Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo

NIST CSF 2.0 — Perfil 2 — Intermediário

67 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.

GV GOVERN (Governar)

GV.OC-01 A missão da organização é compreendida e orienta as decisões de risco de segurança.
GV.OC-02 As partes interessadas (internas e externas) e suas expectativas de segurança são compreendidas.
GV.OC-03 Requisitos legais, regulatórios e contratuais de segurança e privacidade são compreendidos e geridos.
GV.PO-01 Existe política de gestão de risco de segurança baseada no contexto da organização.
GV.PO-02 A política de segurança é revisada, atualizada e comunicada periodicamente.
GV.RM-01 Objetivos de gestão de risco de segurança são definidos e acordados com as partes interessadas.
GV.RM-02 Declarações de apetite e tolerância a risco são estabelecidas, comunicadas e mantidas.
GV.RM-03 A gestão de risco cibernético faz parte da gestão de riscos corporativa (ERM).
GV.RM-04 Há direção estratégica com opções de resposta a risco, estabelecida e comunicada.
GV.RR-01 A liderança é responsável e presta contas pelo risco cibernético e promove cultura de segurança.
GV.RR-02 Papéis, responsabilidades e autoridades de segurança são definidos, comunicados e cobrados.
GV.RR-03 Recursos adequados são alocados de acordo com a estratégia de risco.
GV.RR-04 Segurança é incluída nas práticas de RH (admissão, mudança e desligamento).

ID IDENTIFY (Identificar)

ID.AM-01 Inventário do hardware gerenciado pela organização é mantido.
ID.AM-02 Inventário de software, serviços e sistemas é mantido.
ID.AM-05 Ativos são priorizados por classificação, criticidade e impacto no negócio.
ID.AM-07 Inventário de dados e metadados dos tipos de dados designados é mantido.
ID.AM-08 Ativos (sistemas, dados, software) são geridos por todo o seu ciclo de vida.
ID.IM-04 Planos de resposta a incidentes e de continuidade são estabelecidos, testados e mantidos.
ID.RA-01 Vulnerabilidades nos ativos são identificadas, validadas e registradas.
ID.RA-03 Ameaças internas e externas à organização são identificadas e registradas.
ID.RA-04 Impactos e probabilidades de ameaças explorarem vulnerabilidades são identificados.
ID.RA-05 Ameaças, vulnerabilidades, probabilidades e impactos são usados para entender o risco e priorizar.
ID.RA-06 Respostas a risco são escolhidas, priorizadas, planejadas, acompanhadas e comunicadas.
ID.RA-07 Mudanças e exceções são geridas, avaliadas quanto a risco e registradas.

PR PROTECT (Proteger)

PR.AA-01 Identidades e credenciais de usuários, serviços e dispositivos são geridas.
PR.AA-02 Identidades são comprovadas e vinculadas a credenciais conforme o risco.
PR.AA-03 Usuários, serviços e dispositivos são autenticados.
PR.AA-05 Permissões e acessos seguem política, menor privilégio e segregação de funções.
PR.AA-06 O acesso físico aos ativos é gerido, monitorado e controlado.
PR.AT-01 Todo o pessoal recebe conscientização e treinamento de segurança.
PR.AT-02 Pessoas em papéis especializados recebem treinamento específico.
PR.DS-01 Dados em repouso são protegidos em confidencialidade, integridade e disponibilidade (ex.: criptografia).
PR.DS-02 Dados em trânsito são protegidos (ex.: TLS).
PR.DS-11 Backups dos dados são criados, protegidos, mantidos e testados.
PR.IR-01 Redes e ambientes são protegidos contra acesso lógico não autorizado (segmentação, firewall).
PR.IR-03 Mecanismos de resiliência são implementados para operação normal e adversa.
PR.IR-04 Capacidade de recursos adequada para garantir disponibilidade é mantida.
PR.PS-01 Práticas de gestão de configuração (baseline segura) são estabelecidas e aplicadas.
PR.PS-02 Software é mantido e atualizado (patches) conforme o risco.
PR.PS-03 Hardware é mantido e substituído conforme o risco.
PR.PS-04 Registros de log são gerados e disponibilizados para monitoramento contínuo.
PR.PS-05 A instalação e execução de software não autorizado são impedidas.

DE DETECT (Detectar)

DE.AE-02 Eventos potencialmente adversos são analisados para entender a atividade associada.
DE.AE-03 Informações são correlacionadas a partir de múltiplas fontes.
DE.AE-04 O impacto e o escopo estimados dos eventos adversos são compreendidos.
DE.AE-08 Incidentes são declarados quando os eventos atendem aos critérios definidos.
DE.CM-01 Redes e serviços de rede são monitorados para encontrar eventos adversos.
DE.CM-09 Hardware, software, ambientes de execução e seus dados são monitorados.

RS RESPOND (Responder)

RS.AN-03 Análise é feita para estabelecer o que ocorreu durante o incidente.
RS.AN-08 A magnitude do incidente é estimada e validada.
RS.CO-02 Partes interessadas internas e externas são notificadas dos incidentes.
RS.CO-03 Informação é compartilhada com as partes interessadas designadas.
RS.MA-01 O plano de resposta a incidentes é executado, em coordenação com terceiros quando aplicável.
RS.MA-02 Relatos de incidentes são triados e validados.
RS.MA-03 Incidentes são categorizados e priorizados.
RS.MA-04 Incidentes são escalados ou elevados conforme necessário.
RS.MA-05 Os critérios para iniciar a recuperação de incidentes são aplicados.
RS.MI-01 Incidentes são contidos.
RS.MI-02 Incidentes são erradicados.

RC RECOVER (Recuperar)

RC.CO-03 As atividades de recuperação são comunicadas às partes interessadas internas e externas.
RC.RP-01 A parte de recuperação do plano de resposta a incidentes é executada.
RC.RP-02 Ações de recuperação são selecionadas, priorizadas e executadas.
RC.RP-03 A integridade dos backups é verificada antes da restauração.
RC.RP-04 Funções críticas do negócio são consideradas na priorização da recuperação.
RC.RP-05 A integridade dos ativos restaurados é verificada e a normalidade é confirmada.
RC.RP-06 O fim da recuperação é declarado por critérios e a documentação é concluída.
Trocar de perfil