☰
Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo
☾
Escuro
Avaliação
/
ISO/IEC 27001:2022
/
Perfil 2 — Intermediário
ISO/IEC 27001:2022 — Perfil 2 — Intermediário
83 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.
4
Cláusula 4 — Contexto da organização
4.1
Entender a organização e seu contexto (questões internas e externas relevantes).
Aplicado
Parcial
Não aplicado
Não se aplica
4.2
Entender as necessidades e expectativas das partes interessadas.
Aplicado
Parcial
Não aplicado
Não se aplica
4.3
Determinar o escopo do SGSI (limites e aplicabilidade).
Aplicado
Parcial
Não aplicado
Não se aplica
4.4
Estabelecer, implementar, manter e melhorar continuamente o SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
5
Cláusula 5 — Liderança
5.1
A alta direção demonstra liderança e comprometimento com o SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
5.2
Estabelecer uma política de segurança da informação adequada e comunicada.
Aplicado
Parcial
Não aplicado
Não se aplica
5.3
Definir papéis, responsabilidades e autoridades da segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
6
Cláusula 6 — Planejamento
6.1
Planejar ações para tratar riscos e oportunidades (processo de avaliação e tratamento de riscos).
Aplicado
Parcial
Não aplicado
Não se aplica
6.2
Definir objetivos de segurança da informação e planejar como alcançá-los.
Aplicado
Parcial
Não aplicado
Não se aplica
6.3
Planejar as mudanças no SGSI de forma controlada.
Aplicado
Parcial
Não aplicado
Não se aplica
7
Cláusula 7 — Apoio
7.1
Prover os recursos necessários ao SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
7.2
Garantir a competência das pessoas que afetam a segurança (formação/experiência).
Aplicado
Parcial
Não aplicado
Não se aplica
7.3
Assegurar que as pessoas tenham consciência da política e do seu papel na segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
7.4
Determinar as necessidades de comunicação interna e externa sobre o SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
7.5
Controlar a informação documentada exigida pelo SGSI (criar, atualizar, controlar).
Aplicado
Parcial
Não aplicado
Não se aplica
8
Cláusula 8 — Operação
8.1
Planejar e controlar os processos operacionais para atender aos requisitos de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
8.2
Realizar avaliações de risco de segurança em intervalos planejados e quando houver mudanças.
Aplicado
Parcial
Não aplicado
Não se aplica
8.3
Implementar o plano de tratamento de riscos de segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
9
Cláusula 9 — Avaliação de desempenho
9.1
Monitorar, medir, analisar e avaliar o desempenho e a eficácia do SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
9.2
Realizar auditorias internas periódicas do SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
9.3
Realizar análises críticas do SGSI pela alta direção.
Aplicado
Parcial
Não aplicado
Não se aplica
10
Cláusula 10 — Melhoria
10.1
Melhorar continuamente a adequação, suficiência e eficácia do SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
10.2
Tratar não conformidades e adotar ações corretivas.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5
A.5 — Controles organizacionais
A.5.1
Ter políticas de segurança da informação aprovadas, publicadas e comunicadas.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.2
Definir e atribuir papéis e responsabilidades de segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.3
Segregar funções conflitantes para reduzir fraude e erro.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.4
A direção exige e apoia a segurança conforme as políticas.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.5
Manter contato com autoridades relevantes (ex.: órgãos reguladores, polícia).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.8
Considerar segurança da informação na gestão de projetos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.9
Manter inventário de informações e ativos associados, com responsáveis.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.10
Definir e comunicar regras de uso aceitável dos ativos e da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.11
Garantir a devolução de ativos ao término do vínculo ou contrato.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.12
Classificar a informação conforme sensibilidade e criticidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.13
Rotular a informação de acordo com sua classificação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.14
Proteger a transferência de informação por qualquer meio.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.15
Estabelecer e aplicar regras de controle de acesso (menor privilégio).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.16
Gerir o ciclo de vida das identidades (criação, alteração, remoção).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.17
Proteger as informações de autenticação (senhas, chaves, segredos).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.18
Conceder, revisar e revogar direitos de acesso conforme a necessidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.19
Gerir riscos de segurança nas relações com fornecedores.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.20
Incluir requisitos de segurança nos contratos com fornecedores.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.22
Monitorar, revisar e gerir mudanças nos serviços de fornecedores.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.24
Planejar e preparar a gestão de incidentes de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.25
Avaliar eventos de segurança e decidir se são incidentes.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.26
Responder aos incidentes conforme procedimentos definidos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.27
Aprender com os incidentes para reduzir recorrência.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.29
Manter a segurança da informação durante interrupções/crises.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.30
Preparar a TIC para dar suporte à continuidade do negócio.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.31
Identificar e atender requisitos legais, regulatórios e contratuais.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.36
Verificar a conformidade com as políticas, regras e normas de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.37
Documentar os procedimentos operacionais de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6
A.6 — Controles de pessoas
A.6.1
Fazer triagem/verificação de antecedentes na contratação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.2
Incluir responsabilidades de segurança nos termos de emprego.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.3
Prover conscientização, educação e treinamento em segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.4
Ter processo disciplinar para violações de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.5
Definir responsabilidades de segurança após desligamento/mudança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.6
Firmar acordos de confidencialidade/não divulgação (NDA).
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.7
Proteger a informação no trabalho remoto.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.8
Ter canal para reportar eventos de segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7
A.7 — Controles físicos
A.7.1
Definir perímetros de segurança física para áreas com informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.2
Controlar a entrada física às instalações.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.3
Proteger escritórios, salas e instalações.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.4
Monitorar continuamente a segurança física (ex.: câmeras, alarmes).
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.7
Adotar política de mesa limpa e tela limpa.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.10
Gerir mídias de armazenamento com segurança durante o ciclo de vida.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.14
Descartar ou reutilizar equipamentos de forma segura (apagar dados).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8
A.8 — Controles tecnológicos
A.8.1
Proteger os dispositivos dos usuários (endpoints).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.2
Restringir e controlar direitos de acesso privilegiado.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.3
Restringir o acesso à informação conforme a política de acesso.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.5
Usar autenticação segura (ex.: MFA, políticas de senha).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.6
Gerir a capacidade dos recursos para garantir desempenho e disponibilidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.7
Proteger contra malware (antivírus/EDR e conscientização).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.8
Gerir vulnerabilidades técnicas (identificar e corrigir/patch).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.9
Gerir configurações seguras (baseline) de hardware e software.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.13
Fazer backups da informação e testar a restauração.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.15
Gerar e proteger logs de eventos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.16
Monitorar sistemas e redes para detectar comportamento anômalo.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.19
Controlar a instalação de software em sistemas operacionais.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.20
Proteger a segurança das redes.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.22
Segregar redes em domínios de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.23
Aplicar filtragem de acesso à web.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.24
Usar criptografia conforme uma política definida.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.32
Controlar mudanças em sistemas e aplicações (gestão de mudanças).
Aplicado
Parcial
Não aplicado
Não se aplica
Gerar relatório
Trocar de perfil