Information

  • Auditoria Interna ABNT NBR ISO IEC 27001:2013 e ISO 27701:2019

  • Empresa Auditada

  • Data de Início

  • Data Término

  • A Auditoria será conduzida por uma equipe?

  • Listar Equipe Auditora e identificar o Auditor Líder

  • Inserir o nome do Auditor Líder

  • Modalidade da Auditoria

  • Processos Auditados

  • Pessoas Auditados

CONSTATAÇÕES DA AUDITORIA

  • Não Conformidades (NC)

  • Relato das Não Conformidades

  • Oportunidades de Melhoria (OM)

  • Relato das Oportunidades de Melhoria

  • Observações (OBS)

  • Relato das Observações

  • Comentários Gerais

  • Nota do Sistema de Gestão implementado

GERENCIAMENTO DA AUDITORIA

  • ESCOPO

  • CRITÉRIO

  • OBJETIVOS

  • Itens Não Aplicáveis?

  • Inserir o(s) item(ns) e a justificativa de não aplicação

  • Lista / Mapa de Processos

  • Inserir mapas, desenhos, diagramas, conforme aplicável

  • Lista de Documentos auditados

CONSTATAÇÕES

Sistema de Gestão da Segurança da Informação

  • 4. CONTEXTO DA ORGANIZAÇÃO

  • 4.1. A organização e o seu contexto / 5.2.1.

  • 4.2. Partes Interessadas, necessidades e expectativas / 5.2.2.

  • 4.3 Escopo / 5.2.3.

  • O escopo do sistema de gestão está disponível como informação documentada?

  • Há interfaces e dependências que são realizadas fora da organização?

  • 4.4 Sistema de Gestão de Segurança da Informação / 5.2.4.

  • Nota da Seção

  • 5. LIDERANÇA

  • 5.1 Liderança e Comprometimento / 5.3.1.

  • Como é evidenciado o comprometimento da Alta Direção e a Liderança no SGSI?

  • 5.2 Política / 5.3.2.

  • A Política de Segurança da Informação está disponível como informação documentada?

  • A Política de Segurança da Informação está disponível para partes interessadas, incluindo partes externas?

  • 5.3 Papéis, responsabilidades e autoridades organizacionais / 5.3.3.

  • As responsabilidades e autoridades foram definidas?

  • Nota da Seção

  • 6. PLANEJAMENTO

  • 6.1 Riscos e Oportunidades

  • 6.1.1. O planejamento de riscos considerou as questões internas e externas, partes interessadas e a integração das ações nos processos de negócio? / 5.4.1.

  • A avaliação da eficácia das ações tomadas foi planejada e é realizada?

  • 6.1.2 Avaliação de riscos de segurança da informação / 5.4.1.2.

  • Há informação documentada retida do processo de avaliação de riscos?

  • 6.1.3 Tratamento de riscos de segurança da informação / 5.4.1.3.

  • Há informação documentada retida do processo de tratamento de riscos?

  • Objetivos de SI e Planejamento para alcança-los / 5.4.2.

  • Foi realizado o planejamento para o alcance dos objetivos?

  • Como os resultados dos objetivos são avaliados?

  • Os Objetivos de Segurança da Informação estão disponíveis como informação documentada?

  • Nota da Seção

  • 7. APOIO

  • 7.1 Recursos / 5.5.1.

  • Os recursos (físicos, humanos, tecnológicos, de processo, de tempo, de infraestrutura, de operação etc.) foram determinados e providos em suficiência?

  • 7.2 Competência / 5.5.2.

  • As evidências de competência das pessoas que exercem atividades dentro do SGSI estão determinadas e providas?

  • A avaliação da eficácia é realizada e documentação pertinente é retida?

  • 7.3 Conscientização / 5.5.3.

  • 7.4 Comunicação / 5.5.4.

  • O processo de comunicação considera as comunicações internas e externas, com planos de ação para sua eficácia?

  • 7.5 Informação documentada / 5.5.5.

  • A organização controla informação documentada de origem externa?

  • Nota da Seção

  • 8. OPERAÇÃO

  • 8.1 Planejamento Operacional e Controle / 5.6.1.

  • As mudanças planejadas são controladas e as não planejadas são analisadas criticamente quanto aos eventos adversos?

  • Os processos terceirizados estão determinados e são controlados?

  • 8.2 Avaliação de Riscos de Segurança da Informação / 5.6.2.

  • Há informação documentada retida do resultado da avaliação de riscos?

  • 8.3 Tratamento de Riscos de Segurança da Informação / 5.6.3.

  • Há informação documentada retida do resultado do tratamento de riscos?

  • Nota da Seção

  • 9. AVALIAÇÃO DE DESEMPENHO

  • 9.1. Monitoramento, medição, análise e avaliação / 5.7.1.

  • Informação documentada apropriada como evidência do monitoramento e dos resultados da medição é retida?

  • 9.2 Auditoria Interna / 5.7.2.

  • Há evidência de realização da auditoria em intervalos planejados?

  • Foi assegurada a objetividade e a imparcialidade ?

  • 9.3 Análise crítica pela direção / 5.7.3.

  • A Alta Direção realizou Análise Crítica considerando todas as entradas do requisito normativo?

  • As saídas de análise crítica contém decisões sobre os requisitos de entrada?

  • Foi retida informação documentada como evidência dos resultados de análise crítica pela direção?

  • Nota da Seção

  • 10. Melhoria

  • 10.1. Não conformidade e ação corretiva / 5.8.1.

  • As não conformidades foram tratadas considerando ações para correção, tratamento das consequências, eliminação da causa e abrangência?

  • As ações para abordar as não conformidades foram avaliadas quanto a sua eficácia?

  • Mudanças foram realizadas?

  • Informação documentada é retida como evidência da natureza das não conformidades e dos resultados de qualquer ação corretiva?

  • 10.2. Melhoria / 5.8.2.

  • O SGSI é avaliado quanto a sua pertinência, adequação e eficácia?

Pontuação do SGSI

  • undefined

Anexo A

  • A.5 Políticas de Segurança da Informação

  • A.5.1 Orientação da Direção para Segurança da Informação / 6.2.1.

  • A.6 Organização da Segurança da Informação

  • A.6.1 Organização Interna / 6.3.

  • A.6.2 Dispositivos móveis e trabalho remoto / 6.3.2.

  • A.7 Segurança em recursos humanos

  • A.7.1 Antes da contratação / 6.4.1.

  • A.7.2 Durante a contratação / 6.4.2.

  • A.7.3 Encerramento e mudança da contratação /- 6.4.3.

  • A.8 Gestão de Ativos

  • A.8.1 Responsabilidade pelos ativos / 6.5.1.

  • A.8.2 Classificação da informação / 6.5.2.

  • A.8.3 Tratamento de Mídias / 6.5.3.

  • A.9 Controle de Acesso

  • A.9.1 Requisitos do negócio para controle de acesso / 6.6.1.

  • A.9.2 Gerenciamento de acesso do usuário / 6.6.2.

  • A.9.3 Responsabilidade dos usuários / 6.6.3.

  • A.9.4 Controle de acesso ao sistema e à aplicação / 6.6.4.

  • A.10 Criptografia / 6.7.

  • A.10.1 Controles criptográficos / 6.7.1.

  • A.11 Segurança física e do ambiente

  • A.11.1 Áreas Seguras / 6.8.1.

  • A.11.2 Equipamentos / 6.8.2.

  • A.12 Segurança nas operações / 6.9

  • A.12.1 Responsabilidades e procedimentos operacionais / 6.9.1.

  • A.12.2 Proteção contra malware 6.9.2.

  • A.12.3 Copias de segurança / 6.9.3.

  • A.12.4 Registros e monitoramento / 6.9.4.

  • A.12.5 Controle de software operacional / 6.9.5.

  • A.12.6 Gestão de vulnerabilidades técnicas / 6.9.6.

  • A.12.7 Considerações quanto à auditoria de sistemas de informação / 6.9.7.

  • A.13 Segurança nas comunicações / 6.10.

  • A.13.1 Gerenciamento da segurança em redes / 6.10.1.

  • A.13.2 Transferência de informação / 6.10.2.

  • A.14 Aquisição, desenvolvimento e manutenção de sistemas / 6.10.3.

  • A.14.1 Requisitos de segurança de sistemas de informação

  • A.14.2 Segurança em processos de desenvolvimento e de suporte / 6.11.2.

  • A.14.3 Dados para teste

  • A.15 Relacionamento na cadeia de suprimento / 6.12.

  • A.15.1 Segurança da informação na cadeia de suprimento / 6.12.1.

  • A.15.2 Gerenciamento da entrega do serviço do fornecedor / 6.12.2.

  • A.16 Gestão de incidentes de segurança da informação / 6.13.

  • A.16.1 Gestão de incidentes de segurança da informação e melhorias / 6.13.1.

  • A.17 Aspectos da segurança da informação na gestão da continuidade do negócio / 6.14.

  • A.17.1 Continuidade da segurança da informação / 6.14.1.

  • A.17.2 Redundâncias / 6.14.2.

  • A.18 Conformidade / 6.15

  • A.18.1 Conformidade com requisitos legais e contratuais / 6.15.1.

  • A.18.2 Análise crítica de segurança da informação / 6.15.2

Anexo A e B - 27701

  • Condições para coleta e processamento

  • Identificação e documentação de propósito

  • Identificação de bases legais

  • Determinação de quando e como o consentimento será obtido

  • Obtenção e registro do consentimento

  • Análise de impacto de privacidade

  • Contrato com processadores de PII

  • Joint PII controller

  • Registros relacionados ao processamento de PII

  • Obrigações para com os PII principals

  • Determinando e cumprindo obrigações legais para com os PII principals

  • Determinando informações para os PII principals

  • Provendo informações para os PII principals

  • Provendo mecanismos para modificar ou retirar o consentimento

  • Provendo mecanismos para objeção de processamento de PII

  • Acesso, correção e/ou exclusão

  • Obrigações do PII controller de informar terceiros (third parties)

  • Provendo cópia de PII processada

  • Lidando com requisições

  • Tomada de decisção automatizada

  • Privacy by design e privacy by default

  • Limitação de coleta

  • Limitação de processamento

  • Exatidão e qualidade

  • Objetivos de minimização (anonimização e peudominização)

  • Desidentificação (anonimização e pseudonimização) e exclusão de PII ao final do processamento

  • Arquivos temporários

  • Retenção

  • Descarte

  • Controles de transmissão (envio) de PII

  • Compartilhamento, transferência e divulgação de PII

  • Identificação dos termos para transferência de PII entre jurisdições

  • Países e organizações internacionais para os quais PII podem ser transferidas

  • Registro de transferência de PII

  • Registro de divulgação de PII para terceiros (third parties)

  • Condições para coleta e processamento

  • Acordo com cliente (customer)

  • Propósito da organização

  • Uso para propaganda e marketing

  • Informação de violação de direitos

  • Obrigações do cliente (customer)

  • Registros relacionados ao processamento de PII

  • Obrigações para com os PII principals

  • Obrigações para com os PII principals

  • Privacy by design e privacy by default

  • Arquivos temporários

  • Retorno, transferência e descarte de PII

  • Controles de transmissão (envio) de PII

  • Compartilhamento, transferência e divulgação de PII

  • Identificação dos termos para transferência de PII entre jurisdições

  • Países e organizações internacionais para os quais PII podem ser transferidas

  • Registro de divulgação de PII para terceiros (third parties)

  • Notificação de requisições de divulgação de PII

  • Divulgação de PII por obrigação legal

  • Divulgação de subcontratados utilizados para processar PII

  • Envolvimento de um subcontratado no processamento de PII

  • Mudança de subcontratado para processamento de PII

The templates available in our Public Library have been created by our customers and employees to help get you started using SafetyCulture's solutions. The templates are intended to be used as hypothetical examples only and should not be used as a substitute for professional advice. You should seek your own professional advice to determine if the use of a template is permissible in your workplace or jurisdiction. You should independently determine whether the template is suitable for your circumstances.