Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurana da
Informao
Professor Andr L. N. Campos
Cerificado Auditor Lder BS7799
Fundamentos em auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Fundamentos em auditoria
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com Tecnologia da Informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
O objetivo de uma auditoria garantir a
efetividade dos processos e ativos de uma
determinada organizao.
A auditoria poder dedicar-se a comprovar a
eficcia, a comprovar a eficincia, ou a
comprovar a efetividade.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
Consiste basicamente da comparao do
estado dos processos e dos ativos contra um
critrio de auditoria.
Desta comparao, so possveis os
seguintes resultados:
Conforme
No conforme (Oportunidade de Melhoria)
Em ambos os casos, possvel haver
observaes.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
As conformidades e no conformidades so
aplicadas com base nas evidncias de
auditoria, ou seja, em registros, apresentao
de fatos ou outras informaes que
corroborem as evidncias.
A auditoria no pode ser baseada em opinies
ou avaliaes pessoais dos indivduos
envolvidos na auditoria.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
Os personagens de uma auditoria so o
auditado, que a organizao que recebe a
auditoria, os auditores, que so os que
realizam a auditoria, os especialistas, que so
as pessoas que fornecem conhecimento ou
experincia especficos para a equipe de
auditoria, e o cliente de auditoria, que nem
sempre o auditado; muito comum em caso
de qualificao de fornecedores.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
Para a realizao de uma auditoria,
importante haver um programa de auditoria
que preveja a realizao de diversas
auditorias, integradas ou no a outros
sistemas auditores, e para cada auditoria um
plano de auditoria. A equipe de auditores
precisa ter a competncia adequada para a
auditoria.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
Existem basicamente 3 tipos de auditoria;
Auditoria de primeira parte a auditoria
interna, que objetiva garantir a implementao
correta de controles.
Auditoria de segunda parte a auditoria
contratada para verificar se a auditoria interna
foi realizada adequadamente.
Auditoria de terceira parte a auditoria
contrata para aferir certificao com base em
determinado critrio de auditoria.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
Uma auditoria deve basear-se em alguns
elementos essenciais, que proporcionaro
confiabilidade a todo o processo.
importante que a auditoria seja pautada pela
tica, pela justia, pelo zlo profissional, pela
imparcialidade, e por uma abordagem
baseada em evidncias.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
A conduta tica do profissional de auditoria
far com que ele seja uma pessoa confivel,
ntegra, discreta e que mantm a
confidencialidade das informaes as quais
tem acesso.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
A apresentao justa refere-se a obrigao
de informar verazmente e precisamente a
respeito das constataes de auditoria, dos
relatrios e das concluses. Mesmo as
divergncias entre a equipe de auditoria e o
auditado que no forem resolvidas, devem ser
claramente relatadas.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
O cuidado profissional refere-se ao trabalho
zeloso e a aplicao do julgamento correto na
atividade de auditoria, considerando a
relevncia e a responsabilidade que um
auditor tem.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
A independncia refere-se ao trabalho
imparcial que deve ser realizado pela equipe
de auditoria. Para tanto, os auditores no
podem ser subordinados ou dependentes do
auditado direto.
Os auditores precisam manter a mente aberta
e estarem livres da tendncia de conflito de
interesses.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
A auditoria
A abordagem baseada em evidncias
refere-se ao mtodo cientfico para gerar as
concluses de auditoria, de modo que estas
sejam confiveis e reproduzveis.
A utilizao de amostragem aceitvel para
reduzir o tempo de auditoria, mas deve
garantir a confiabilidade necessria aos
resultados obtidos.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
Existem diversos critrios de auditoria,
dependendo do tipo da auditoria e dos
resultados esperados.
Um critrio de auditoria um conjunto de
polticas, procedimentos ou requisitos.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
A ISO 27.001 um critrio especfico para
auditorias de segurana da informao.
O objetivo deste critrio garantir que a
informao na organizao esteja preservada
quanto a sua confidencialidade,
disponibilidade e integridade.
Ela aborda temas tais como Poltica de
Segurana, Classificao da Informao,
Segurana Fsica, Segurana de Acesso
Lgico, Segurana em Sistemas, entre outros.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
A Sarbanes-Oxley (SARBOX / SOX) um
critrio especfico para auditorias de
segurana relacionadas com as atividades
financeiras da organizao.
Trata-se de uma lei americana criada por Paul
Sarbanes e Michael Oxley com o objetivo de
garantir transparncia das operaes
financeiras altamente baseadas em sistemas
de informao. Ela estabelece regras de
segurana e auditoria, que inclui a criao de
comits e comisses de superviso.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
Sarbanes-Oxley (SARBOX / SOX)
Seo
Seo 302
Seo 404
Seo 409
Requisitos
A seo Corporate
Responsibility for Financial
Reports determina que
CEOs e CFOs devem
assinar documentos
trimestralmente e
anualmente certificando
que seus relatrios
financeiros esto corretos
e precisos.
A seo management
assessment of internal
controls determina que a
organizao documente, teste
e relatorie sua estrutrua
interna de controles;
Auditories externos devem
atestar a qualidade destes
controles.
Aspectos
principais
Garante a existncia de
controles internos para os
sistemas finaceiros existentes
e outros grandes sistemas
corporativos.
Garante que o
monitoramento financeiro
est altamente
automatizado e suportado
por um grande nmero de
diferentes sistemas.
Principais
preocupaoes
dos executivos
Quem na organizao
responsvel por garantir a
integridade e a
disponibilidade dos
sistemas financeiros?
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
A metodologia ITIL um critrio especfico
itSMF, ou simplesmente, Gerenciamento de
servios de TI. Contm os seguintes livros:
Service Delivery, Service Support, The Business
Perspective - the IS View of Delivering Services to the
Business, Planning to Implement IT Service
Management, Software Asset Management, Security
Management, ITIL Small-scale Implementation,
Applications Management, ICT Infrastructure
Management, Gerenciamento de Servios de TI na
Prtica - Uma abordagem com base na ITIL
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
A metodologia COBIT um critrio especfico
para gesto de TI.
Grande foco no alinhamento estratgico, no
planejamento e acompanhamento dos planos
e retorno sobre os investimentos em
Tecnologia da Informao.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
A norma ISO 12.207 um critrio especfico
sobre o ciclo de vida do software.
A norma se preocupa com a aquisio ou
desenvolvimento do software, seu suporte
durante o perodo de uso, e os processos de
gesto e melhoria contnua.
H ainda foco na questo dos treinamentos e
infra necessrios para utilizao adequada do
software.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
A norma ISO 9.126 um critrio especfico
sobre a qualidade do software.
A norma se preocupa com aspectos tais como
funcionalidade adequada, confiabilidade,
usabilidade, eficincia, manutenibilidade, e
portabilidade.
A ISO 14.598 uma norma de apoio a
avaliao da qualidade de software.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
O modelo CMMI um critrio especfico para
a melhoria contnua do processo de
desenvolvimento de software.
Trata-se de um modelo de maturidade, ou
seja, que permite a organizao evoluir ao
passo que implementa os procedimentos
propostos.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Critrios de auditoria
Naturalmente existem outras normas e
metodologias que podem ser adotadas como
critrio de uma auditoria. As normas e
metodologias apresentadas neste documento
so meramente ilustrativos.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Auditor
Auditor Lder
Educao
Mnimo: nvel
mdio.
Idem.
Experincia
total
Experincia
especfica
Mnimo de 2
anos.
Idem.
Treinamento
em auditoria
40h.
Idem.
Experincia
em auditoria
4 auditorias,
mnimo 20
dias.
3 auditorias,
mnimo 15
dias, como
lder.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Programa de auditoria
Um programa de auditoria pode envolver
uma ou mais auditorias, e estas auditorias
pode ser combinadas ou em conjunto.
Quando diferentes sistemas de gesto
(qualidade, segurana da informao,
ambiente) so auditados juntos, isto
chamado de auditoria combinada.
Programa de auditoria
A aes fundamentais que contribuem para o
xito das estratgias de negcio da
organizao devem ser fortemente apoiadas e
patrocinadas pela Alta Direo.
No diferente no caso do programa de
auditoria em Tecnologia da Informao,
Segurana da Informao, Governana em TI,
Gesto de Servios em TI, ou qualquer outra
considerada estratgica.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Programa de auditoria
De fato, os programas de auditoria precisam
ser geridos, e para tal, a organizao deve
estabelecer um processo contnuo para este
fim.
Como todos os processos de qualidade, o de
auditoria tambm precisa garantir a melhoria
contnua, e para tanto, um ciclo P-D-C-A,
demonstrado no prximo slide.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Programa de auditoria
Existe uma norma especfica que estabelece
uma proposta de P-D-C-A para o programa de
auditoria.
Esta mesma norma prope uma metodologia
para as atividades de auditoria, e para as
competncias dos auditores.
Esta norma a NBR ISO 19.011 Diretrizes
para auditorias.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Monitorando e analisando
- Monitorao e anlise crtica
- Necessidade de aes corretivas
- Necessidade de aes
preventivas
- Oportunidades de melhoria
ACT
PLAN
Melhorando o programa de
auditoria
Estabelecendo o programa
- Objetivos e abrangncia
- Responsabilidades
- Recursos
- Procedimentos
CHECK
DO
Programa de auditoria
Implementando o programa
- Programando auditorias
- Avaliando auditores
- Selecionando equipes
- Dirigindo auditorias
- Mantendo registros
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Estabelecendo o programa
Um primeiro passo definir o objetivo do
programa de auditoria, que pode estar
relacionado com questes estratgicas,
aspectos comerciais, requisitos do prprio
SGSI, dos clientes, ou das leis e
regulamentos, entre outros.
Por exemplo, Satisfazer requisitos da norma
X, Conformidade com contratos, e Ober
confiana do cliente seriam objetivos
vlidos.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Estabelecendo o programa
Em seguida deve-se definir a
abrangncia deste programa, que ser
influenciado pelo tamanho e complexidade
da organizao, frequncia das auditorias,
requisitos normativos, preocupaes das
partes interessadas, mudanas
significativas na organizao, entre outros.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Estabelecendo o programa
O prximo passo definir as
responsabilidades do programa de
auditoria.
O programa de auditoria deve ser
gerenciado por um ou mais colaboradores
que compreendam os princpios de
auditoria, que possam avaliar os auditores,
e que tenham compreenso tcnica e
capacidade gerencial, especialmente da
gesto de projetos.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Estabelecendo o programa
Os recursos necessrios para o programa
de auditoria precisam ser reservados.
importante lembrar que os recursos se
referem no apenas aos aspectos
financeiros, mas tambm aos recursos
tcnicos, ao processo de obteno
manuteno das competncias dos
auditores, recursos humanos
(disponibilidade), tempo e dinheiro para
viagens, hospedagens e coisas do gnero.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Estabelecendo o programa
Os procedimentos de auditoria deve ser
definidos, e podem fazer parte da Poltica de
Segurana da Informao (PSI).
Devem abranger o planejamento das
auditorias, a manuteno das competncias,
a seleo das equipes, a realizao das
auditorias, as aes de acompanhamento, o
registro, a monitoramento do programa, e o
processo de comunicao com a Alta Direo
a respeito dos resultados.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Implementando o programa
Implementar o programa , de fato,
fazer acontecer tudo o que foi planejado.
Isto envolve comunicar as partes
interessadas, coordenar as auditorias,
avaliar continuamente a competncia
dos auditores, selecionar e monitorar as
equipes, garantir os recursos,
gerenciar o cronograma de auditoria,
analisar os riscos, e manter a
qualidade do programa.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Implementando o programa
Em qualquer processo de auditoria, os
registros so de fundamental
importncia. So a evidncia de que o
programa existe.
Sendo assim, so trs as principais
categorias de registro:
1 Relativos a auditoria;
2 Relativos a anlise crtica do
programa;
3 Relativos ao pessoal de auditoria.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Implementando o programa
Os registros relativos as auditorias
incluem:
1 - Planos de auditoria;
2 - Relatrios de auditoria;
3 - Relatrios de no conformidade;
4 - Relatrios de ao corretiva;
5 - Relatrios de acompanhamento.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Implementando o programa
Os registros relativos as anlise crtica
incluem:
1 Atas de reunio;
2 Registro de informaes consideradas;
3 Relatrio de propostas.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Implementando o programa
Os registros relativos a equipe de
auditoria incluem:
1 Competncia do auditor;
2 Avaliao de desempenho;
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Monitorando o programa
A prpria implementao do programa
precisa ser monitorada. Pode parecer
estranho, j que o programa criado para
auditar precisa tambm ser auditado.
As informaes obtidas neste
monitoramente devem ser estruturadas
de maneira didtica e repassadas para a
Alta Direo.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Monitorando o programa
Mas como monitorar a implantao de
um programa de auditoria?
O acompanhamento do cronograma de
implantao uma bom comeo. Os
resultados obtidos em termos de
documentos gerados, procedimentos
escritos, e implementados, devem ser
considerados.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Monitorando o programa
No entanto, um mtodo efetivo criar
indicadores de desempenho que
possam monitorar caractersticas tais
como:
A habilidade da equipe de auditoria em
implementar o plano de auditoria;
A conformidade com o programa de
auditoria e as programaes;
A realimentao dos clientes de auditoria,
auditados e auditores.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Melhorando o programa
O objetivo da anlise crtica do
programa de auditoria considerar
todas as informaes possveis a
respeito do programa, de modo que seja
possvel avaliar a situao atual, definir
uma situao futura desejada, e propor
melhorias que garantam o
preenchimento da lacuna entre a
situao atual e a desejada.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Melhorando o programa
A anlise crtica deve considerar, por
exemplo:
1 - resultados e tendncias apresentadas
pelo monitoramento;
2 - A conformidade com os
procedimentos;
3 - A evoluo de necessidades e
expectativas das partes interessadas;
4 - Os registros do programa de auditoria
(j mencionados);
5 - A consistncia no desempenho entre
equipes de auditoria.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Fundamentos em auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
PROJETOS DE AUDITORIA DE TI
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
PROJETOS DE AUDITORIA DE TI
Este material foi produzido como apoio didtico para disciplinas de
graduao e ps-graduao relacionadas com Tecnologia da Informao.
O uso permitido a todo e qualquer docente ou discente das referidas
disciplinas, ou correlatas, desde que sejam respeitados os direitos autorais,
ou seja, que os crditos sejam mantidos.
Este material no pode ser vendido. Seu uso permitido sem qualquer
custo.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Iniciando a auditoria
A auditoria conduzida por um lder, ou
auditor lder, que designado pelo gerente
responsvel pelo programa de auditoria.
Quando acontecem auditorias conjuntas
importante que as organizaes envolvidas na
auditoria cheguem a um consenso quanto a
que ser o auditor lder e qual ser sua
autoridade sobre a equipe de auditoria, que
neste caso ser mista.
Iniciando a auditoria
Cada auditoria deve possuir uma definio dos
objetivos, escopo e critrio de auditoria,
documentados. Os objetivos podem ser:
1 Avaliao de conformidade (compliance);
2 Avaliao da capacidade do Sistema de
Gesto;
3 Avaliao da eficcia do Sistema de
Gesto;
Iniciando a auditoria
O escopo da auditoria determina a
abrangncia e os limites da auditoria,
envolvendo inclusive os limites fsicos, da
estrutura hierrquica formal ou informal, dos
processos, e do perodo de auditoria.
O critrio de auditoria a referncia contra a
qual a conformidade ser determinada,
podendo ser polticas, normas, procedimentos,
leis, regulamentos, requisitos do Sistema de
Gesto, requisitos contratuais, entre outros.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Iniciando a auditoria
Os objetivos da auditoria so definidos pelo
cliente, e o escopo e critrio de auditoria so
acordados entre o cliente e o auditor lder.
Qualquer eventual mudana de objetivos,
escopo ou critrio aps o incio da auditoria,
deve ser devidamente documentado e
assinado pelo cliente e pelo auditor lder.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Iniciando a auditoria
importante, antes de executar um projeto de
auditoria, determinar a viabilidade deste
projeto.
Existem informaes suficientes para suportar
a auditoria? O auditado est disposto a
cooperar ou resistente ao processo? O
tempo e os recursos planejados so realmente
suficientes?
No vale a pena comear um projeto que no
poder ser concludo. O cliente, o auditado e o
auditor lder devem garantir a viabilidade.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Iniciando a auditoria
Aps o estudo de viabilidade, o prximo passo
definir a equipe de auditores. importante
que a equipe, coletivamente, possua os
conhecimentos e as habilidades necessrias
para conduzir a auditoria em questo. Devem
ser considerados aspectos tais como: a)
objetivos, escopo e critrio da auditoria; b) se
a auditoria simples, combinada ou conjunta;
c) requisitos legais, regulamentares,
certificaes, etc; d) a garantia de
independncia e imparcialidade; e) bom
relacionamento inter-pessoal do grupo); f) o
idioma da auditoria, se for o caso.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Iniciando a auditoria
Se a equipe de auditores no for suficiente
para garantir o conjunto de conhecimentos e
habilidades necessrias, ser necessrio
convidar (contratar) especialistas que
atendam a esta demanda.
Membros da equipe podero ser substitudos
a pedido do cliente ou do auditado, caso haja
conflito de interesses ou relato de conduta
inapropriada de um dos auditores ou
especialistas.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Iniciando a auditoria
No incio da auditoria, adequado que o
contato inicial com o cliente seja
estabelecido de maneira formal (apesar de no
ser obrigatrio), onde so definidos:
a) Canais de comunicao;
b) Confirmar a autoridade;
c) Detalhamento do projeto de auditoria;
d) Solicitao de acessos a informao;
e) Definio das regras de segurana fsica e
lgica pertinentes;
f) Explicitar se havero observadores e e guias.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
7 A alocao de recursos;
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
2 Organizar as visitas;
3 Garantir o respeito s normas e regras;
4 Testemunhar a auditoria;
5 Ajudar na coleta de informaes.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
A identificao das
conformidades, no
conformidades, e oportunidades
de melhoria so chamadas de
constataes da auditoria.
A equipe de auditoria, durante o
projeto, dever se reunir para
avaliar as constataes de
auditoria.
Analisar
criticamente
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Do mesmo modo, e
principalmente, as no
conformidades devem ser
registradas. Estas no
conformidades podem ser
graduadas, se for o caso.
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
Analisar
criticamente
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Coletar por
amostragem
Evidncias
da auditoria
Avaliar contra
critrio
Constataes
da auditoria
O objetivo da reunio :
1 Analisar todas as
constataes da auditoria, e
qualquer informao adicional;
2 Acordar sobre as concluses
da auditoria;
3 Preparar recomendaes (se
for o caso);
4 Discutir eventuais aes de
acompanhamento.
Analisar
criticamente
Concluses
da auditoria
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
O relatrio de auditoria
Ao final da auditoria o auditor lder
providenciar a elaborao do relatrio de
auditoria.
No h um modelo oficial para este tipo de
relatrio, mas importante que ele garanta um
registro completo, preciso, conciso e claro
da auditoria.
O relatrio de auditoria
Entre estes elementos podemos citar:
1 Os objetivos da auditoria;
2 O escopo da auditoria;
3 A identificao do cliente;
4 A identificao do auditor lder;
O relatrio de auditoria
Outras informaes opcionais:
1 O plano de auditoria;
2 Lista de representantes do auditado;
3 Resumo do processo de auditoria;
4 Retorno sobre o atendimento dos objetivos;
O relatrio de auditoria
Geralmente, o relatrio de auditoria
entregue em uma data posterior concluso
da mesma. Caso haja qualquer tipo de
atraso, isto deve ser informado ao cliente e
ao auditado e tambm constar como registro
no prprio relatrio.
Este relatrio de propriedade do cliente, e a
confidencialidade dele deve ser amplamente
respeitada.
Qualquer registro ou documento referente a
auditoria deve ser devolvido ou destrudo
completamente.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos
Concluindo a auditoria
Quando todas estas atividades foram realizadas
e o plano de auditoria seguido at o fim, a
auditoria data por encerrada.
Caso tenham havido contrataes de qualquer
tipo ou o estabelecimento de acordos para
viabilizar a realizao da auditoria, este o
momento para encerrar estes contratos e
acordos de maneira formal.
Todos os envolvidos, incluindo terceiros,
devero assinar termos de sigilo e
confidencialidade a fim de preservar o cliente e
o auditado.
Conhea este assunto a fundo no livro Sistema de Segurana da Informao Controlando o Riscos