☰
Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo
☾
Escuro
Avaliação
/
ISO/IEC 27001:2022
/
Perfil 3 — Avançado
ISO/IEC 27001:2022 — Perfil 3 — Avançado
116 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.
4
Cláusula 4 — Contexto da organização
4.1
Entender a organização e seu contexto (questões internas e externas relevantes).
Aplicado
Parcial
Não aplicado
Não se aplica
4.2
Entender as necessidades e expectativas das partes interessadas.
Aplicado
Parcial
Não aplicado
Não se aplica
4.3
Determinar o escopo do SGSI (limites e aplicabilidade).
Aplicado
Parcial
Não aplicado
Não se aplica
4.4
Estabelecer, implementar, manter e melhorar continuamente o SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
5
Cláusula 5 — Liderança
5.1
A alta direção demonstra liderança e comprometimento com o SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
5.2
Estabelecer uma política de segurança da informação adequada e comunicada.
Aplicado
Parcial
Não aplicado
Não se aplica
5.3
Definir papéis, responsabilidades e autoridades da segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
6
Cláusula 6 — Planejamento
6.1
Planejar ações para tratar riscos e oportunidades (processo de avaliação e tratamento de riscos).
Aplicado
Parcial
Não aplicado
Não se aplica
6.2
Definir objetivos de segurança da informação e planejar como alcançá-los.
Aplicado
Parcial
Não aplicado
Não se aplica
6.3
Planejar as mudanças no SGSI de forma controlada.
Aplicado
Parcial
Não aplicado
Não se aplica
7
Cláusula 7 — Apoio
7.1
Prover os recursos necessários ao SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
7.2
Garantir a competência das pessoas que afetam a segurança (formação/experiência).
Aplicado
Parcial
Não aplicado
Não se aplica
7.3
Assegurar que as pessoas tenham consciência da política e do seu papel na segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
7.4
Determinar as necessidades de comunicação interna e externa sobre o SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
7.5
Controlar a informação documentada exigida pelo SGSI (criar, atualizar, controlar).
Aplicado
Parcial
Não aplicado
Não se aplica
8
Cláusula 8 — Operação
8.1
Planejar e controlar os processos operacionais para atender aos requisitos de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
8.2
Realizar avaliações de risco de segurança em intervalos planejados e quando houver mudanças.
Aplicado
Parcial
Não aplicado
Não se aplica
8.3
Implementar o plano de tratamento de riscos de segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
9
Cláusula 9 — Avaliação de desempenho
9.1
Monitorar, medir, analisar e avaliar o desempenho e a eficácia do SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
9.2
Realizar auditorias internas periódicas do SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
9.3
Realizar análises críticas do SGSI pela alta direção.
Aplicado
Parcial
Não aplicado
Não se aplica
10
Cláusula 10 — Melhoria
10.1
Melhorar continuamente a adequação, suficiência e eficácia do SGSI.
Aplicado
Parcial
Não aplicado
Não se aplica
10.2
Tratar não conformidades e adotar ações corretivas.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5
A.5 — Controles organizacionais
A.5.1
Ter políticas de segurança da informação aprovadas, publicadas e comunicadas.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.2
Definir e atribuir papéis e responsabilidades de segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.3
Segregar funções conflitantes para reduzir fraude e erro.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.4
A direção exige e apoia a segurança conforme as políticas.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.5
Manter contato com autoridades relevantes (ex.: órgãos reguladores, polícia).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.6
Manter contato com grupos especializados e fóruns de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.7
Coletar e usar inteligência de ameaças para antecipar riscos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.8
Considerar segurança da informação na gestão de projetos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.9
Manter inventário de informações e ativos associados, com responsáveis.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.10
Definir e comunicar regras de uso aceitável dos ativos e da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.11
Garantir a devolução de ativos ao término do vínculo ou contrato.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.12
Classificar a informação conforme sensibilidade e criticidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.13
Rotular a informação de acordo com sua classificação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.14
Proteger a transferência de informação por qualquer meio.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.15
Estabelecer e aplicar regras de controle de acesso (menor privilégio).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.16
Gerir o ciclo de vida das identidades (criação, alteração, remoção).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.17
Proteger as informações de autenticação (senhas, chaves, segredos).
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.18
Conceder, revisar e revogar direitos de acesso conforme a necessidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.19
Gerir riscos de segurança nas relações com fornecedores.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.20
Incluir requisitos de segurança nos contratos com fornecedores.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.21
Gerir a segurança ao longo da cadeia de suprimentos de TIC.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.22
Monitorar, revisar e gerir mudanças nos serviços de fornecedores.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.23
Definir e aplicar requisitos de segurança para uso de serviços em nuvem.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.24
Planejar e preparar a gestão de incidentes de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.25
Avaliar eventos de segurança e decidir se são incidentes.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.26
Responder aos incidentes conforme procedimentos definidos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.27
Aprender com os incidentes para reduzir recorrência.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.28
Coletar e preservar evidências de incidentes de forma íntegra.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.29
Manter a segurança da informação durante interrupções/crises.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.30
Preparar a TIC para dar suporte à continuidade do negócio.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.31
Identificar e atender requisitos legais, regulatórios e contratuais.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.32
Proteger direitos de propriedade intelectual e uso de licenças.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.33
Proteger registros contra perda, destruição e falsificação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.34
Proteger a privacidade e os dados pessoais (PII) conforme a lei.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.35
Realizar revisão independente da segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.36
Verificar a conformidade com as políticas, regras e normas de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.5.37
Documentar os procedimentos operacionais de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6
A.6 — Controles de pessoas
A.6.1
Fazer triagem/verificação de antecedentes na contratação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.2
Incluir responsabilidades de segurança nos termos de emprego.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.3
Prover conscientização, educação e treinamento em segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.4
Ter processo disciplinar para violações de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.5
Definir responsabilidades de segurança após desligamento/mudança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.6
Firmar acordos de confidencialidade/não divulgação (NDA).
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.7
Proteger a informação no trabalho remoto.
Aplicado
Parcial
Não aplicado
Não se aplica
A.6.8
Ter canal para reportar eventos de segurança da informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7
A.7 — Controles físicos
A.7.1
Definir perímetros de segurança física para áreas com informação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.2
Controlar a entrada física às instalações.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.3
Proteger escritórios, salas e instalações.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.4
Monitorar continuamente a segurança física (ex.: câmeras, alarmes).
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.5
Proteger contra ameaças físicas e ambientais (fogo, enchente, etc.).
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.6
Definir regras para trabalhar em áreas seguras.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.7
Adotar política de mesa limpa e tela limpa.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.8
Posicionar e proteger equipamentos contra riscos e acessos indevidos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.9
Proteger ativos usados fora das instalações.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.10
Gerir mídias de armazenamento com segurança durante o ciclo de vida.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.11
Proteger utilidades de suporte (energia, refrigeração, telecom).
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.12
Proteger o cabeamento de energia e de dados.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.13
Manter os equipamentos corretamente para garantir disponibilidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.7.14
Descartar ou reutilizar equipamentos de forma segura (apagar dados).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8
A.8 — Controles tecnológicos
A.8.1
Proteger os dispositivos dos usuários (endpoints).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.2
Restringir e controlar direitos de acesso privilegiado.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.3
Restringir o acesso à informação conforme a política de acesso.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.4
Controlar o acesso ao código-fonte.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.5
Usar autenticação segura (ex.: MFA, políticas de senha).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.6
Gerir a capacidade dos recursos para garantir desempenho e disponibilidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.7
Proteger contra malware (antivírus/EDR e conscientização).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.8
Gerir vulnerabilidades técnicas (identificar e corrigir/patch).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.9
Gerir configurações seguras (baseline) de hardware e software.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.10
Excluir informação quando não for mais necessária.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.11
Mascarar dados sensíveis conforme necessário.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.12
Prevenir vazamento de dados (DLP).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.13
Fazer backups da informação e testar a restauração.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.14
Ter redundância dos recursos de processamento para disponibilidade.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.15
Gerar e proteger logs de eventos.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.16
Monitorar sistemas e redes para detectar comportamento anômalo.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.17
Sincronizar os relógios dos sistemas (para correlação de logs).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.18
Restringir o uso de programas utilitários privilegiados.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.19
Controlar a instalação de software em sistemas operacionais.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.20
Proteger a segurança das redes.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.21
Definir e garantir a segurança dos serviços de rede.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.22
Segregar redes em domínios de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.23
Aplicar filtragem de acesso à web.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.24
Usar criptografia conforme uma política definida.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.25
Adotar um ciclo de desenvolvimento seguro (Secure SDLC).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.26
Definir requisitos de segurança para as aplicações.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.27
Aplicar princípios de arquitetura e engenharia seguras.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.28
Adotar práticas de codificação segura.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.29
Fazer testes de segurança no desenvolvimento e na aceitação.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.30
Supervisionar a segurança no desenvolvimento terceirizado.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.31
Separar os ambientes de desenvolvimento, teste e produção.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.32
Controlar mudanças em sistemas e aplicações (gestão de mudanças).
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.33
Proteger as informações usadas como dados de teste.
Aplicado
Parcial
Não aplicado
Não se aplica
A.8.34
Proteger sistemas durante testes de auditoria.
Aplicado
Parcial
Não aplicado
Não se aplica
Gerar relatório
Trocar de perfil