Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

ISO/IEC 27001:2022 — Perfil 1 — Básico

40 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.

4 Cláusula 4 — Contexto da organização

4.1 Entender a organização e seu contexto (questões internas e externas relevantes).
4.4 Estabelecer, implementar, manter e melhorar continuamente o SGSI.

5 Cláusula 5 — Liderança

5.1 A alta direção demonstra liderança e comprometimento com o SGSI.
5.2 Estabelecer uma política de segurança da informação adequada e comunicada.
5.3 Definir papéis, responsabilidades e autoridades da segurança da informação.

6 Cláusula 6 — Planejamento

6.1 Planejar ações para tratar riscos e oportunidades (processo de avaliação e tratamento de riscos).
6.2 Definir objetivos de segurança da informação e planejar como alcançá-los.

7 Cláusula 7 — Apoio

7.2 Garantir a competência das pessoas que afetam a segurança (formação/experiência).
7.3 Assegurar que as pessoas tenham consciência da política e do seu papel na segurança.
7.5 Controlar a informação documentada exigida pelo SGSI (criar, atualizar, controlar).

8 Cláusula 8 — Operação

8.1 Planejar e controlar os processos operacionais para atender aos requisitos de segurança.
8.2 Realizar avaliações de risco de segurança em intervalos planejados e quando houver mudanças.
8.3 Implementar o plano de tratamento de riscos de segurança da informação.

9 Cláusula 9 — Avaliação de desempenho

9.1 Monitorar, medir, analisar e avaliar o desempenho e a eficácia do SGSI.

10 Cláusula 10 — Melhoria

10.2 Tratar não conformidades e adotar ações corretivas.

A.5 A.5 — Controles organizacionais

A.5.1 Ter políticas de segurança da informação aprovadas, publicadas e comunicadas.
A.5.2 Definir e atribuir papéis e responsabilidades de segurança da informação.
A.5.9 Manter inventário de informações e ativos associados, com responsáveis.
A.5.10 Definir e comunicar regras de uso aceitável dos ativos e da informação.
A.5.15 Estabelecer e aplicar regras de controle de acesso (menor privilégio).
A.5.16 Gerir o ciclo de vida das identidades (criação, alteração, remoção).
A.5.17 Proteger as informações de autenticação (senhas, chaves, segredos).
A.5.18 Conceder, revisar e revogar direitos de acesso conforme a necessidade.
A.5.31 Identificar e atender requisitos legais, regulatórios e contratuais.

A.6 A.6 — Controles de pessoas

A.6.3 Prover conscientização, educação e treinamento em segurança.
A.6.8 Ter canal para reportar eventos de segurança da informação.

A.7 A.7 — Controles físicos

A.7.1 Definir perímetros de segurança física para áreas com informação.
A.7.2 Controlar a entrada física às instalações.
A.7.14 Descartar ou reutilizar equipamentos de forma segura (apagar dados).

A.8 A.8 — Controles tecnológicos

A.8.1 Proteger os dispositivos dos usuários (endpoints).
A.8.2 Restringir e controlar direitos de acesso privilegiado.
A.8.5 Usar autenticação segura (ex.: MFA, políticas de senha).
A.8.7 Proteger contra malware (antivírus/EDR e conscientização).
A.8.8 Gerir vulnerabilidades técnicas (identificar e corrigir/patch).
A.8.9 Gerir configurações seguras (baseline) de hardware e software.
A.8.13 Fazer backups da informação e testar a restauração.
A.8.15 Gerar e proteger logs de eventos.
A.8.19 Controlar a instalação de software em sistemas operacionais.
A.8.20 Proteger a segurança das redes.
A.8.24 Usar criptografia conforme uma política definida.
Trocar de perfil