordo com o item 11.1.1 da ABNT NBR ISO/IEC 27002:2013, aplicada ?
-
6.8.1.2 - A organização possui controles de entradas físicas estabelecidas de acordo com o item 11.1.2 da ABNT NBR ISO/IEC 27002:2013, aplicada ?
-
6.8.1.3 - A organização possui instalações de segurança em escritórios e salas de acessos restritos estabelecidas de acordo com o item 11.1.3 da ABNT NBR ISO/IEC 27002:2013, aplicada ?
-
6.8.1.4 - A organização possui segurança contra ameaças externas e do meio ambiente estabelecidas de acordo com o item 11.1.4 da ABNT NBR ISO/IEC 27002:2013, aplicada ?
-
6.8.1.5 - A organização possui perímetros em áreas de trabalho seguras, estabelecidas de acordo com o item 11.1.5 da ABNT NBR ISO/IEC 27002:2013, aplicada ?
-
6.8.1.6 - A organização possui áreas para carregamentos e entregas seguras estabelecidas de acordo com o item 11.1.6 da ABNT NBR ISO/IEC 27002:2013, aplicada ?
6.8.2 - Equipamentos
-
6.8.2.1 - Os controles implementados de localização e segurança do equipamento na organização, foram estabelecidos de acordo com o item 11.2.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.8.2.2 - Os controles implementados de utilidades, foram estabelecidos de acordo com o item 11.2.2 da ABNT NBR ISO/IEC 27002:2013?
-
6.8.2.3 - Os controles implementados de segurança do cabeamento, foram estabelecidos de acordo com o item 11.2.3 da ABNT NBR ISO/IEC 27002:2013?
-
6.8.2.4 - Os controles implementados de manutenção dos equipamentos, foram estabelecidos de acordo com o item 11.2.4 da ABNT NBR ISO/IEC 27002:2013?
-
6.8.2.5 - Os controles implementados de remoção dos ativos, foram estabelecidos de acordo com o item 11.2.5 da ABNT NBR ISO/IEC 27002:2013?
-
6.8.2.6 - Os controles implementados de segurança de equipamentos e ativos fora das dependências da organização, foram estabelecidos de acordo com o item 11.2.6 da ABNT NBR ISO/IEC 27002:2013?
-
6.8.2.7 - A organização assegura que a reutilização e o descarte dos equipamento estão sendo feitos de maneira correta, na qual de que nenhum equipamento que contenha quaisquer tipo de DP sejam acessíveis, conforme depostos no item 11.2.7, da ABNT NBR ISO/IEC 27002:2013 ?
-
6.8.2.8 - Os controles implementados para Equipamentos de usuários sem monitoração, foram estabelecidos de acordo com o item 11.2.8 da ABNT NBR ISO/IEC 27002:2013?
-
6.8.2.9 - Os controles implementados a Politicas de mesa e tela limpa, foram estabelecidos de acordo com o item 11.2.9 da ABNT NBR ISO/IEC 27002:2013?
6.9 - Segurança nas operações
6.9.1 - Obrigações e procedimentos operantes
-
6.9.1.1 - A organização estabelece a documentação referente aos procedimentos operantes de acordo com oque foi apresentado no item 12.1.1, da ABNT NBR ISO/IEC 27002:2013 ?
-
6.9.1.2 - A organização oferece uma direção de mudanças adequada, estabelecida de acordo com o item 12.1.2 da ABNT NBR ISO/IEC 27002:2013?
-
6.9.1.3 - A organização oferece uma direção de capacidade adequada, estabelecida de acordo com o item 12.1.3 da ABNT NBR ISO/IEC 27002:2013?
-
6.9.1.4 - A organização oferece uma divisão entre ambientes envolvendo as áreas de desenvolvimento, teste e produção, estabelecida de acordo com o item 12.1.4 da ABNT NBR ISO/IEC 27002:2013?
6.9.2 - Proteção contra códigos maliciosos
-
6.9.2.1 - De acordo com o item 12.2.1, estabelecida na ABNT NBR ISO/IEC 27002:2013, comandos contra códigos maliciosos foram estabelecidos?
6.9.3 - Cópias de segurança
-
6.9.3.1 - A organização possui de métodos para obter uma cópia das informações que possuem segura, conforme apresentado no item 12.3.1, da ABNT NBR ISO/IEC 27002:2013?
6.9.4 - Registros e monitoramento
-
6.9.4.1 - A organização obtém de métodos para monitoramentos a registros de eventos estabelecido, conforme apresentado no item 12.4.1, da ABNT NBR ISO/IEC 27002:2013?
-
6.9.4.2 - A organização utiliza de procedimentos em que assegura o uso das informações obtidas em registro de evento que serão somente de uso necessário conforme o pretendido?
-
6.9.4.3 - A organização obtém de métodos de monitoramentos a registros de eventos para administrador e operador, estabelecido conforme apresentado no item 12.4.3, da ABNT NBR ISO/IEC 27002:2013?
-
6.9.4.4 - A empresa se atenta para que todos os relógios mantenham sempre sincronizados ?
6.9.5 - Controle de software operacional
-
6.9.5.1 - De acordo com requisitos apontados na ABNT NBR ISO/IEC 27002:2013, no item 12.5.1, o comando para instalação dos software em sistemas operacional, se encontram estabelecidos?
6.9.6 - Gestão de vulnerabilidades técnicas
-
6.9.6.1 - A organização utiliza de diretrizes para vulnerabilidades técnicas eficazes, conforme apontado no item 12.6.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.9.6.2 - A organização obtém limitações para a instalação de software, conforme apontado no item 12.6.2 da ABNT NBR ISO/IEC 27002:2013?
6.9.7 - Observações à auditoria de sistemas de informação
-
6.9.7.1 - A empresa possui mecanismos para monitoramento de auditorias em sistemas de informação?
6.10 - Proteção nas comunicações
6.10.1 - Gestão de segurança em redes
-
6.10.1.1 - A empresa possui mecanismos para monitoramento de redes estabelecido, conforme previsto no item 13.1.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.10.1.2 - A empresa possui controles para proteção dos serviços de redes estabelecido, conforme previsto no item 13.1.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.10.1.3 - Segregação de redes
6.10.2 - Transferência de informação
-
6.10.2.1 - A empresa possui diretrizes para transferência de informações seguras, conforme imposto o item 13.2.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.10.2.2 - A empresa possui consentimento para transferência de informações, conforme imposto o item 13.2.2 da ABNT NBR ISO/IEC 27002:2013?
-
6.10.2.3 - A empresa possui diretrizes para o uso de mensagens eletrônica estabelecida, conforme imposto o item 13.2.3 da ABNT NBR ISO/IEC 27002:2013?
-
6.10.2.4 - A empresa possui documentos valido de sigilo e propagação estabelecido, conforme imposto o item 13.2.4 da ABNT NBR ISO/IEC 27002:2013?
6.11 - Aquisição, desenvolvimento e manutenção de sistemas
6.11.1 - Clausulas de segurança de sistemas de informação
-
6.11.1.1 - A Análise e classificação das clausulas de segurança da informação, foram estabelecidas conforme determinados no item 14.1.1 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.1.2 - A empresa assegura de que os sistemas de para transferência de informações em redes publicas estão completamente seguros com criptografia, ou qualquer outro meio de segurança?
-
6.11.1.3 - A empresa assegura de que as transações em aplicativos de comodidade estão completamente seguros ?
6.11.2 - Proteção em métodos de desenvolvimento e de suporte
-
6.11.2.1 - Política de desenvolvimento seguro
-
6.11.2.2 - As técnicas para monitoramento de mudanças de sistemas, foram estabelecidas conforme determinados no item 14.2.2 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.2.3 - A Análise critica do método das funções após mudanças nos sistemas operacionais, foram estabelecidas conforme determinados no item 14.2.3 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.2.4 - As limitações de alterações em pacotes de software, foram estabelecidas conforme determinados no item 14.2.4 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.2.5 - As instruções para elaborar sistemas seguros para o tratamento de DP, foram estabelecidas conforme determinados no item 14.2.5 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.2.6 - A empresa assegura de que o âmbito usado para o desenvolvimento foram estabelecidos em segurança conforme determinados no item 14.2.6 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.2. - O sistema para desenvolvimento terceirizado foi estabelecido em segurança conforme determinados no item 14.2.6 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.2.8 - A avaliação de segurança do sistema, foi estabelecida conforme determinados no item 14.2.8 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.11.2.9 - A análise de consentimento de sistemas, foi estabelecido em conforme determinados no item 14.2.9 da ABNT NBR ISO/IEC 27002:2013 ?
6.11.3 - Bases para teste
-
6.11.3.1 - Foram implementadas medidas técnicas para a segurança dos DP fornecidos para teste, conforme determinados no item 14.3.1 da ABNT NBR ISO/IEC 27002:2013 ?
6.12 - Interação com a cadeia de suprimento
6.12.1 - Segurança da informação na cadeia de suprimento
-
6.12.1.1 - A empresa possui diretrizes de segurança da informação na interação com os fornecedores, estabelecidos conforme determinados no item 15.1.1 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.12.1.2 - A empresa contém documentos acordados sobre as responsabilidades e tratamento dos DP com fornecedores e terceiros estabelecidos em segurança conforme determinados no item 15.1.2 da ABNT NBR ISO/IEC 27002:2013 ?
-
6.12.1.3 - Cadeia de suprimento na tecnologia da informação e comunicação
6.12.2 - Monitoramento da entrega do serviço do fornecedor
-
6.12.2.1 - A organização possui métodos para monitoramento e avaliação dos serviços com fornecedores implantados, de acordo com o item 15.2.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.12.2.2 -A organização possui métodos de comando para mudanças em serviços de fornecedores implantados, de acordo com o item 15.2.2 da ABNT NBR ISO/IEC 27002:2013?
6.13 - Controles de incidentes de segurança da informação
6.13.1 - Controles a incidentes de segurança da informação e melhorias
-
6.13.1.1 - A organização provê de sistemas para identificação de registros a Violação dos DP estabelecido de acordo com o item 16.1.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.13.1.2 - A organização utiliza de sistemas de comunicação para atos ocorrência em segurança da informação estabelecido de acordo com o item 16.1.2 da ABNT NBR ISO/IEC 27002:2013?
-
6.13.1.3 - A organização utiliza de sistemas para identificação de vulnerabilidades estabelecido de acordo com o item 16.1.3 da ABNT NBR ISO/IEC 27002:2013?
-
6.13.1.4 - A organização utiliza de sistemas para Analise e Resolução a ocorrências em segurança da informação estabelecido de acordo com o item 16.1.4 da ABNT NBR ISO/IEC 27002:2013?
-
6.13.1.5 - A organização utiliza de sistemas para solução aos incidentes identificados na segurança da informação estabelecido de acordo com o item 16.1.5 da ABNT NBR ISO/IEC 27002:2013?
-
6.13.1.6 - Aprendendo com os incidentes de segurança da informação
-
6.13.1.7 - Coleta de evidências
6.14 - Tópicos da segurança da informação na gestão da continuidade do negócio
6.14.1 - Continuidade da segurança da informação
-
6.14.1.1 - De acordo com o item 17.1.1 da ABNT NBR ISO/IEC 27002:2013, a organização estabelece um planejamento de forma continua na segurança da informação?
-
6.14.1.2 - De acordo com o item 17.1.2 da ABNT NBR ISO/IEC 27002:2013, a organização implementa de forma continua a segurança da informação?
-
6.14.1.3 - De acordo com o item 17.1.3 da ABNT NBR ISO/IEC 27002:2013, a organização Segue verificando, analisando e avaliando o sistema de segurança da informação de forma continua ?
6.14.2 - Redundâncias
-
6.14.2.1 - A empresa se dispõe dos recursos de tratamento da informação, conforme o item 17.2.1 da ABNT NBR ISO/IEC 27002:2013?
6.15 - Compliance
6.15.1 - Conformidades com clausulas legais e contratuais
-
6.15.1.1 - A empresa possui Identificação em legislações e cláusulas contratuais estabelecidas de acordo com o item 18.1.1 da ABNT NBR ISO/IEC 27002:2013?
-
6.15.1.2 - Direitos de propriedade intelectual
-
6.15.1.3 - A organização retém cópias de processos e politicas de privacidade relacionadas, por um período especifico, incluindo versões anteriores as atualizadas?
-
6.15.1.4 - A organização convém de politicas para gerenciamento a proteção e a privacidade dos DP estabelecida de acordo com o item 18.1.4 da ABNT NBR ISO/IEC 27002:2013?
-
6.15.1.5 - A organização possui princípios estabelecidos para controles de criptografia de acordo com o item 18.1.5 da ABNT NBR ISO/IEC 27002:2013?
6.15.2 - Verificação crítica da segurança da informação
-
6.15.2.1 - Análise crítica independente da segurança da informação
-
6.15.2.2 - De acordo com o item 18.2.2 da ABNT NBR ISO/IEC 27002:2013, as politicas e normas a segurança da informação da organização, estão em conformidade?
-
6.15.2.3 - De acordo com o item 18.2.3 da ABNT NBR ISO/IEC 27002:2013, a analise critica está em conformidade com os requisitos em que a organização estabelece?
7 Diretrizes adicionais da ABNT NBR ISO/IEC 27002 para controladores de DP
-
7.1 - Informações Gerais
7.2 - Obrigações para coleta e tratamento
-
7.2.1 - A organização identifica e documenta as finalidades essenciais ao qual o DP são abordados ?
-
7.2.2 - A organização contém documentos de bases legais onde a finalidade do tratamento do DP foi devidamente estabelecida aos titulares?
-
7.2.3 - A organização obtém de documentações em que expressa claramente o real alcance para os propósitos de tratamento dos DP ?
-
7.2.4 - A organização possui registros de consentimentos fornecidos diante os titulares de DP estabelecidos?
-
7.2.5 - A organização possui mecanismos para analise de impactos a privacidade dos DP estabelecida ?
-
7.2.6 - A organização possui contratos de forma escrita com os Operadores de DP, de modo que contenham controles específicos para que assegurem total responsabilidade sobre a proteção dos DP?
-
7.2.7 - A organização possui contratos sobre divisões aos papeis de responsabilidade dos DP determinados de modo transparente ?
-
7.2.8 - A organização possui inventários de registros para tratamento de DP, contendo todas as informações necessárias ?
7.3 - Obrigações dos titulares de DP
-
7.3.1 - A organização fornece meios necessários para cumprir com os deveres dos titulares de DP de forma compreensível e de forma ágil ?
-
7.3.2 - A organização possui regulamentos para que quando uma informação for estabelecida a um titular de DP, contenha todas as informações necessárias sobre o proposito de mudança do tratamento?
-
7.3.3 - A organização oferece informações de modo que o titular possa acessar de forma fácil os seus DP obtidos , no momento pretendido ?
-
7.3.4 - A organização dispõe de mecanismos para que os titulares do DP possa alterar, ou cancelar o consentimento fornecido ?
-
7.3.5 - A organização dispõe de mecanismos para que os titulares do DP possa revogar consentimento oferecido?
-
7.3.6 - A organização dispõe de mecanismos para que os titulares do DP possa acessar, alterar ou deletar os DP fornecidos ?
-
7.3.7 - A organização possui meios obrigatórios para que os controladores de DP informem a terceiros sobre qualquer situação equivalente relacionados aos DP?
-
7.3.8 - A organização fornece cópias dos DP em que são relacionados aos tratamentos necessário, de modo que seja totalmente acessível para o titular do DP?
-
7.3.9 - A organização se dispõe de diretrizes para os processos de tratamentos e resposta de legitimas solicitações dos respectivos titulares de DP?
-
7.3.10 - Tomada de decisão automatizada
7.4 - Privacy by Design e Privacy by Default
-
7.4.1 - A organização possui limites para a coleta de DP ?
-
7.4.2 - A organização possui limites para o tratamento dos DP?
-
7.4.3 - A organização assegura de que os DP coletados são precisos e necessários para a finalidade abordada ?
-
7.4.4 - A organização utiliza de métodos para a anonimizaçaõ dos DP?
-
7.4.5 - A organização utiliza meios para a eliminação dos DP quando não mais necessários , de forma que o DP não fiquem expostos e se tornem identificados ?
-
7.4.6 - A organização possui métodos de verificação continua a fins de arquivos provisórios que não estão em uso, sejam eliminados por tempo indefinido ?
-
7.4.7 - A organização contém mecanismos para que os DP coletados não permaneça retido por tempo maior que o real propósito determinado ?
-
7.4.8 - A organização possui mecanismos de providencias para o descarte adequado a informações de DP não mais necessários ?
-
7.4.9 - A organização utiliza meios de proteção para o trafego de informações de DP , para que cheguem a seus destinos totalmente seguros?
7.5 Compartilhamento, transferência e divulgação de DP
-
7.5.1 - A organização possui identificações e documentos com bases consideráveis para transferências de DP entre jurisdições?
-
7.5.2 - A organização contem documentos em que determinam quais Países e/ou Organizações internacionais possam ocorrer a possíveis transferência dos DP?
-
7.5.3 - A organização possui registros de transferência de DP a terceiros, definindo qual o tempo de retenção e especificamente quais os dados estritamente necessários para essa transferência ?
-
7.5.4 - A organização possui registros de divulgações dos DP a terceiros, juntamente especificando quais os DP foram atribuídos, com nomes e datas?
8 Diretrizes adicionais da ABNT NBR ISO/IEC 27002 para os operadores de DP
-
8.1 - Informações Gerais
8.2 - Requisitos para coleta e tratamento
-
8.2.1 - A organização possui acordos onde consideram seguro o tratamento dos DP dos clientes, com os legítimos interesse descritos referindo ao real proposito para a coleta dos DP?
-
8.2.2 - A organização assegura que os DP coletados será tratados somente para os propósitos especificados no acordo com titular de DP?
-
8.2.3 - A organização assegura que os DP coletados não sejam usados para o uso de propagandas, sem que o tenham o devido consentimento do titular do DP?
-
8.2.4 - Existe meios de verificações a instruções de violação em contratos acordados entre a organização e cliente ?
-
8.2.5 - A organização fornece aos seus clientes informações sobre suas obrigações?
-
8.2.6 - A organização possui registros de modo em que demonstre suas obrigações e especificações sobre o tratamento do DP do cliente?
8.3 - Obrigações para os titulares de DP
-
8.3.1 - A organização fornece a seus clientes, modos para fazer com que fiquem em compliance com sua obrigações relacionadas aos titulares ?
8.4 - Privacy by design e privacy by default
-
8.4.1 - A organização possui meios de descarte para arquivos de DP temporários?
-
8.4.2 - Retorno, transferência ou descarte de DP
-
8.4.3 - A organização utiliza meios de proteção para o trafego de informações de DP , para que cheguem a seus destinos totalmente seguros?
8.5 - Compartilhamento, transferência e divulgação de DP
-
8.5.1 - A organização disponibiliza aos seus clientes informações sobre possíveis transferência de seu DP entre jurisdições ou afins de qualquer alteração pretendida em questão?
-
8.5.2 - A organização contem documentos em que determinam quais Países e/ou Organizações internacionais possam ocorrer a possíveis transferência dos DP?
-
8.5.3 - A organização possui registros de divulgações dos DP a terceiros, juntamente especificando quais os DP foram atribuídos, com nomes e datas?
-
8.5.4 - A organização utiliza meios de notificações para manterem seus clientes cientes diante quaisquer solicitações obrigatórias para o fornecimento dos DP?
-
8.5.5 - Em caso de solicitações referentes a DP em que a divulgação do mesmo não seja legalmente obrigatório, a organização notifica ao cliente sobre a permissão para a divulgação dos dados solicitados ?
-
8.5.6 - Divulgação de subcontratados usados para tratar DP
-
8.5.7 - Contratação de um subcontratado para tratar DP
-
8.5.8 - Mudança de subcontratado para tratar DP