☰
Governança, risco e compliance em português · gratuito, sem cadastro e nada é salvo
☾
Escuro
Avaliação
/
NIST CSF 2.0
/
Perfil 2 — Intermediário
NIST CSF 2.0 — Perfil 2 — Intermediário
67 controles. Marque a situação de cada um; o painel à direita mostra sua nota em tempo real.
GV
GOVERN (Governar)
GV.OC-01
A missão da organização é compreendida e orienta as decisões de risco de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.OC-02
As partes interessadas (internas e externas) e suas expectativas de segurança são compreendidas.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.OC-03
Requisitos legais, regulatórios e contratuais de segurança e privacidade são compreendidos e geridos.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.PO-01
Existe política de gestão de risco de segurança baseada no contexto da organização.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.PO-02
A política de segurança é revisada, atualizada e comunicada periodicamente.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RM-01
Objetivos de gestão de risco de segurança são definidos e acordados com as partes interessadas.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RM-02
Declarações de apetite e tolerância a risco são estabelecidas, comunicadas e mantidas.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RM-03
A gestão de risco cibernético faz parte da gestão de riscos corporativa (ERM).
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RM-04
Há direção estratégica com opções de resposta a risco, estabelecida e comunicada.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RR-01
A liderança é responsável e presta contas pelo risco cibernético e promove cultura de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RR-02
Papéis, responsabilidades e autoridades de segurança são definidos, comunicados e cobrados.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RR-03
Recursos adequados são alocados de acordo com a estratégia de risco.
Aplicado
Parcial
Não aplicado
Não se aplica
GV.RR-04
Segurança é incluída nas práticas de RH (admissão, mudança e desligamento).
Aplicado
Parcial
Não aplicado
Não se aplica
ID
IDENTIFY (Identificar)
ID.AM-01
Inventário do hardware gerenciado pela organização é mantido.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.AM-02
Inventário de software, serviços e sistemas é mantido.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.AM-05
Ativos são priorizados por classificação, criticidade e impacto no negócio.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.AM-07
Inventário de dados e metadados dos tipos de dados designados é mantido.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.AM-08
Ativos (sistemas, dados, software) são geridos por todo o seu ciclo de vida.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.IM-04
Planos de resposta a incidentes e de continuidade são estabelecidos, testados e mantidos.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.RA-01
Vulnerabilidades nos ativos são identificadas, validadas e registradas.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.RA-03
Ameaças internas e externas à organização são identificadas e registradas.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.RA-04
Impactos e probabilidades de ameaças explorarem vulnerabilidades são identificados.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.RA-05
Ameaças, vulnerabilidades, probabilidades e impactos são usados para entender o risco e priorizar.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.RA-06
Respostas a risco são escolhidas, priorizadas, planejadas, acompanhadas e comunicadas.
Aplicado
Parcial
Não aplicado
Não se aplica
ID.RA-07
Mudanças e exceções são geridas, avaliadas quanto a risco e registradas.
Aplicado
Parcial
Não aplicado
Não se aplica
PR
PROTECT (Proteger)
PR.AA-01
Identidades e credenciais de usuários, serviços e dispositivos são geridas.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.AA-02
Identidades são comprovadas e vinculadas a credenciais conforme o risco.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.AA-03
Usuários, serviços e dispositivos são autenticados.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.AA-05
Permissões e acessos seguem política, menor privilégio e segregação de funções.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.AA-06
O acesso físico aos ativos é gerido, monitorado e controlado.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.AT-01
Todo o pessoal recebe conscientização e treinamento de segurança.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.AT-02
Pessoas em papéis especializados recebem treinamento específico.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.DS-01
Dados em repouso são protegidos em confidencialidade, integridade e disponibilidade (ex.: criptografia).
Aplicado
Parcial
Não aplicado
Não se aplica
PR.DS-02
Dados em trânsito são protegidos (ex.: TLS).
Aplicado
Parcial
Não aplicado
Não se aplica
PR.DS-11
Backups dos dados são criados, protegidos, mantidos e testados.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.IR-01
Redes e ambientes são protegidos contra acesso lógico não autorizado (segmentação, firewall).
Aplicado
Parcial
Não aplicado
Não se aplica
PR.IR-03
Mecanismos de resiliência são implementados para operação normal e adversa.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.IR-04
Capacidade de recursos adequada para garantir disponibilidade é mantida.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.PS-01
Práticas de gestão de configuração (baseline segura) são estabelecidas e aplicadas.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.PS-02
Software é mantido e atualizado (patches) conforme o risco.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.PS-03
Hardware é mantido e substituído conforme o risco.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.PS-04
Registros de log são gerados e disponibilizados para monitoramento contínuo.
Aplicado
Parcial
Não aplicado
Não se aplica
PR.PS-05
A instalação e execução de software não autorizado são impedidas.
Aplicado
Parcial
Não aplicado
Não se aplica
DE
DETECT (Detectar)
DE.AE-02
Eventos potencialmente adversos são analisados para entender a atividade associada.
Aplicado
Parcial
Não aplicado
Não se aplica
DE.AE-03
Informações são correlacionadas a partir de múltiplas fontes.
Aplicado
Parcial
Não aplicado
Não se aplica
DE.AE-04
O impacto e o escopo estimados dos eventos adversos são compreendidos.
Aplicado
Parcial
Não aplicado
Não se aplica
DE.AE-08
Incidentes são declarados quando os eventos atendem aos critérios definidos.
Aplicado
Parcial
Não aplicado
Não se aplica
DE.CM-01
Redes e serviços de rede são monitorados para encontrar eventos adversos.
Aplicado
Parcial
Não aplicado
Não se aplica
DE.CM-09
Hardware, software, ambientes de execução e seus dados são monitorados.
Aplicado
Parcial
Não aplicado
Não se aplica
RS
RESPOND (Responder)
RS.AN-03
Análise é feita para estabelecer o que ocorreu durante o incidente.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.AN-08
A magnitude do incidente é estimada e validada.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.CO-02
Partes interessadas internas e externas são notificadas dos incidentes.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.CO-03
Informação é compartilhada com as partes interessadas designadas.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.MA-01
O plano de resposta a incidentes é executado, em coordenação com terceiros quando aplicável.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.MA-02
Relatos de incidentes são triados e validados.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.MA-03
Incidentes são categorizados e priorizados.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.MA-04
Incidentes são escalados ou elevados conforme necessário.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.MA-05
Os critérios para iniciar a recuperação de incidentes são aplicados.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.MI-01
Incidentes são contidos.
Aplicado
Parcial
Não aplicado
Não se aplica
RS.MI-02
Incidentes são erradicados.
Aplicado
Parcial
Não aplicado
Não se aplica
RC
RECOVER (Recuperar)
RC.CO-03
As atividades de recuperação são comunicadas às partes interessadas internas e externas.
Aplicado
Parcial
Não aplicado
Não se aplica
RC.RP-01
A parte de recuperação do plano de resposta a incidentes é executada.
Aplicado
Parcial
Não aplicado
Não se aplica
RC.RP-02
Ações de recuperação são selecionadas, priorizadas e executadas.
Aplicado
Parcial
Não aplicado
Não se aplica
RC.RP-03
A integridade dos backups é verificada antes da restauração.
Aplicado
Parcial
Não aplicado
Não se aplica
RC.RP-04
Funções críticas do negócio são consideradas na priorização da recuperação.
Aplicado
Parcial
Não aplicado
Não se aplica
RC.RP-05
A integridade dos ativos restaurados é verificada e a normalidade é confirmada.
Aplicado
Parcial
Não aplicado
Não se aplica
RC.RP-06
O fim da recuperação é declarado por critérios e a documentação é concluída.
Aplicado
Parcial
Não aplicado
Não se aplica
Gerar relatório
Trocar de perfil