Information
-
AUDITORIA Interna ISO/IEC 27701:2019
-
Cliente
-
Período
-
Auditor Líder:
-
Local
-
Participantes
RESUMO DA AUDITORIA
-
Não Conformidades (NC)
-
Pontos de Preocupação (PP)
-
Oportunidades de Melhoria (OM)
-
Pontos Fortes
-
Pontos Fracos
INFORMAÇÕES GERAIS DA AUDITORIA
-
Objetivo da Auditoria: Avaliar o Sistema de Gestão com base no referencial normativo adotado pela organização.
-
Escopo da Auditoria: ABNT ISO 27701:2019
-
Itens Não Aplicáveis?
-
Itens Não Aplicáveis e Justificativas
-
Porte e Tempo de Mercado
-
Processos Mapeados
-
Descrição geral da situação da organização e seu sistema de gestão
CONSTATAÇÕES
GESTÃO DA EMPRESA
-
5.2 - Contexto da organização
-
5.2.1 - Entendendo a organização e seu contexto
-
5.2.2 - Entendendo as necessidades e as expectativas das partes interessadas
-
5.2.3 - Determinando o escopo do sistema de gestão da segurança da<br>informação<br>
-
5.2.4 - Sistema de gestão da segurança da informação<br>
-
5.3 - Liderança
-
5.3.1 - Liderança e comprometimento
-
5.3.2 - Política
-
5.3.3 - Autoridades, responsabilidades e papéis organizacionais
-
5.4 - Planejamento
-
5.4.1 - Ações para contemplar riscos e oportunidades
-
5.4.1.1 - Geral
-
5.4.1.2 - Avaliação de riscos de segurança da informação
-
5.4.1.3 - Tratamento dos riscos de segurança da informação
-
5.4.2 - Objetivos de segurança da informação e planejamento para alcançá-los
-
Fotos
PLANEJAMENTO
-
5.5 - Apoio
-
5.5.1- Recursos
-
5.5.2 -Competência
-
5.5.3 - Conscientização
-
5.5.4 - Comunicação
-
5.5.5 - Informação documentada
-
5.5.5.1 - Geral
-
5.5.5.2 - Criando e atualizando
-
5.5.5.3 - Controle da informação documentada
-
Fotos
OPERAÇÃO
-
5.6 - Operação
-
5.6.1 - Planejamento e controle operacional
-
5.6.2 - Avaliação de riscos de segurança da informação
-
5.6.3 - Tratamento de riscos de segurança da informação
-
Fotos
CHECAR
-
5.7 - Avaliação de desempenho
-
5.7.1 - Monitoramento, medição, análise e avaliação
-
5.7.2 - Auditoria interna
-
5.7.3 - Análise crítica pela Direção
-
Fotos
MELHORIA
-
5.8 - Melhoria
-
5.8.1 - Não conformidade e ação corretiva
-
5.8.2 - Melhoria contínua
-
Fotos
6 - Diretrizes específicas de SGPI relacionadas à ABNT NBR ISO/IEC 27002
-
6.1 - Geral
-
6.2 - Políticas de segurança da informação
-
6.2.1 - Orientação da Direção para segurança da informação
-
6.2.1.1 - Políticas para segurança da informação
-
6.2.1.2 - Análise crítica das políticas para segurança da informação
-
6.3 - Organização da segurança da informação
-
6.3.1 - Organização interna
-
6.3.1.1 - Responsabilidades e papéis da segurança da informação<br>
-
6.3.1.2 - Segregação de funções
-
6.3.1.3 - Contato com autoridades
-
6.3.1.4 - Contato com grupos especiais
-
6.3.1.5 - Segurança da informação no gerenciamento de projetos
-
6.3.2 - Dispositivos móveis e trabalho remoto
-
6.3.2.1 - Política para o uso de dispositivo móvel
-
6.3.2.2 - Trabalho remoto<br>
-
6.4 - Segurança em recursos humanos
-
6.4.1 - Antes da contratação
-
6.4.1.1 - Seleção<br>
-
6.4.1.2 - Termos e condições de contratação
-
6.4.2 - Durante a contratação
-
6.4.2.1 - Responsabilidades da Direção
-
6.4.2.2 - Conscientização, educação e treinamento em segurança da informação
-
6.4.2.3 - Procedimentos disciplinares
-
6.4.3 - Encerramento e mudança da contratação
-
6.4.3.1 - Responsabilidades pelo encerramento ou mudança da contratação<br>
-
6.5 - Gestão de ativos
-
6.5.1 - Responsabilidade pelos ativos
-
6.5.1.1 - Inventário dos ativos
-
6.5.1.2 - Proprietário dos ativos
-
6.5.1.3 - Uso aceitável dos ativos
-
6.5.1.4 - Devolução de ativos<br>
-
6.5.2 - Classificação da informação
-
6.5.2.1 - Classificação da informação
-
6.5.2.2 - Rótulos e tratamento da informação
-
6.5.2.3 - Tratamento dos ativos
-
6.5.3 - Tratamento de mídias
-
6.5.3.1 - Gerenciamento de mídias removíveis
-
6.5.3.2 - Descarte de mídias
-
6.5.3.3 - Transferência física de mídias
-
6.6 - Controle de acesso
-
6.6.1 - Requisitos do negócio para controle de acesso
-
6.6.1.1 - Política de controle de acesso
-
6.6.1.2 - Acesso às redes e aos serviços de rede<br>
-
6.6.2 - Gerenciamento de acesso do usuário
-
6.6.2.1 - Registro e cancelamento de usuário
-
6.6.2.2 - Provisionamento para acesso de usuário
-
6.6.2.3 - Gerenciamento de direitos de acesso privilegiado
-
6.6.2.4 - Gerenciamento da informação de autenticação secreta de usuários
-
6.6.2.5 - Análise crítica dos direitos de acesso de usuário
-
6.6.2.6 - Retirada ou ajuste dos direitos de acesso
-
6.6.3 - Responsabilidades dos usuários
-
6.6.3.1 - Uso da informação de autenticação secreta
-
6.6.4 - Controle de acesso ao sistema e à aplicação
-
6.6.4.1- Restrição de acesso à informação
-
6.6.4.2 - Procedimentos seguros de entrada no sistema (log-on)
-
6.6.4.3 - Sistema de gerenciamento de senha<br>
-
6.6.4.4 - Uso de programas utilitários privilegiados
-
6.6.4.5 - Controle de acesso ao código-fonte de programas
-
6.7 - Criptografia
-
6.7.1 - Controles criptográficos
-
6.7.1.1 - Política para o uso de controles criptográficos<br>
-
6.7.1.2 - Gerenciamento de chaves
-
6.8 - Segurança física e do ambiente
-
6.8.1 - Áreas seguras
-
6.8.1.1 - Perímetro de segurança física
-
6.8.1.2 - Controles de entrada física
-
6.8.1.3 - Segurança em escritórios, salas e instalações
-
6.8.1.4 - Proteção contra ameaças externas e do meio ambiente
-
6.8.1.5 - Trabalhando em áreas seguras
-
6.8.1.6 - Áreas de entrega e de carregamento
-
6.8.2 - Equipamentos
-
6.8.2.1 - Localização e proteção do equipamento
-
6.8.2.2 - Utilidades
-
6.8.2.3 - Segurança do cabeamento
-
6.8.2.4 - Manutenção dos equipamentos
-
6.8.2.5 - Remoção de ativos
-
6.8.2.6 - Segurança de equipamentos e ativos fora das dependências da organização<br>
-
6.8.2.7 - Reutilização ou descarte seguro de equipamentos
-
6.8.2.8 - Equipamento de usuário sem monitoração
-
6.8.2.9 - Política de mesa limpa e tela limpa
-
6.9 - Segurança nas operações
-
6.9.1 - Responsabilidades e procedimentos operacionais
-
6.9.1.1 - Documentação dos procedimentos de operação<br>
-
6.9.1.2 - Gestão de mudanças
-
6.9.1.3 - Gestão de capacidade
-
6.9.1.4 - Separação dos ambientes de desenvolvimento, teste e de produção
-
6.9.2 - Proteção contra códigos maliciosos
-
6.9.2.1 - Controles contra códigos maliciosos
-
6.9.3 - Cópias de segurança
-
6.9.3.1 - Cópias de segurança das informações
-
6.9.4 - Registros e monitoramento
-
6.9.4.1 - Registros de eventos (logs)
-
6.9.4.2 - Proteção das informações dos registros de eventos (logs)<br>
-
6.9.4.3 - Registros de eventos (log) de administrador e operador<br>
-
6.9.4.4 - Sincronização dos relógios
-
6.9.5 - Controle de software operacional
-
6.9.5.1 - Instalação de software nos sistemas operacionais
-
6.9.6 - Gestão de vulnerabilidades técnicas
-
6.9.6.1 - Gestão de vulnerabilidades técnicas
-
6.9.6.2 - Restrições quanto à instalação de software
-
6.9.7 - Considerações quanto à auditoria de sistemas de informaç
-
6.9.7.1 - Controles de auditoria de sistemas de informação
-
6.10 - Segurança nas comunicações
-
6.10.1 - Gerenciamento da segurança em redes
-
6.10.1.1 - Controles de redes
-
6.10.1.2 - Segurança dos serviços de rede<br>
-
6.10.1.3 - Segregação de redes
-
6.10.2 - Transferência de informação
-
6.10.2.1 - Políticas e procedimentos para transferência de informações
-
6.10.2.2 - Acordos para transferência de informações
-
6.10.2.3 - Mensagens eletrônicas
-
6.10.2.4 - Acordos de confidencialidade e não divulgação
-
6.11 - Aquisição, desenvolvimento e manutenção de sistemas
-
6.11.1.2 - Serviços de aplicação seguros em redes públicas
-
6.11.1.3 - Protegendo as transações nos aplicativos de serviços
-
6.11.2 - Segurança em processos de desenvolvimento e de suporte
-
6.11.2.1 - Política de desenvolvimento seguro<br>
-
6.11.2.2 - Procedimentos para controle de mudanças de sistemas
-
6.11.2.3 - Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
-
6.11.2.4 - Restrições sobre mudanças em pacotes de software
-
6.11.2.5 - Princípios para projetar sistemas seguros
-
6.11.2.6 - Ambiente seguro para desenvolvimento
-
6.11.2.7 - Desenvolvimento terceirizado
-
6.11.2.8 - Teste de segurança do sistema
-
6.11.2.9 - Teste de aceitação de sistemas
-
6.11.3 - Dados para teste
-
6.11.3.1 - Proteção dos dados para teste
-
6.12 - Relacionamento na cadeia de suprimento
-
6.12.1 - Segurança da informação na cadeia de suprimento
-
6.12.1.1 - Política de segurança da informação no relacionamento com os fornecedores
-
6.12.1.2 - Identificando segurança da informação nos acordos com<br>fornecedores
-
6.12.1.3 - Cadeia de suprimento na tecnologia da informação e<br>comunicação
-
6.12.2 - Gerenciamento da entrega do serviço do fornecedor
-
6.12.2.1 - Monitoramento e análise crítica de serviços com fornecedores
-
6.12.2.2 - Gerenciamento de mudanças para serviços com fornecedores
-
6.13 - Gestão de incidentes de segurança da informação
-
6.13.1 - Gestão de incidentes de segurança da informação e melhorias
-
6.13.1.1 - Responsabilidades e procedimentos
-
6.13.1.2 - Notificação de eventos de segurança da informação
-
6.13.1.3 - Notificando fragilidades de segurança da informação
-
6.13.1.4 - Avaliação e decisão dos eventos de segurança da informação
-
6.13.1.5 - Resposta aos incidentes de segurança da informação
-
6.13.1.6 - Aprendendo com os incidentes de segurança da informação
-
6.14 - Aspectos da segurança da informação na gestão da continuidade do negócio
-
6.14.1 - Continuidade da segurança da informação
-
6.14.1.2 - Implementando a continuidade da segurança da informação
-
6.14.1.3 - Verificação, análise crítica e avaliação da continuidade da<br>segurança da informação
-
6.14.2 - Redundâncias
-
6.14.2.1 - Disponibilidade dos recursos de processamento da informação
-
6.15 - Compliance
-
6.15.1 - Compliance com requisitos legais e contratuais
-
6.15.1.2 - Direitos de propriedade intelectual<br>
-
6.15.1.3 - Proteção de registros
-
6.15.1.4 - Proteção e privacidade de DP
-
6.15.1.5 - Regulamentação de controles de criptografa
-
6.15.2 - Análise crítica da segurança da informação
-
6.15.2.1 - Análise crítica independente da segurança da informação
-
6.15.2.2 - Compliance com as políticas e normas de segurança da informação<br>
-
6.15.2.3 - Análise crítica técnica do compliance<br>
-
Fotos
7 Diretrizes adicionais da ABNT NBR ISO/IEC 27002 para controladores de DP
-
7.2 - Condições para coleta e tratamento
-
7.2.1 - Identificação e documentação do propósito
-
7.2.2 - Identificação de bases legais<br>
-
7.2.3 - Determinando quando e como o consentimento deve ser obtido
-
7.2.4 - Obtendo e registrando o consentimento
-
7.2.5 - Avaliação de impacto de privacidade
-
7.2.6 - Contratos com operadores de DP
-
7.2.7 - Controlador conjunto de DP
-
7.2.8 - Registros relativos ao tratamento de DP
-
7.3 - Obrigações dos titulares de DP
-
7.3.1 - Determinando e cumprindo as obrigações para os titulares de DP<br>
-
7.3.2 - Determinando as informações para os titulares de DP<br>
-
7.3.3 - Fornecendo informações aos titulares de DP
-
7.3.4 - Fornecendo mecanismos para modificar ou cancelar o consentimento
-
7.3.5 - Fornecendo mecanismos para negar o consentimento ao tratamento de DP
-
7.3.6 - Acesso, correção e/ou exclusão
-
7.3.7 - Obrigações dos controladores de DP para informar aos terceiros
-
7.3.8 - Fornecendo cópia do DP tratado
-
7.3.9 - Tratamento de solicitações
-
7.3.10 - Tomada de decisão automatizada
-
7.4 - Privacy by Design e Privacy by Default
-
7.4.1 - Limite de coleta
-
7.4.2 - Limite de tratamento
-
7.4.3 - Precisão e qualidade
-
7.4.4 - Objetivos de minimização de DP
-
7.4.5 - Anonimização e exclusão de DP ao fnal do tratamento
-
7.4.6 - Arquivos temporários<br>
-
7.4.7 - Retenção
-
7.4.8 - Descarte<br>
-
7.4.9 - Controle de transmissão de DP
-
7.5 Compartilhamento, transferência e divulgação de DP
-
7.5.1 - Identificando as bases para a transferência de DP entre jurisdições
-
7.5.2 - Países e organizações internacionais para os quais os DP podem<br>ser transferidos
-
7.5.3 - Registros de transferência de DP
-
7.5.4 - Registro de divulgação de DP para terceiros
-
Fotos
8 Diretrizes adicionais da ABNT NBR ISO/IEC 27002 para os operadores de DP
-
8.2 - Condições para coleta e tratamento
-
8.2.1 - Acordos com o cliente
-
8.2.2 - Propósitos da organização
-
8.2.3 - Uso de marketing e propaganda
-
8.2.4 - Violando instruções
-
8.2.5 - Obrigações do cliente
-
8.2.6 - Registros relativos ao tratamento de DP
-
8.3 - Obrigações para os titulares de DP
-
8.3.1 - Obrigações para os titulares de DP
-
8.4 - Privacy by design e privacy by default
-
8.4.1 - Arquivos temporários
-
8.4.2 - Retorno, transferência ou descarte de DP
-
8.4.3 - Controles de transmissão de DP
-
8.5 - Compartilhamento, transferência e divulgação de DP
-
8.5.1 - Bases para a transferência de DP entre jurisdições
-
8.5.2 - Países e organizações internacionais para os quais DP podem ser<br>transferidos
-
8.5.3 - Registros de DP divulgados para terceiros<br>
-
8.5.4 - Notifcação de solicitações de divulgação de DP
-
8.5.5 - Divulgações legalmente obrigatórias de DP
-
8.5.6 - Divulgação de subcontratados usados para tratar DP
-
8.5.7 - Contratação de um subcontratado para tratar DP<br>
-
8.5.8 - Mudança de subcontratado para tratar DP
-
Fotos
Anexo A - Controladores de DP
-
A.7.2 - Requisitos para coleta e tratamento
-
A.7.2.1 - A organização identificou e documentou os propósitos essenciais<br>referente ao tratamento do DP?
-
A.7.2.2 - A organização está em compliance com os requisitos legais<br>pertinentes para o tratamento dos DP?
-
A.7.2.3 - A organização possui processos, pelo qual demostra quando e<br>como o foi obtido o consentimento titular de DP?
-
A.7.2.4 - A organização possui documentado, consentimento de titulares<br>referente ao tratamento dos DP?
-
A.7.2.5 - A organização possui Análises de impacto e de privacidade<br>estabelecida ?
-
A.7.2.6 - A organização possui contratos com os operadores de DP<br>estabelecido?
-
A.7.2.7 - A organização possui documentos em que define as<br>responsabilidades e papeis ao tratamento de DP com os Controladores<br>conjunto de DP?
-
A.7.2.8 - A organização possui registros fundamentais mantidos de forma<br>segura?<br>
-
A.7.3 Deveres para os titulares de DP
-
A.7.3.1 -A organização determinou e documentou as responsabilidades e<br>obrigações legais aos titulares de DP?
-
A.7.3.2 - A organização possui documentada as informações em que<br>fornece ao titular dos DP?
-
A.7.3.3 - A organização fornece para os seus titulares de DP, informações<br>claras e precisas para que possam identificar o Controlador e os<br>tratamentos a serem feitos com os DP coletados ?
-
A.7.3.4 - Fornecendo mecanismo para modificar ou cancelar o<br>consentimento
-
A.7.3.5 - A organização fornece para seus titulares, meios para que<br>possam cancelar o consentimento fornecido?
-
A.7.3.6 - A organização possui meios para que o u titular de DP possa<br>acessar/modificar/eliminar as informações obtidas?
-
A.7.3.7 - A organização force aos seu terceiros, informações sobre com<br>quem os DP foram compartilhados e modificações como cancelamentos ?<br>
-
A.7.3.8 - A organização fornece a seus titulares, cópias dos dados coletas<br>quando solicitado por eles ?
-
A.7.3.9 - A organização possui politicas para o tratamento legitimo dos<br>titulares de DP estabelecido?
-
A.7.3.10 - A organização identificou e considerou as obrigações legais dos<br>titulares de dados, para respostas e tratamentos automatizados ?
-
A.7.4 Privacy by design e Privacy by Default
-
A.7.4.1 - A organização possui limites para coleta estabelecido?
-
A.7.4.2 - A organização possui limites para tratamento de DP estabelecido?
-
A.7.4.3 - A organização possui documentos em que assegura que os DP<br>coletados são essenciais para tais propósitos ?
-
A.7.4.4 - A organização possui formas de minimização dos DP, e quais os meios usados para que possa atender tais objetivos?
-
A.7.4.5 -A organização possui meios de eliminação dos DP de forma que , não sejam identificados ?
-
A.7.4.6 - A organização assegura que os arquivos armazenados temporariamente são eliminados em um determinado período em especifico?
-
A.7.4.7 - A organização assegura que os DP coletados, são retidos somente a tempo necessário para o tratamento realizado ?
-
A.7.4.8 - A organização possui diretrizes para o descarte dos DP?
-
A.7.4.9 - Controladores de transmissão de DP
-
A.7.5 Compartilhamento, transferência e divulgação de DP
-
A.7.5.1 - A organização possui controles para se certificar de que as transferências de DP estão seguras?
-
A.7.5.2 -A organização possui documentos especificando a quais países e organizações internacionais os DP são possivelmente transferidos ?
-
A.7.5.3 - A organização possui registros de transferência de DP para terceiros, e assegurar sobre futuras obrigações para os titulares de DP?
-
A.7.5.4 - A organização possui documentos de divulgações de DP a terceiros, especificando para onde, quem e quando foi transmitido ?
-
Fotos
Anexo B - Operadores de DP
-
B.8.2 Requisitos para coleta e tratamento
-
B.8.2.1 - A organização possui documentos em que asseguram sobre os reais objetivos e papeis da organização e obrigações do cliente em relações aos DP?
-
B.8.2.2 - A organização assegura que os DP coletados, são tratados somente para os propósitos citados ao contrato com o cliente ?
-
B.8.2.3 - A organização assegura que os DP coletados não serão cedidos para outras finalidades como marketing e propaganda?<br>
-
B.8.2.4 - A organização possui meios para comunicar o titular do DP em casos de violações a legislação ?
-
B.8.2.5 - A organização fornece a seus clientes, informações adequadas de modo que, o cliente demonstre conformidades com seus deveres?
-
B.8.3 Deveres para os titulares de DP
-
B.8.3.1 - A organização fornece aos seus titulares, meios para estarem em<br>conformidade com os requisitos específicos ?<br>
-
B.8.4 Privacy by design e Privacy by Default
-
B.8.4.1 - A organização garante que os arquivos temporários, são guardados somente por tempo especifico a realização do tratamento dos DP?
-
B.8.4.2 - A organização assegura que os DP são retornados/transferidos e excluídos de forma segura ?<br>
-
B.8.4.3 - A organização possui meios de transferências seguros ?
-
B.8.5 Compartilhamento, transferência e descarte de DP
-
B.8.5.1 - A organização informa ao seu cliente sobre as bases de transferência entre jurisdições e/ou qualquer mudança periódica, de modo que, o cliente tenha o livre direito em contestar ou cancelar o contrato?<br><br>
-
B.8.5.2 - A organização possui documentos em que especifiquem em que países e organizações podem ocorrer possíveis transferência de DP?
-
B.8.5.3 - A organização possui registros de divulgações de DP a terceiros?<br>
-
B.8.5.4 - A organização notifica seu cliente sobre possíveis pedidos obrigatórios a divulgação de seus DP?<br>
-
B.8.5.5 - A organização consulta seu cliente antes de fornecer quaisquer divulgação sobre os seus DP?
-
B.8.5.6 - A organização notifica o seu cliente sobre a divulgação dos seus DP para subcontratados?
-
B.8.5.7 - Contratação de um subcontratado para tratar DP
-
B.8.5.8 - A organização fornece ao cliente autorizações para informar<br>sobre quaisquer alteração relativas a substituição do subcontratado?
-
Fotos
