Information
-
Auditoria Interna ABNT NBR ISO IEC 27001:2013 e ISO 27701:2019
-
Empresa Auditada
-
Data de Início
-
Data Término
-
A Auditoria será conduzida por uma equipe?
-
Listar Equipe Auditora e identificar o Auditor Líder
-
Inserir o nome do Auditor Líder
-
Modalidade da Auditoria
-
Processos Auditados
-
Pessoas Auditados
CONSTATAÇÕES DA AUDITORIA
-
Não Conformidades (NC)
-
Relato das Não Conformidades
-
Oportunidades de Melhoria (OM)
-
Relato das Oportunidades de Melhoria
-
Observações (OBS)
-
Relato das Observações
-
Comentários Gerais
GERENCIAMENTO DA AUDITORIA
-
ESCOPO
-
CRITÉRIO
-
OBJETIVOS
-
Itens Não Aplicáveis?
-
Inserir o(s) item(ns) e a justificativa de não aplicação
-
Lista / Mapa de Processos
-
Inserir mapas, desenhos, diagramas, conforme aplicável
-
Lista de Documentos auditados
CONSTATAÇÕES
Sistema de Gestão da Segurança da Informação
-
4. CONTEXTO DA ORGANIZAÇÃO
-
4.1. A organização e o seu contexto / 5.2.1.
-
4.2. Partes Interessadas, necessidades e expectativas / 5.2.2.
-
4.3 Escopo / 5.2.3.
-
O escopo do sistema de gestão está disponível como informação documentada?
-
Há interfaces e dependências que são realizadas fora da organização?
-
4.4 Sistema de Gestão de Segurança da Informação / 5.2.4.
-
5. LIDERANÇA
-
5.1 Liderança e Comprometimento / 5.3.1.
-
Como é evidenciado o comprometimento da Alta Direção e a Liderança no SGSI?
-
5.2 Política / 5.3.2.
-
A Política de Segurança da Informação está disponível como informação documentada?
-
A Política de Segurança da Informação está disponível para partes interessadas, incluindo partes externas?
-
5.3 Papéis, responsabilidades e autoridades organizacionais / 5.3.3.
-
As responsabilidades e autoridades foram definidas?
-
6. PLANEJAMENTO
-
6.1 Riscos e Oportunidades
-
6.1.1. O planejamento de riscos considerou as questões internas e externas, partes interessadas e a integração das ações nos processos de negócio? / 5.4.1.
-
A avaliação da eficácia das ações tomadas foi planejada e é realizada?
-
6.1.2 Avaliação de riscos de segurança da informação / 5.4.1.2.
-
Há informação documentada retida do processo de avaliação de riscos?
-
6.1.3 Tratamento de riscos de segurança da informação / 5.4.1.3.
-
Há informação documentada retida do processo de tratamento de riscos?
-
Objetivos de SI e Planejamento para alcança-los / 5.4.2.
-
Foi realizado o planejamento para o alcance dos objetivos?
-
Como os resultados dos objetivos são avaliados?
-
Os Objetivos de Segurança da Informação estão disponíveis como informação documentada?
-
7. APOIO
-
7.1 Recursos / 5.5.1.
-
Os recursos (físicos, humanos, tecnológicos, de processo, de tempo, de infraestrutura, de operação etc.) foram determinados e providos em suficiência?
-
7.2 Competência / 5.5.2.
-
As evidências de competência das pessoas que exercem atividades dentro do SGSI estão determinadas e providas?
-
A avaliação da eficácia é realizada e documentação pertinente é retida?
-
7.3 Conscientização / 5.5.3.
-
7.4 Comunicação / 5.5.4.
-
O processo de comunicação considera as comunicações internas e externas, com planos de ação para sua eficácia?
-
7.5 Informação documentada / 5.5.5.
-
A organização controla informação documentada de origem externa?
-
8. OPERAÇÃO
-
8.1 Planejamento Operacional e Controle / 5.6.1.
-
As mudanças planejadas são controladas e as não planejadas são analisadas criticamente quanto aos eventos adversos?
-
Os processos terceirizados estão determinados e são controlados?
-
8.2 Avaliação de Riscos de Segurança da Informação / 5.6.2.
-
Há informação documentada retida do resultado da avaliação de riscos?
-
8.3 Tratamento de Riscos de Segurança da Informação / 5.6.3.
-
Há informação documentada retida do resultado do tratamento de riscos?
-
9. AVALIAÇÃO DE DESEMPENHO
-
9.1. Monitoramento, medição, análise e avaliação / 5.7.1.
-
Informação documentada apropriada como evidência do monitoramento e dos resultados da medição é retida?
-
9.2 Auditoria Interna / 5.7.2.
-
Há evidência de realização da auditoria em intervalos planejados?
-
Foi assegurada a objetividade e a imparcialidade ?
-
9.3 Análise crítica pela direção / 5.7.3.
-
A Alta Direção realizou Análise Crítica considerando todas as entradas do requisito normativo?
-
As saídas de análise crítica contém decisões sobre os requisitos de entrada?
-
Foi retida informação documentada como evidência dos resultados de análise crítica pela direção?
-
10. Melhoria
-
10.1. Não conformidade e ação corretiva / 5.8.1.
-
As não conformidades foram tratadas considerando ações para correção, tratamento das consequências, eliminação da causa e abrangência?
-
As ações para abordar as não conformidades foram avaliadas quanto a sua eficácia?
-
Mudanças foram realizadas?
-
Informação documentada é retida como evidência da natureza das não conformidades e dos resultados de qualquer ação corretiva?
-
10.2. Melhoria / 5.8.2.
-
O SGSI é avaliado quanto a sua pertinência, adequação e eficácia?
Pontuação do SGSI
-
undefined
Anexo A
-
A.5 Políticas de Segurança da Informação
-
A.5.1 Orientação da Direção para Segurança da Informação / 6.2.1.
-
A.6 Organização da Segurança da Informação
-
A.6.1 Organização Interna / 6.3.
-
A.6.2 Dispositivos móveis e trabalho remoto / 6.3.2.
-
A.7 Segurança em recursos humanos
-
A.7.1 Antes da contratação / 6.4.1.
-
A.7.2 Durante a contratação / 6.4.2.
-
A.7.3 Encerramento e mudança da contratação /- 6.4.3.
-
A.8 Gestão de Ativos
-
A.8.1 Responsabilidade pelos ativos / 6.5.1.
-
A.8.2 Classificação da informação / 6.5.2.
-
A.8.3 Tratamento de Mídias / 6.5.3.
-
A.9 Controle de Acesso
-
A.9.1 Requisitos do negócio para controle de acesso / 6.6.1.
-
A.9.2 Gerenciamento de acesso do usuário / 6.6.2.
-
A.9.3 Responsabilidade dos usuários / 6.6.3.
-
A.9.4 Controle de acesso ao sistema e à aplicação / 6.6.4.
-
A.10 Criptografia / 6.7.
-
A.10.1 Controles criptográficos / 6.7.1.
-
A.11 Segurança física e do ambiente
-
A.11.1 Áreas Seguras / 6.8.1.
-
A.11.2 Equipamentos / 6.8.2.
-
A.12 Segurança nas operações / 6.9
-
A.12.1 Responsabilidades e procedimentos operacionais / 6.9.1.
-
A.12.2 Proteção contra malware 6.9.2.
-
A.12.3 Copias de segurança / 6.9.3.
-
A.12.4 Registros e monitoramento / 6.9.4.
-
A.12.5 Controle de software operacional / 6.9.5.
-
A.12.6 Gestão de vulnerabilidades técnicas / 6.9.6.
-
A.12.7 Considerações quanto à auditoria de sistemas de informação / 6.9.7.
-
A.13 Segurança nas comunicações / 6.10.
-
A.13.1 Gerenciamento da segurança em redes / 6.10.1.
-
A.13.2 Transferência de informação / 6.10.2.
-
A.14 Aquisição, desenvolvimento e manutenção de sistemas / 6.10.3.
-
A.14.1 Requisitos de segurança de sistemas de informação
-
A.14.2 Segurança em processos de desenvolvimento e de suporte / 6.11.2.
-
A.14.3 Dados para teste
-
A.15 Relacionamento na cadeia de suprimento / 6.12.
-
A.15.1 Segurança da informação na cadeia de suprimento / 6.12.1.
-
A.15.2 Gerenciamento da entrega do serviço do fornecedor / 6.12.2.
-
A.16 Gestão de incidentes de segurança da informação / 6.13.
-
A.16.1 Gestão de incidentes de segurança da informação e melhorias / 6.13.1.
-
A.17 Aspectos da segurança da informação na gestão da continuidade do negócio / 6.14.
-
A.17.1 Continuidade da segurança da informação / 6.14.1.
-
A.17.2 Redundâncias / 6.14.2.
-
A.18 Conformidade / 6.15
-
A.18.1 Conformidade com requisitos legais e contratuais / 6.15.1.
-
A.18.2 Análise crítica de segurança da informação / 6.15.2
Anexo A e B - 27701
-
Condições para coleta e processamento
-
Identificação e documentação de propósito
-
Identificação de bases legais
-
Determinação de quando e como o consentimento será obtido
-
Obtenção e registro do consentimento
-
Análise de impacto de privacidade
-
Contrato com processadores de PII
-
Joint PII controller
-
Registros relacionados ao processamento de PII
-
Obrigações para com os PII principals
-
Determinando e cumprindo obrigações legais para com os PII principals
-
Determinando informações para os PII principals
-
Provendo informações para os PII principals
-
Provendo mecanismos para modificar ou retirar o consentimento
-
Provendo mecanismos para objeção de processamento de PII
-
Acesso, correção e/ou exclusão
-
Obrigações do PII controller de informar terceiros (third parties)
-
Provendo cópia de PII processada
-
Lidando com requisições
-
Tomada de decisção automatizada
-
Privacy by design e privacy by default
-
Limitação de coleta
-
Limitação de processamento
-
Exatidão e qualidade
-
Objetivos de minimização (anonimização e peudominização)
-
Desidentificação (anonimização e pseudonimização) e exclusão de PII ao final do processamento
-
Arquivos temporários
-
Retenção
-
Descarte
-
Controles de transmissão (envio) de PII
-
Compartilhamento, transferência e divulgação de PII
-
Identificação dos termos para transferência de PII entre jurisdições
-
Países e organizações internacionais para os quais PII podem ser transferidas
-
Registro de transferência de PII
-
Registro de divulgação de PII para terceiros (third parties)
-
Condições para coleta e processamento
-
Acordo com cliente (customer)
-
Propósito da organização
-
Uso para propaganda e marketing
-
Informação de violação de direitos
-
Obrigações do cliente (customer)
-
Registros relacionados ao processamento de PII
-
Obrigações para com os PII principals
-
Obrigações para com os PII principals
-
Privacy by design e privacy by default
-
Arquivos temporários
-
Retorno, transferência e descarte de PII
-
Controles de transmissão (envio) de PII
-
Compartilhamento, transferência e divulgação de PII
-
Identificação dos termos para transferência de PII entre jurisdições
-
Países e organizações internacionais para os quais PII podem ser transferidas
-
Registro de divulgação de PII para terceiros (third parties)
-
Notificação de requisições de divulgação de PII
-
Divulgação de PII por obrigação legal
-
Divulgação de subcontratados utilizados para processar PII
-
Envolvimento de um subcontratado no processamento de PII
-
Mudança de subcontratado para processamento de PII