LINKS

• A.5
• A.6
• A.7
• A.8
• A.9
• A.10
• A.11
• A.12
• A.13
• A.14
• A.15

• GRÁFICO
 LINKS

• Geral
• Premissa
POLÍTICA DE SEGURANÇA
ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO
GESTÃO DE ATIVOS
SEGURANÇA EM RECURSOS HUMANOS
Segurança física e do ambiente
Gerenciamento das operações e comunicações
Controle de acessos
Aquisição, desenvolvimento e manutenção de sistemas de informação
Gestão de incidentes de segurança da informação
Gestão da continuidade do negócio
Conformidade
• RESULTADO
• GRÁFICO
 1 1 Existem políticas de segurança escritas?
2 2 As políticas são formalmente aprovadas pela direção?
Um documento da política de segurança da 3 2 A política de segurança é publicada?
Documento da política
informação deve ser aprovado pela direção,
A. 5.1.1 de segurança da
publicado e comunicado para todos os
4 3 O usuário tem fácil acesso a política de segurança?
informação 5 4 A política foi comunicada a todos os usuários?
funcionários e partes externas relevantes.
6 5 Existe um plano de divulgação das políticas de segurança?
7 6 A política foi comunicada as partes externas?
8 1 A política expressa as preocupações da direção e estabelece as diretrizes básicas para a gestão da segurança da informação?
A política de segurança da informação deve
ser analisada criticamente a intervalos 9 2 Existe um gestor formalmente designado como responsável pela manutenção e análises críticas das políticas?
Análise crítica da
planejados ou quando mudanças É realizada a análise crítica como decorrência de qualquer mudança que venha afetar a avaliação de risco original? (Exemplos: Incidentes de
A. 5.1.2 política de segurança
significativas ocorrerem, para assegurar a
10 3
segurança significativos, novas vulnerabilidades ou mudanças organizacionais ou na infra-estrutura técnica, entre outras.)
da informação
sua contínua pertinência, adequação e 11 4 Existe um planejamento de realizar uma análise crítica das politicas periódicamente a intervalos regulares?
eficácia. 12 5 O processo de análise crítica verifica as políticas de segurança quanto a sua pertinência, adequação e eficácia?
segurança da informação dentro da
Comprometimento da organização, por meio de um claro 13 1 A direção apoia ativamente a segurança da informação?
direção direcionamento, demonstrando o seu 14 2 Existe um documento formal onde a direção se compromete a apoiar a segurança da informação?
A. 6.1.1 com a segurança da comprometimento, definindo atribuições de 15 3 A direção definiu atribuições e responsabilidades pela segurança da informação?
informação forma explícita e conhecendo as 16 4 É estabelecida pela direção uma estrutura para iniciar e gerenciar a segurança da informação dentro da organização?
responsabilidades
devem ser pela segurança da 17 1 Foi criado um Fórum de Segurança multifuncional, com membros do corpo administrativo, da direção e representantes de setores diversos?
Coordenação da
coordenadas por representantes de
A. 6.1.2 segurança
diferentes partes da
18 2 Existe um coordenador geral formalmente designado como responsável pela segurança da informação?
da informação 19 3 Existem coordenadores de segurança da informação em cada setor da organização?
organização, com funções e papéis
Atribuição de 20 1 As atribuições e responsabilidades para a segurança da informação estão documentadas?
Todas as responsabilidades pela segurança 21 2 Todas as responsabilidades estão claramente definidas?
responsabilidades para
A. 6.1.3 a segurança da
da informação
22 3 Os responsáveis possuem conhecimento das suas responsabilidades?
devem estar claramente definidas.
informação 23 Estão definidas as responsabilidades pela proteção de cada ativo e pelo cumprimento dos processos de segurança?
Processo de Deve ser definido e implementado um 24 1 Existe um processo formal de autorização de novos recursos de processamento da informação?
autorização para processo de gestão de 25 2 O responsável pela segurança da informação também participa do processo de autorização de novos recursos?
A. 6.1.4 os recursos de autorização para novos recursos de
26 3
O processo de autorização preve que os novos hardware e software sejam verificados para garantir a compatibilidade com outros componentes do
processamento da processamento da sistema?
informação informação. 27 4 Existe um processo documentado para autorização do uso de recursos de processamento de informações pessoais (notebook, PDA)?
28 1 Existem acordos de confidencialidade para a proteção das informações críticas?
29 2 O acordo de confidencialidade define a informação a ser protegida?
30 3 É previsto o prazo de vigência do acordo?
Um documento da política de segurança da 31 4 Estão previstas as ações necessárias quando o acordo for encerrado?
Acordos de informação dece ser aprovado pela direção, 32 5 O acordo descreve as responsabilidades e ações dos signatários?
A. 6.1.5 confidencialidade publicado e comunicado para todos os 33 6 O acordo descreve como e por que deve ser o uso da informação protegida pelo acordo?
funcionários e partes externas relevantes. 34 7 Existe um processo documentado para a notificação e relato de divulgação não autorizada?
35 8 O acordo cita o direito de auditar e monitorar as atividades que envolvem as informações confidenciais?
36 9 O acordo é endossado pela área jurídica?
37 10 Existe um processo formal de revisão dos acordos de confidencialidade?
Contatos apropriados com autoridades 38 1 Existem procedimentos documentados de quem, como e em quais situações são mantidos contatos com autoridades?
Contato com
A. 6.1.6 autoridades relevantes devem ser
39 2 Existe uma relação relacionando as autoridades com quem se deve entrar em contato?
mantidos. especiais ou
interesses 40 1 Existe um procedimento de contato com algum CTIR?
Contato com grupos outros fóruns especializados de segurança
A. 6.1.7 especiais da informação e
41 2 Existe a participação em algum grupo ou forum relacionado a segurança da informação?
informação
associações e a sua implementação
profissionais devem (porser 42 3 Existe um procedimento formal de recebimento prévio de alertas de segurança?
exemplo, controles, Existe u processo documentado para análise crítica independente da organização para gerenciar a segurança da informação e a sua
43 1
objetivo dos controles, políticas, processos e implementação?
Análise crítica procedimentos 44 2 Estão previstas neste processo a avaliação de oportunidades para melhoria e a necessidade de mudanças?
independente para a segurança da informação) deve ser
A. 6.1.8 de segurança da analisado
45 3 A análise crítica é realizada por pessoal independente da área avaliada?
informação criticamente, de forma independente, a 46 4 Os resultados da análise crítica estão registrados e arquivados?
intervalos planejados, 47 5 A direção tomou conhecimento dos resultados?
ou quando ocorrerem mudanças 48 6 A direção fez e implementou um plano para as ações corretivas necessárias?
significativas relativas à 49 1 É realizada uma análise de risco para identificar os riscos relacionados com partes externas?
Os riscos para os recursos de 50 2 Os recursos de processamento que uma parte externa esteja autorizada a acessar foram levantados e identificados?
processamento da informação e O processo e o tipo de acesso que a parte externa terá aos recursos de processamento da informação e à informação estão identificados e
para a informação da organização oriundos 51 3
Identificação dos riscos documentados?
de processos do 52 4 Existe um registro atualizado das pessoas da parte externa envolvidos no manuseio das informações da organização?
relacionados com
A. 6.2.1 partes
negócio que envolvam as partes externas
53 5 São adotados controles e procedimentos necessários para proteger a informação que não deve ser acessada pelas partes externas?
devem ser
externas 54 6 Existem práticas e procedimentos para tratar incidentes de segurança da informação e danos potenciais que envolvam as partes externas?
identificados e controles apropriados devem
ser implementados Estão documentadas as diferentes formas e controles empregados pela parte externa quando estiver armazenando, processando, comunicando,
55 7
antes de se conceder o acesso. compartilhando e repassando informações?
Identificando a 56 8 Existe um contrato assinado regulando e definindo os termos e condições para a conexão ou acesso e os preparativos para o trabalho?
informação identificados 57 1 Existem processos e procedimentos para contemplar a segurança da informação ao conceder acesso aos clientes?
segurança da
devem ser considerados antes de conceder
A. 6.2.2 informação quando
aos clientes o
58 2 Existe uma política de controle documentado e divulgada para realizar o controle de acesso dos clientes?
tratando 59 3 Existe u processo para revogar ou interromper o acesso dos clientes?
acesso aos ativos ou às informações da
com os clientes.
Identificando segurança de processamento da informação ou da 60 1 Existe acordos com terceiros regulando e definindo os processos e procedimentos de segurança da informação para terceiros?
da informação da 61 2 Existe um plano de treinamento de terceiros?
A. 6.2.3 informação nos organização, ou o acréscimo de produtos ou
62 3 Existe um controle de participação no treinamento?
acordos com serviços aos
terceiros recursososde ativos
Todos processamento
devem serda informação
claramente 63 4 Existe uma política de controle de acesso físico e lógico de terceiros?
identificados e um 64 1 A organização possui um inventário atualizado e documentado de todos os ativos?
A. 7.1.1 Inventário dos ativos inventário de todos os ativos importantes 65 2 Existe um processo de atualização do inventário?
deve ser estruturado 66 3 Todos os ativos são identificados?
com os recursos de
e mantido.
processamento da informação devem ter um 67 1 A organização tem formalmente designado um proprietário para cada ativo?
A. 7.1.2 Proprietário dos ativos "proprietário" 68 2 O proprietário designado, periódicamente analisa criticamente as classificações e restrições ao acesso do ativo?
designado por uma parte definida da
implementadas 69 1 Existem formalmente políticas de uso aceitável?
regras para que seja permitido o uso de 70 2 Existe uma política de uso da internet no ambiente corporativo?
Uso aceitável dos
A. 7.1.3 ativos
informações e de
71 3 Existe uma política de uso do correio eletronico no ambiente corporativo?
ativos associados aos recursos de
processamento da 72 4 Existe uma política de uso de dispositivos móveis no ambiente corporativo?

A informação deve ser classificada em 73 1 Existe uma política documentada e formal de classificação das informações?
Recomendações para termos do seu valor,
A. 7.2.1 classificação requisitos legais, sensibilidade e criticidade
para a organização. 74 2 A classificação das informações é realizada pelo proprietário?

Um conjunto apropriado de procedimentos

para rotular e tratar
Rótulos e tratamento da a informação deve ser definido e
A. 7.2.2 informação implementado de acordo com
75 1 Existem procedimentos documentados para o tratamento/manuseio de informações classificadas?
o esquema de classificação adotado pela
organização.
Os papéis e responsabilidades pela 76 1 Os papéis e responsabilidades dos funcionários pela segurança da informação estão definidos e documentados?
A. 8.1.1 segurança da informação 77 2 Os papéis e responsabilidades dos fornecedores pela segurança da informação estão definidos e documentados?
de funcionários, fornecedores e terceiros 78 3 Os papéis e responsabilidades dos terceiros pela segurança da informação estão definidos e documentados?
Papéis e
devem ser definidos e
responsabilidades 79 Durante o processo de pré-contratação os papéis e responsabilidades são definidos e claramente comunicado aos candidadtos?
documentados de acordo com a política de
segurança da na descrição dos papéis e responsabilidades estão definidos os requisitos para a proteção dos ativos contra acesso não autorizado, divulgação,
80
informaçãode
realizadas daacordo
organização.
com modificação, destruição ou interferência?
as leis relevantes, regulamentações e 81 1 Existe um processo formalizado para a realização de verificações de controle durante o processo de seleção de funcionários?
A. 8.1.2 Seleção éticas, e 82 2 A organização possui um processo de seleção para fornecedores e terceiro?
Como parte
proporcionalmente das aossuasrequisitos
obrigações
do
contratuais, os funcionários, Todos os funcionários que tenham acesso à informações sensiveis assinam um termo de confidencialidade ou de não divulgação no ato de sua
83 1
contratação?
fornecedores e terceiros devem concordar e
assinar os termos Todos os fornecedores que tenham acesso à informações sensiveis assinam um termo de confidencialidade ou de não divulgação no ato de sua
Termos e condições de 84 2
A. 8.1.3 contratação e condições de sua contratação para o contratação?
trabalho, os quais Todos os terceiros que tenham acesso à informações sensiveis assinam um termo de confidencialidade ou de não divulgação no ato de sua
devem declarar as suas responsabilidade e 85 3
contratação?
da organização
86 4 Existe um código de conduta que seja divulgado aos funcionários, fornecedores e terceiros?
para a segurança da informação.
A direção deve solicitar aos funcionários, A direção realiza verificações que assegurem que os funcionários atendem aos termos e condições de contratação, incluindo a política de
fornecedores e 87 1
segurança da informação e métodos apropriados de trabalho?
terceiros que pratiquem a segurança da
Responsabilidades da A direção realiza verificações que assegurem que os fornecedores atendem aos termos e condições de contratação, incluindo a política de
A. 8.2.1 direção
informação de acordo 88 2
segurança da informação e métodos apropriados de trabalho?
com o estabelecido nas políticas e
procedimentos da A direção realiza verificações que assegurem que os terceiros atendem aos termos e condições de contratação, incluindo a política de segurança da
89 3
organização. informação e métodos apropriados de trabalho?
onde pertinente,
Conscientização, fornecedores e terceiros devem receber 90 1 Os funcionários recebem treinamento periódico sobre segurança da informação?
educação e treinamento 91 2 Os fornecedores recebem treinamento ou orientação periódicamente sobre segurança da informação?
A. 8.2.2 treinamento em apropriado em conscientização, e 92 3 Os terceiros recebem treinamento periódico sobre segurança da informação?
segurança da atualizações regulares nas 93 4 Todos os funcionários recebem treinamento sobre segurança da informação?
informação políticas e procedimentos organizacionais 94 5 É realizado um controle e registrado a participação dos funcionários nos treinamentos de segurança da informação?
relevantes para as
95 1 Existe um processo disciplinar formal para os funcionários que cometetm uma violação da segurança da informação?
Deve existir um processo disciplinar formal 96 2 É realizada uma coleta de evidências antes do início do processo disciplinar?
para os funcionários
Existe um processo disciplinar formal, previsto em contrato, para os fornecedores e terceiros que cometetm uma violação da segurança da
A. 8.2.3 Processo disciplinar que tenham cometido uma violação da 97 3
informação?
segurança da
informação. 98 4 O processo disciplinar é previsto no contrato de trabalho do funcionário?
99 5 O processo disciplinar é documentado e registrado?
As responsabilidades para realizar o 100 1 O processo de encerramento de atividades do funcionário inclue requisitos de segurança da informação?
encerramento ou a 101 2 Existe um processo para gerenciar as mudanças de responsabilidades internas?
Encerramento de
A. 8.3.1 atividades
mudança de um trabalho devem ser
claramente definidas e Durante o processo de encerramento das atividades é comunicado formalmente ao ex-funcionário que os acordos de confidencialidade continuam
102 3
atribuídas. em vigor por um determinado período de tempo?
terceiros devem
devolver todos os ativos da organização que 103 1 Existe um processo formalizado comtemplando a devolução de todos os equipamentos, documentos corporativos e software entregues à pessoa?
A. 8.3.2 Devolução de ativos estejam em sua
posse após de
Os direitos o encerramento
acesso de todosde suas
os 104 2 As atividades e conhecimento de quem encerra suas atividades é documentada e transferida para a organização?
atividades, dofornecedores
funcionários, contrato ou e 105 1 Durante o trâmite do processo de encerramento das atividades os direitos de acesso são reduzidos ou retirados?
terceiros às informações e aos recursos de 106 2 Após o encerramento das atividades, se o ex-funcionário possuia conhecimento de senhas, estas senhas são lateradas?
processamento da
Retirada de direitos de Página 3 de 333
A. 8.3.3 acesso
 processamento da 107 3 Imediatamente após o encerramento das atividades são retirados os direitos de acesso físico e lógico?
Retirada de direitos de
A. 8.3.3 acesso informação devem ser retirados após o
encerramento de suas Existe um processo formalizado e documentado para troca de senhas, reirada de direitos de acessos, quando do encerramento das atividades ou
108 4
atividades, contratos ou acordos, ou devem de uma mudança interna?
ser ajustados após 109 5 Em uma mudança interna existe um processo para alteração dos direitos de acesso?
Devem
a mudançaser utilizados
destas perímetros de
atividades. 110 1 A análise de risco contempla a análise do perímetro de segurança física?
segurança (barreiras tais
111 2 Os perímetros de segurança estão claramente definidos?
como paredes, portões de entrada
controlados por cartão ou 112 3 As portas externas são protegidas contra acesso não autorizados por meio de mecanismos de controles?
A. 9.1.1 Perímetro de segurança 113 4 O acesso aos locais ou edíficios é restrito somente ao pessoal autorizado?
balcões de recepção com recepcionistas)
física
para proteger as 114 5 Existem áreas de recepção para controlar o acesso físico ao local ou edíficios?
áreas que contenham informações e 115 6 As portas corta-fogo do perímetro de segurança são providas de alarme, monitoradas e testadas?
recursos de
116 Existem sistemas de detecção de intrusão física, com alarmes, monitorados e testados, cobrindo todas as portas e janelas externas?
processamento da informação.
As áreas seguras devem ser protegidas por 117 1 Existe um controle de entrada física documentado e registrado?
controles 118 2 É exigido o uso de forma vísivel de uma identificação?
Controles de entrada
A. 9.1.2 física
apropriados de entrada para assegurar que
119 3 Existe um procedimento documentado e divulgado sobre como proceder ao encontrar alguém sem identificação e desacompanhado?
somente pessoas
autorizadas tenham acesso. 120 4 Os terceiros que realizam serviços de suporte em áreas sensiveis tem acesso autorizado e monitorado a cada visita?
Segurança em Deve ser projetada e aplicada segurança 121 1 As instalações-chaves e sensíveis são localizadas de maneira a evitar o acesso do público?
A. 9.1.3 escritórios física para escritórios,
122 2 As llistas de funcionáriose os guias telefonicos internos são protegidos do acesso público ostensivo?
salas e instalações salas e instalações.
física contra incêndios, 123 1 Os materiais perigosos são armazenados a uma distância segura das áreas de segurança?
Proteção contra
enchentes, terremotos, explosões, 124 2 Os equipamentos para contingência e de backup ficam a uma distância segura para que não sejam danificados em caso de um desastre?
ameaças
A. 9.1.4 externas e do meio
perturbações da ordem
125 3 Existe material de prevenção, detecção e combate a incêndios?
pública e outras formas de desastres
ambiente 126 4 Existe um plano documentado e divulgado de prevenção e combate a incêndios?
naturais ou causados
Deve ser projetada e aplicada proteção 127 1 Existem diretrizes para trabalho em áreas sensíveis?
Trabalhando em áreas
A. 9.1.5 seguras física, bem como 128 2 O trabalho em áreas seguras é executado sob supervisão?
diretrizes para o trabalho em áreas seguras. 129 3 Existe um controle registrado sobre quem trabalha nestas áreas seguras?
pessoas não
Acesso do público, 130 1 O acesso a partir do exterior às áreas de entrega e carregamento é restrito ao pessoal identificado e autorizado?
autorizadas possam entrar nas instalações,
áreas de
A. 9.1.6 entrega e de
devem ser 131 2 Os materiais entregues são inspecionados para detectar possíveis ameaças antes de irem para o local onde sertão usados?
controlados e, se possível, isolados dos 132 3 Os materiais entregues são registrados por ocasião da sua entrada no local, usando os procedimentos de gerenciamento de ativos?
carregamento
recursos de
Os equipamentos devem ser colocados no 133 1 As instalações de processamento da informação que manuseiam dados sensíveis são posicionadas de forma que o ângulo de visão seja restrito?
local ou protegidos 134 2 Os itens sensíveis que exigem proteção especial são mantidas isoladas a fim de reduzir o nível geral de proteção?
Instalação e proteção
para reduzir os riscos de ameaças e perigos
A. 9.2.1 do
do meio ambiente,
135 3 As condições ambientais (temperatura, umidade,...) são monitorados e registrados?
equipamento 136 4 Todos os edíficios possuem proteção contra raios?
bem como as oportunidades de acesso não
autorizado. 137 5 Todas as linhas de entrada de força e de comunicações possuem filtro de proteção contra raios?
138 6 Existem diretrizes quanto a comer, beber e fumar nas proximidades das instalações de processamento da informação?
139 1 O suprimento de energia elétrica é adequado para os sistemas que eles suportam?
Os equipamentos devem ser protegidos 140 2 Os sistemas de calefação/ventilação e ar-condicionado são adequados para os sistemas que eles suportam?
contra falta de energia 141 3 Existe um plano documentado de inspeção e teste das utilidades?
A. 9.2.2 Utilidades elétrica e outras interrupções causadas por 142 4 As chaves de emergência para o desligamento da energia estão localizados nas proximidades das saídas de emergência?
falhas das 143 5 Existe iluminação de emergência?
utilidades. 144 6 Existe um plano formal de contingência de energia elétrica?
145 Os equipamentos de telecomunicações são conectados à rede pública de energia elétrica por pelo menos duas linhas separadas e diferentes?
146 1 O cabeamento de redes é protegido contra interceptação não autorizada ou danos?
O cabeamento de energia e de 147 2 Os cabos de energia são segregados dos cabos de comunicações para que não ocorra interferências?
telecomunicações que 148 3 Nos cabos e nos equipamentos são utilizados marcações claramente identificaveis para minimizar erros de manuseio?
Segurança do transporta dados ou dá suporte aos serviços
A. 9.2.3 cabeamento de informações
149 4 Existe uma documentação das conexões?
deve ser protegido contra interceptação ou Para os sistemas críticos ou sensíveis são realizados periodicamente varreduras técnicas e inspeções físicas para detectar a presença de
150 5
danos. dispositivos não autorizados conectados aos cabos?
151 6 O acesso aos painéis de conexão e às salas de cabos é controlado?
152 1 A manutenção dos equipamentos é realizada nos intervalos recomendados pelo fornecedor, e de acordo com as suas especificações?
Os equipamentos devem ter manutenção 153 2 A manutenção e os consertos dos equipamentos são realizados somente por pessoal de manutenção autorizado?
Manutenção dos correta, para 154 3 São mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as operações de manutenção preventiva e corretiva realizadas?
A. 9.2.4 equipamentos assegurar sua disponibilidade e integridade São implementados controles apropriados, na época programada para a manutenção do equipamento, dependendo de a manutenção ser realizada
permanente. 155 4
pelo pessoal do local ou por pessoal externo à organização?
156 5 São atendidas todas as exigências estabelecidas nas apólices de seguro?
equipamentos que operem fora do local, levando em conta 157 1 Existe um processo formal documentado para autorizar a utilização de equipamentos fora das dependências da organização?
A. 9.2.5 fora das dependências os diferentes 158 2 Existe uma política de uso com segurança de equipamentos fora das dependências da organização?
da riscos decorrentes
mídias de do fato de se trabalhar
armazenamento de dados devem ser 159 1 Todos os equipamentos que contenham mídias de armazenamento de dados sejam examinados antes do descarte?
Reutilização e alienação examinados antes do 160 2 Os dispositivos que contenham informações sensíveis são destruídos fisicamente?
A. 9.2.6 segura de descarte, para assegurar que todos os 161 3 Todas as atividades de reutilização e alienação são registrados?
equipamentos dados sensíveis e As informações são destruídas, apagadas ou sobregravadas por meio de técnicas que tornem as informações originais irrecuperáveis, em vez de se
softwares licenciados tenham sido 162 4
usarem as funções-padrão de apagar ou formatar?
removidos ou
Equipamentos, informações ou software não 163 1 Existe um processo formal para autorizar a remoção de equipamentos, informações ou software somente quando autorizado?
Remoção de
A. 9.2.7 propriedade
devem ser 164 2 As pessoas que tenham autoridade para permitir a remoção de ativos para fora do local são claramente identificadas?
retirados do local sem autorização prévia. 165 3 Existe um registro documental da retirada e da devolução de equipamento?
166 1 Todos os procedimentos de operação são documentados?
167 Todos os os procedimentos de operação são mantidos atualizados e disponíveis a todos?
Os procedimentos de operação especificam as instruções para a execução detalhada de cada tarefa de processamento e tratamento da
168 2
informação?
169 3 Os procedimentos de operação especificam as instruções para a execução detalhada de backup?
Os procedimentos de operação especificam as instruções para o tratamento de erros ou outras condições excepcionais, que possam ocorrer
170 4 durante a
execução de uma tarefa, incluindo restrições de uso dos utilitários do sistema?
Os procedimentos de operação devem ser
Documentação dos documentados, Os procedimentos de operação especificam os dados para contatos de suporte para o caso de eventos operacionais inesperados ou dificuldades
171 5
A. 10.1.1 procedimentos de mantidos atualizados e disponíveis a todos técnicas?
operação os usuários que
deles necessitem. Os procedimentos de operação especificam as instruções para tratamento de resultados especiais e mídias, tais como o uso de formulários
especiais
172 6
ou o gerenciamento de resultados confidenciais, incluindo procedimentos para a alienação segura de resultados provenientes de rotinas com
falhas?
173 Os procedimentos de operação especificam os procedimento para o reinício e recuperação em caso de falha do sistema?
Os procedimentos de operação especificam os procedimento para o gerenciamento de trilhas de auditoria e informações de registros (log) de
174
sistemas?
175 Os procedimentos operacionais e os procedimentos documentados para atividades de sistemas são tratados como documentos formais?
176 As mudanças nos procedimentos operacionais e nos procedimentos documentados para atividades de sistemas são autorizadas pela direção?
177 1 Os sistemas operacionais e aplicativos estão sujeitos a um controle de gestão de mudanças?
178 2 As mudanças significativas são identificadas e registradas?
179 3 As mudanças são planejadas e testadas?
180 4 São realizadas avaliações de impactos potenciais, incluindo impactos de segurança, das mudanças?
Modificações nos recursos de 181 5 Existe um procedimento formal e ocumentado de aprovação das mudanças propostas?
A. 10.1.2 Gestão de mudanças processamento da informação e 182 Existe um processo de comunicação dos detalhes das mudanças para todas as pessoas envolvidas?
sistemas devem ser controladas. Existem procedimentos documentados de recuperação, incluindo procedimentos e responsabilidades pela interrupção e recuperação de mudanças
183
em caso de insucesso ou na ocorrência de eventos inesperados?
São estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que haja um controle satisfatório de todas as mudanças
184
em equipamentos, software ou procedimentos?
185 6 É mantido um registro de auditoria contendo todas as informações relevantes das mudanças realizadas?
Funções e áreas de responsabilidade A organização possui procedimentos para impedir que uma única pessoa possa acessar, modificar ou usar ativos sem a devida autorização ou
186 1
devem ser segregadas detecção?
para reduzir as oportunidades de 187 2 Na organização o início de um evento é separado de sua autorização?
A. 10.1.3 Segregação de funções modificação ou uso indevido 188 3 Existem controles para as possibilidades de existência de conluios?
não autorizado ou não intencional dos ativos A organização possui outros controles, como a monitoração das atividades, trilhas de auditoria e o acompanhamento gerencial para o caso de não
da organização. 189 4
possuir segregação de funções?
190 1 Os ambientes de produção, testes e desenvolvimento são separados?
Separação dos Recursos de desenvolvimento, teste e 191 2 Existem regras definidas e documentadas para a transferência de software da situação de desenvolvimento para a de produção?
recursos de produção devem ser
Na organização, os softwares em desenvolvimento e os softwares em produção são executados em
A. 10.1.4 desenvolvimento, teste separados para reduzir o risco de acessos 192 3
diferentes sistemas ou processadores e em diferentes domínios ou diretórios?
e de ou modificações não
produção autorizadas aos sistemas operacionais. 193 4 Os ambientes de testes emulam o ambiente de produção da organização o mais próximo possível?
194 5 Os dados sensíveis são protegidos contra cópias para os ambientes de testes?
Deve ser garantido que os controles de
segurança, as A entrega de serviços por um terceiro incluem os arranjos de segurança acordados, definições de
195 1
definições de serviço e os níveis de entrega serviço e aspectos de gerenciamento de serviços?
incluídos no Nos casos de terceirização existe garantia de que a segurança será mantida durante todo o
A. 10.2.1 Entrega de serviços acordo de entrega de serviços terceirizados
196 2
período de transição?
sejam A organização possui garantias de que o terceiro mantem capacidade de serviço suficiente, juntamente com planos viáveis projetados para garantir
implementados, executados e mantidos pelo 197 3
que os níveis de continuidade de serviços acordados sejam mantidos após falhas de serviços severas ou desastres?
terceiro.
198 1 A organização possui processos para realizar monitoração e análise crítica dos serviços terceirizados?
A monitoração e análise crítica dos serviços terceirizados garantem a aderência entre os termos de segurança de informação e as condições dos
199 2
acordos?
Os serviços, relatórios e registros fornecidos
Monitoramento e por terceiro São analisadas criticamente as trilhas de auditoria do terceiro e registros de eventos de segurança, problemas
200 3
análise devem ser regularmente monitorados e operacionais, falhas, investigação de falhas e interrupções relativas ao serviço entregue?
A. 10.2.2 crítica de serviços analisados A responsabilidade do gerenciamento de relacionamento com o terceiro é atribuída a um indivíduo designado ou equipe de gerenciamento de
terceirizados criticamente, e auditorias devem ser 201 4
serviço?
executadas regularmente. 202 5 São tomadas ações apropriadas ao serem observadas deficiências na entrega dos serviços?
A organização mantem suficiente controle geral e visibilidade em todos os aspectos de segurança para as informações sensíveis ou críticas ou para
203
os recursos de processamento da informação acessados, processados ou gerenciados por um terceiro?

Página 4 de 333
 Mudanças no provisionamento dos serviços,
incluindo manutenção e melhoria da política
Gerenciamento de de segurança da informação, dos
mudanças procedimentos e controles existentes,
A. 10.2.3 para serviços devem ser gerenciadas levando-se em
204 1 Existe processo de gerenciamento de mudanças para serviços terceirizados?
terceirizados conta a criticidade dos sistemas e processos
de negócio envolvidos e a
reanálise/reavaliação de riscos.

205 1 A organização identificou os requisitos de capacidade para cada atividade em andamento?

206 2 A organização possui um processo documentado para identificar os requisitos de capacidade para cada atividade nova?
207 3 A organização aplica a sincronização e monitoramento dos sistemas para garantir e melhorar a disponibilidade e eficiência dos sistemas?
A utilização dos recursos deve ser 208 4 A organização possui controles detectivos implantados para identificar problemas de gestão de capacidade em tempo hábil?
monitorada e sincronizada e A organização possui um processo documentado de projeções de capacidade futura levando em consideração os requisitos de novos negócios e
as projeções devem ser feitas para 209
sistemas e as tendências atuais e projetadas de capacidade de processamento de informação da organização?
A. 10.3.1 Gestão de capacidade necessidades de
capacidade futura, para garantir o A organização possui um processo formal documentado que identifiquem as tendências de utilização de capacidade, particularmente em relação às
desempenho requerido do 210 aplicações do negócio ou à
sistema. gestão das ferramentas de sistemas de informação?
Os gestores utilizam essas informações para identificar e evitar os potenciais gargalos e a dependência de pessoas-chave que possam representar
211 5
ameaças à segurança dos sistemas ou aos serviços?
212 6 Os gestores utilizam essas informações para planejar açõs corretivas apropriadas?
Na organização os gestores garantem que os requisitos e critérios para aceitação de novos sistemas estão claramente definidos, acordados,
213 1
documentados e testados?
Na organização os novos sistemas de informação, atualizações e novas versões só são migrados para produção após a obtenção de aceitação
214 2
formal e documentada?
215 3 A organização antes da aceitação formal verifica se os requisitos de desempenho e de capacidade computacional foram atendidos?
Devem ser estabelecidos critérios de A organização antes da aceitação formal verifica se os requisitos de recuperação de erros, procedimentos de reinicialização e planos de
aceitação para novos 216 4
contingência foram atendidos?
sistemas, atualizações e novas versões e
A organização antes da aceitação formal verifica se os requisitos de concordância sobre o conjunto de controles de segurança utilizados foram
A. 10.3.2 Aceitação de sistemas que sejam efetuados 217 5
atendidos?
testes apropriados do(s) sistema(s) durante
seu 218 A organização antes da aceitação formal verifica se os requisitos de requisitos de continuidade dos negócios foram atendidos?
desenvolvimento e antes da sua aceitação. A organização verifica as evidências de que a instalação do novo sistema não afetará de forma adversa os sistemas existentes, particularmente nos
219
períodos de pico de processamento?
A organização levanta e verifica as evidências de que tenha sido considerado o impacto do novo sistema na segurança da organização como um
220
todo?
221 A organização realiza os devidos testes sejam executados que todos os critérios de aceitação tenham sido plenamente satisfeitos?
222 6 A organização possui os manuais e documentação dos sistemas recebidos?
223 1 Na organização a proteção contra códigos maliciosos é baseada em softwares de detecção de códigos maliciosos e reparo?
224 2 Existe uma política formal proibindo o uso de softwares não autorizados?
Existe uma política formal documentada para proteção contra os riscos associados com a importação de arquivos e softwares, seja de redes
225 3
externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas?
226 A organização conduz análises críticas regulares dos softwares e dados dos sistemas que suportam processos críticos de negócio?
227 A organização possui um processo formal de investigação da presença de quaisquer arquivos não aprovados ou atualização não autorizada?
A organização instala e atualiza regularmente softwares de detecção e remoção de códigos maliciosos para o exame de computadores e mídias
228
magnéticas, de forma preventiva ou de forma rotineira?
As verificações contra código malicioso inclui um processo para verificação, antes do uso, da existência de códigos maliciosos nos arquivos em
229
mídias óticas ou eletrônicas, bem como nos arquivos transmitidos através de redes?
As verificações contra código malicioso inclui um processo para verificação, antes do uso, da existência de software malicioso em qualquer arquivo
230
recebido através de correio eletrônico ou importado (download)?
Devem ser implantados controles de
detecção, prevenção e 231 As verificações contra código malicioso inclui um processo para verificação da existência de códigos maliciosos em páginas web?
recuperação para proteger contra códigos 232 Essas avaliações e verificações são feitas em diversos locais?
Controle contra códigos
A. 10.4.1 maliciosos maliciosos, assim 233 Existe um processo de verificação contra código malicioso instalado e atualizado no servidor de correio eletrônico?
como procedimentos para a devida 234 Existe um processo de verificação contra código malicioso instalado e atualizado nos computadores pessoais?
conscientização dos Existem definidos e documentados os procedimentos de gerenciamento e respectivas responsabilidades para tratar da proteção de código malicioso
usuários. 235
nos sistemas?
236 São realizados e registrados treinamentos nesses procedimentos?
237 Existem definidos e documentados os procedimentos de reporte e recuperação de ataques de códigos maliciosos?
A organização possui preparados e documentados os planos de continuidade do negócio adequados para a recuperação em caso de ataques por
238
códigos maliciosos?
A organização implementa procedimentos para regularmente coletar informações, tais como, assinaturas de listas de discussão e visitas a sites
239
informativos sobre novos códigos maliciosos?
240 Os gestores garantem que fontes qualificadas são utilizadas para diferenciar boatos de notícias reais sobre códigos maliciosos?
241 4 Na organização os usuários estão cientes dos problemas decorrentes de boatos e capacitados a lidar com eles?
242 5 A organização possui um programa formal de conscientização da segurança da informação contra códigos malicioosos?
A organização possui um processo formal quanto a possível introdução de códigos maliciosos durante manutenções e quando estão sendo
243 6
deve garantir que o código móvel autorizado realizados procedimentos de emergência?
Controles contra opere de acordo 244 1 A organização possui um processo formal e documentado de proteção contra ações não autorizadas realizadas por códigos móveis?
A. 10.4.2 códigos com uma política de segurança da 245 2 Os códigos móveis são executados em ambientes isolados logicamente?
móveis informação claramente 246 3 A organização possui um processo formal para bloquear o recebimento e uso de códigos móveis?
definida e que códigos móveis não A organização possui recursos adequados para a geração de cópias de segurança disponibilizados para garantir que toda informação e software
247 1
essenciais possam ser recuperados?
248 2 A organização possui a definição do nível necessário das cópias de segurança das informações?
249 3 A organização tem documentação apropriada sobre os procedimentos de restauração da informação?
250 4 A extensão (completa ou diferencial) e a freqüência da geração das cópias de segurança refletem os requisitos de negócio da organização?
A extensão (completa ou diferencial) e a freqüência da geração das cópias de segurança refletem os requisitos de segurança da informação
251 5
envolvidos e a criticidade da informação para a continuidade da operação da organização?
As cópias de segurança são armazenadas em uma localidade remota, a uma distância suficiente para escapar dos danos de um desastre ocorrido
Cópias de segurança das informações e dos 252
na organização principal?
Cópias de segurança softwares devem
As mídias de cópias de segurança são testadas regularmente para garantir que elas são suficientemente confiáveis para uso de emergência
A. 10.5.1 das ser efetuadas e testadas regularmente, 253
quando necessário?
informações conforme a política de
geração de cópias de segurança definida. Os procedimentos de recuperação são verificados e testados regularmente, de forma a garantir que estes são efetivos e que podem ser concluídos
254
dentro dos prazos definidos nos procedimentos operacionais de recuperação?
255 As verificações e testes dos procedimentos de recuperação são documentados e registrados?
256 Existe uma política formal e documentada sobre cópias de segurança?
257 As responsabilidades pela geração de cópias de segurança estão claramente definidas?
Em situações onde a confidencialidade é importante, a organização possui um processo formal para proteger as cópias de segurança através de
258
encriptação?
Os mecanismos de geração de cópias de segurança abranjem todos os sistemas de informação, aplicações e dados necessários para a completa
259 6
recuperação do sistema em um evento de desastre?
260 1 Na organização existe um processo formal documentado de gerenciamento das redes?
261 2 As redes da organização são adequadamente gerenciadas e controladas?
Os gestores das redes da organização implementem controles para garantir a segurança da informação nestas redes e a proteção dos serviços a
262 3
elas conectadas, de acesso não autorizado?
263 Quando apropriado a organização separa a responsabilidade operacional pelas redes da operação dos recursos computacionais?
Redes devem ser adequadamente
gerenciadas e controladas, 264 São estabelecidas as responsabilidades sobre o gerenciamento de equipamentos remotos, incluindo equipamentos em áreas de usuários?
de forma a protegê-las contra ameaças e São estabelecidos formalmente e documentados os procedimentos sobre o gerenciamento de equipamentos remotos, incluindo
265
A. 10.6.1 Controles de redes manter a segurança equipamentos em áreas de usuários?
de sistemas e aplicações que utilizam estas Existem controles especiais formalmente estabelecidos para proteção da confidencialidade e integridade dos dados trafegando sobre redes públicas
redes, incluindo a 266
ou sobre as redes sem fio (wireless)?
informação em trânsito.
Existem controles especiais formalmente estabelecidos para proteger os sistemas e aplicações que estejam conectadas a redes públicas ou a redes
267
sem fio (wireless)?
A organização possui os mecanismos apropriados de registro e monitoração aplicados para habilitar a gravação das ações relevantes de
268
segurança?
269 As atividades de gerenciamento são formalmente coordenadas?
A organização determinou a capacidade do provedor dos serviços de rede de gerenciar os serviços acordados de maneira
Características de segurança, níveis de 270 1
segura?
serviço e requisitos de
gerenciamento dos serviços de rede devem A organização monitora a capacidade do provedor dos serviços de rede de gerenciar os serviços acordados de maneira
271 2
Segurança dos serviços ser identificados e segura?
A. 10.6.2 de incluídos em qualquer acordo de serviços de 272 3 A organização possui em acordo o direito de auditar o provedor de serviços de rede?
rede rede, tanto para A organização definiu e formalmente documentou as definições de segurança necessárias para serviços específicos, como características de
serviços de rede providos internamente 273 4
segurança, níveis de serviço e requisitos de gerenciamento?
como para
terceirizados. 274 A organização possui um processo formal que lhe assegure que os provedores dos serviços de rede implementaram estas medidas necessárias?
275 1 A organização possui uma política para o gerenciamento de mídias removíveis?
Existe um procedimento documentado para quando não for mais necessário e caso venha a ser retirado da organização o conteúdo de qualquer
276 2
meio magnético reutilizável seja destruído?
Gerenciamento de Devem existir procedimentos 277 3 Existe um procedimento documentado para a autorização para a remoção de qualquer mídia da organização?
A. 10.7.1 mídias implementados para o 278 4 São mantidos os registros das autorizações e remoções como trilha de auditoria?
removíveis gerenciamento de mídias removíveis. 279 5 As midias são guardadas de forma segura em um ambiente protegido, de acordo com as especificações do fabricante?
280 Todas as mídias removíveis são registradas para limitar a oportunidade de perda de dados?
281 Na organização as unidades de mídias removíveis são habilitadas somente onde houver uma necessidade do negócio?
282 6 Na organização todos os procedimentos e os níveis de autorização são formalmente e explicitamente documentados?
283 1 A organização possui procedimentos formais definidos para o descarte seguro das mídias?
As mídias devem ser descartadas de forma 284 2 Todos os procedimentos formais para o descarte seguro das mídias estão formalmente documentados e atualizados?
segura e protegida 285 3 Os procedimentos para o descarte seguro das mídias, contendo informações sensíveis, são relativos à sensibilidade das informações?
A. 10.7.2 Descarte de mídias quando não forem mais necessárias, por 286 Todas as mídias contendo informações sensíveis são guardadas e destruídas de forma segura e protegida?
meio de 287 A organização possui procedimentos implementados para identificar os itens que requerem descarte seguro?
procedimentos formais. 288 Existe um processo de registro de descarte de itens sensíveis para se manter uma trilha de auditoria?
289 4 Existe um planejamento de realizar uma análise crítica das politicas periódicamente a intervalos regulares?
A organização tem procedimentos documentados e estabelecidos para o tratamento, processamento, armazenamento e transmissão da informação,
290 1
de acordo com a sua classificação?
Devem ser estabelecidos procedimentos Página 5 de 333
para o tratamento e o
Procedimentos para armazenamento de informações, para
A. 10.7.3 tratamento de proteger tais
 Devem ser estabelecidos procedimentos A organização tem procedimentos documentados e estabelecidos para tratamento e identificação de todos os meios magnéticos indicando o nível
para o tratamento e o 291 2
de classificação?
Procedimentos para armazenamento de informações, para 292 3 Existe um registro formal dos destinatários de dados autorizados?
A. 10.7.3 tratamento de proteger tais
informação informações contra a divulgação não 293 4 Existe um processo documentado de proteção dos dados preparados para expedição ou impressão de forma consistente com a sua criticidade?
autorizada ou uso
indevido. 294 5 Existe um processo de identificação eficaz de todas as cópias das mídias, para chamar a atenção dos destinatários autorizados?
295 6 A organização possui um processo para a análise crítica das listas de distribuição e das listas de destinatários autorizados em intervalos regulares?
296 1 A documentação dos sistemas é guardada de forma segura?
Segurança da A documentação dos sistemas deve ser 297 2 A relação de pessoas com acesso autorizado à documentação de sistemas é a menor possível?
A. 10.7.4 documentação protegida contra
298 3 A relação de pessoas com acesso autorizado à documentação de sistemas é autorizada pelo proprietário do sistema?
dos sistemas acessos não autorizados.
299 4 A documentação de sistema mantida em uma rede pública, ou fornecida através de uma rede pública é protegida de forma apropriada?
A organização possui documentados os procedimentos e controles estabelecidos para a troca de informações em recursos eletrônicos de
300 1
comunicação?
301 2 Existem procedimentos formulados para proteger a informação em trânsito contra interceptação, cópia, modificação, desvio e destruição?
Existem procedimentos para detecção e proteção contra código malicioso que pode ser transmitido através do uso de recursos eletrônicos de
302 3
comunicação?
303 4 Existem procedimentos para proteção de informações eletrônicas sensíveis que sejam transmitidas na forma de anexos?
304 5 Existem documentadas política que especifiquem o uso aceitável dos recursos eletrônicos de comunicação?
Políticas, procedimentos e controles devem 305 Existem procedimentos para o uso de comunicação sem fio (wireless), levando em conta os riscos particulares envolvidos?
Políticas e
ser estabelecidos e
procedimentos A organização possui procedimentos para evitar que na troca de inforamação em recursos eletrônicos de comunicação as responsabilidades de
A. 10.8.1 para troca de
formalizados para proteger a troca de 306
funcionários, fornecedores e quaisquer outros usuários não comprometam a organização?
informações em todos os
informações Existem diretrizes de retenção e descarte para toda a correspondência de negócios, incluindo mensagens, de acordo com regulamentações e
tipos de recursos de comunicação. 307
legislação locais e nacionais relevantes?
308 Existem controles para não deixar informações críticas ou sensíveis em equipamentos de impressão?
Existem procedimentos que orientem as pessoas para que evitem o armazenamento de dados pessoais, como endereços de correios eletrônicos ou
309
informações adicionais particulares, em qualquer software?
Existem procedimentos que orientem as pessoas de que não devem manter conversas confidenciais em locais públicos, escritórios abertos ou
310
locais de reunião que não disponham de paredes à prova de som?
311 6 Os recursos utilizados na organização para a troca de informações estão de acordo com os requisitos legais pertinentes?
312 1 A orgnização possui acordos para troca de informações com entidades externas?
313 2 Estão estabelecidos nos acordos as responsabilidades do gestor pelo controle e notificação de transmissões, expedições e recepções?
314 3 Estão estabelecidos nos acordos os procedimentos para notificar o emissor da transmissão, expedição e recepção?
Devem ser estabelecidos acordos para a 315 4 Estão estabelecidos nos acordos os procedimentos para assegurar a rastreabilidade dos eventos e o não-repúdio?
Acordos para a troca de troca de informações
A. 10.8.2 informações e softwares entre a organização e entidades 316 5
Estão estabelecidos nos acordos as responsabilidades e obrigações na ocorrência de incidentes de segurança da informação, como perda
externas. de dados?
317 Estão estabelecidos os procedimentos de utilização de um sistema acordado de identificação para informações críticas e sensíveis?
318 Os aspectos de segurança contidos nos acordos reflitem a sensibilidade das informações envolvidas no negócio?
319 6 São estabelecidos padrões técnicos mínimos para embalagem e transmissão?
Mídias contendo informações devem ser 320 1 A organização possui procedimentos e recomendações para proteger as mídias que são transportadas entre localidades?
protegidas contra 321 2 O meio de transporte ou o serviço de mensageiros é confiável?
acesso não autorizado, uso impróprio ou
A. 10.8.3 Mídias em trânsito alteração indevida
322 3 A organização adota controles, onde necessário, para proteger informações sensíveis contra divulgação não autorizada ou modificação?
durante o transporte externo aos limites 323 4 A embalagem é suficiente para proteger o conteúdo contra qualquer dano físico, como os que podem ocorrer durante o transporte?
físicos da organização. 324 5 São estabelecidos procedimentos para a verificação da identificação dos transportadores?
325 1 A organização adota controle para a proteção das mensagens contra acesso não autorizado, modificação ou negação de serviço?
As informações que trafegam em
A organização possui processos, políticas e procedimentos para a aprovação prévia de uso de serviços públicos externos, tais como sistemas de
A. 10.8.4 Mensagens eletrônicas mensagens eletrônicas 326 2
mensagens instantâneas e compartilhamento de arquivos?
devem ser adequadamente protegidas.
327 3 Existem requisitos de aspectos legais, como, por exemplo, requisitos de assinaturas eletrônicas?
Políticas e procedimentos devem ser A organização possui controles para as vulnerabilidades conhecidas nos sistemas administrativos e contábeis onde as informações são
desenvolvidos e 328 1
Sistemas de compartilhadas com diferentes áreas da organização?
implementados para proteger as
A. 10.8.5 informações do informações associadas com
329 Existem controles implementados para as vulnerabilidades da informação nos sistemas de comunicação do negócio?
negócio 330 Existem implementados políticas e controles apropriados para gerenciar o compartilhamento de informações?
a interconexão de sistemas de informações
do negócio. 331 A organização possui requisitos e procedimentos para recuperação e contingência?
Foi levado em consideração o nível de confiança de cada parte requer na suposta identidade de outros, como, por exemplo, por meios de
332 1
autenticação?
333 2 Existem processos de autorização associados ao quem pode determinar preços, emitir ou assinar documentos-chave de negociação?
334 3 Existem processos para garantir que parceiros comerciais estão completamente informados de suas autorizações?
Foi determinado e atendido os requisitos de confidencialidade, integridade, evidências de emissão e recebimento de documentos-chave, e a não-
335
repudiação de contratos, como, por exemplo, os associados aos processos de licitações e contratações?
336 Foi levado em consideração o nível de confiança requerido na integridade das listas de preços anunciadas?
As informações envolvidas em comércio
eletrônico transitando 337 Foi levado em consideração a confidencialidade de quaisquer dados ou informações sensíveis?
sobre redes públicas devem ser protegidas Foi levado em consideração a confidencialidade e integridade de quaisquer transações de pedidos, informações de pagamento, detalhes de
338
A. 10.9.1 Comércio eletrônico de atividades endereço de entrega e confirmações de recebimentos?
fraudulentas, disputas contratuais, 339 Foi levado em consideração o grau de investigação apropriado para a verificação de informações de pagamento fornecidas por um cliente?
divulgação e modificações 340 Foi feito uma seleção das formas mais apropriadas de pagamento para proteção contra fraudes?
não autorizadas.
341 Foi determinada o nível de proteção requerida para manter a confidencialidade e integridade das informações de pedidos?
342 Foi levada em consideração a prevenção contra perda ou duplicação de informação de transação?
343 Foi levada em consideração as responsabilidades associados com quaisquer transações fraudulentas?
344 Foi levada em consideração os requisitos de seguro?
Os procedimentos de comércio eletrônicao são apoiados por um acordo formal que comprometa ambas as partes aos termos de transação,
345 4
incluindo detalhes de autorização?
346 5 As sistemas comerciais públicos divulguem seus termos comerciais a seus clientes?
347 1 Foram usadas assinaturas eletrônicas para cada uma das partes envolvidas na transação?
Informações envolvidas em transações on- Foi levado em consideração todos os aspectos da transação, garantindo que as credenciais do usuário para todas as partes são válidas e
348 2
line devem ser verificadas, e garantindo a confidencialidade da transação e a privacidade de todas as partes envolvidas?
protegidas para prevenir transmissões 349 3 O caminho de comunicação entre todas as partes envolvidas é criptografado?
incompletas, erros de 350 4 Os protocolos usados para comunicações entre todas as partes envolvidos é seguro?
A. 10.9.2 Transações on-line roteamento, alterações não autorizadas de
mensagens, Foi garantido que o armazenamento dos detalhes da transação está localizado fora de qualquer ambiente publicamente acessível, como, por
divulgação não autorizada, duplicação ou 351 5 exemplo, numa plataforma de armazenamento na intranet da organização, e não retida e exposta em um dispositivo de armazenamento
reapresentação de diretamente acessível pela internet?
mensagem não autorizada. No caso onde é utilizada uma autoridade confiável (como, por exemplo, para propósitos de emissão e manutenção de assinaturas e/ou certificados
352 6
digitais), segurança é integrada a todo o processo de gerenciamento de certificados/assinaturas?
As aplicações, dados e informações adicionais que requeiram um alto nível de integridade e que sejam disponibilizados em sistemas publicamente
353 1
acessíveis são protegidos por mecanismos apropriados?
A integridade das informações
Informações disponibilizadas em sistemas 354 2 Os sistemas acessíveis publicamente são testados contra fragilidades e falhas antes da informação estar disponível?
A. 10.9.3 publicamente publicamente acessíveis deve ser protegida, 355 3 A organização possui um processo documentado de aprovação antes que uma informação seja publicada?
disponíveis para prevenir 356 4 Todo dado de entrada fornecido por fontes externas ao sistema é antes verificado e aprovado?
modificações não autorizadas. Os sistemas de publicação eletrônica, especialmente os que permitem realimentação e entrada
357 5
direta de informação, são cuidadosamente controlados e gerenciados?
358 1 Os registros (log) de auditoria incluem identificação dos usuários?
359 2 Os registros (log) de auditoria incluem datas, horários e detalhes de eventos-chave?
Os registros (log) de auditoria incluem registros das tentativas de acesso ao sistema aceitas e rejeitadas e ainda os registros das tentativas de
360 3
acesso a outros recursos e dados aceitos e rejeitados?
Registros (log) de auditoria contendo 361 4 Os registros (log) de auditoria incluem registros das alterações na configuração do sistema?
atividades dos usuários, 362 5 Os registros (log) de auditoria incluem registros das uso de privilégios?
exceções e outros eventos de segurança da 363 Os registros (log) de auditoria incluem registros do uso de aplicações e utilitários do sistema?
informação devem
A. Registros de auditoria ser produzidos e mantidos por um período
364 Os registros (log) de auditoria incluem registros dos arquivos acessados e tipo de acesso?
10.10.1 de tempo acordado 365 Os registros (log) de auditoria incluem registros dos endereços e protocolos de rede?
para auxiliar em futuras investigações e 366 Os registros (log) de auditoria incluem registros dos alarmes provocados pelo sistema de controle de acesso?
monitoramento de
controle de acesso. Os registros (log) de auditoria incluem registros de ativação e desativação dos sistemas de proteção, tais como sistemas de antivírus e sistemas de
367
detecção de intrusos?

A organização possui mecanismos de controle para que administradores de sistemas não tenham permissão de exclusão ou desativação dos
368 6 registros (log) de suas
próprias atividades?
369 1 O nível de monitoramento requerido para os recursos individuais foi determinado através de uma análise/avaliação de riscos?
370 2 A organização esta de acordo com todos os requisitos legais relevantes, aplicáveis para suas atividades de monitoramento?
371 3 A organização possui procedimentos documentados para o monitoramento dos acessos autorizados?
Devem ser estabelecidos procedimentos
para o monitoramento 372 4 A organização possui procedimentos documentados para o monitoramento de todas as operações privilegiadas?
Monitoramento do uso do uso dos recursos de processamento da 373 5 A organização possui procedimentos documentados para o monitoramento de tentativas de acesso não autorizadas?
A. do informação e os 374 A organização possui procedimentos documentados para o monitoramento de alertas e falhas do sistema?
10.10.2 sistema resultados das atividades de monitoramento A organização possui procedimentos documentados para o monitoramento de alterações ou tentativas de alterações nos controles e parâmetros
devem ser 375
dos sistemas de segurança?
analisados criticamente, de forma regular.
A organização possui um processo de análise crítica dos resultados das atividades de monitaramento cuja frequência de realizaçào dependa dos
376 6
riscos envolvidos?

Os recursos e informações de registros (log)

Proteção das
A. informações
devem ser
377 1
A organização possui controles implementados para a proteção contra modificações não autorizadas e problemas operacionais com os recursos
10.10.3 dos registros (logs) protegidos contra falsificação e acesso não dos registros (log)?
autorizado.
Registros (log) de As atividades dos administradores e 378 1 A organização possui processos e procedimentos para registro das atividades dos administradores e operadores do sistema?
A. administrador e operadores do sistema Existem procedimentos para que os registros (log) de atividades dos operadores e administradores dos sistemas sejam analisados
10.10.4 operador devem ser registradas. 379 2
criticamente em intervalos regulares?
A organização possui processos e procedimentos documentados para registrar as falhas informadas pelos usuários ou pelos programas de sistema
380 1
relacionado a problemas com processamento da informação ou sistemas de comunicação?
As falhas ocorridas devem ser registradas e 381 2 Existem regras documentadas e claras para o tratamento das falhas informadas?
A. Registros (logs) de
analisadas, e A organização possui procedimentos formais para análise crítica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente
10.10.5 falhas devem ser adotadas as ações apropriadas. 382 3
resolvidas?
A organização possui procedimentos formais para análise crítica das medidas corretivas para assegurar que os controles não foram comprometidos
383 4
e que a ação tomada é completamente autorizada?
Página 6 de 333
 informações relevantes, dentro da
A. Sincronização dos
organização ou do domínio
384 1 Existem políticas e procedimentos para que o relógio seja ajustado conforme um padrão acordado ou um padrão de tempo local?
10.10.6 relógios de segurança, devem ser sincronizados de 385 2 Existem procedimentos que verifiquem inconsistências e corrijam qualquer variação significativa?
386 1 A organização possui uma política formal documentada de controle de acesso?
387 2 As regras de controle de acesso para cada usuário ou grupos de usuários estão expressas claramente na política de controle de acesso?
388 3 As regras de direitos de cada usuário ou grupos de usuários estão expressas claramente na política de controle de acesso?
389 4 Os controles de acesso lógico e físico são considerados de forma conjunta na política?
A organização fornece aos usuários e provedores de serviços uma declaração nítida dos requisitos do negócio a serem atendidos pelos controles
390 5
de acessos?
A política de controle de acesso deve ser A política de controle de acesso leva em consideração a identificação de todas as informações relacionadas às aplicações de negócios e os riscos a
estabelecida, 391 6
que as informações estão expostas?
documentada e analisada criticamente,
Política de controle de A política de controle de acesso leva em consideração a consistência entre controle de acesso e políticas de classificação da informação em
A. 11.1.1 acesso tomando-se como base 392 7
diferentes sistemas e redes?
os requisitos de acesso dos negócios e da
segurança da A política de controle de acesso leva em consideração a legislação pertinente e qualquer obrigação contratual relativa à proteção de acesso para
393 8
informação. dados ou serviços?
394 9 A política de controle de acesso leva em consideração perfis de acesso de usuário-padrão para trabalhos comuns na organização?
A política de controle de acesso leva em consideração a administração de direitos de acesso em um ambiente distribuído e conectado à rede que
395 10
reconhece todos os tipos de conexões disponíveis?
396 11 A política de controle de acesso leva em consideração os requisitos para autorização formal de pedidos de acesso?
397 12 A política de controle de acesso leva em consideração os requisitos para análise crítica periódica de controles de acesso?
398 13 A política de controle de acesso leva em consideração a remoção de direitos de acesso?
399 1 Existem procedimentos formais documentados de controle de acesso para registro e cancelamento de usuários?
400 2 A organização utiliza identificador de usuário (ID de usuário) único para assegurar a responsabilidade de cada usuário por suas ações?
401 3 O uso de grupos de ID somente é permitido onde existe a necessidade para o negócio ou por razões operacionais?
402 4 O uso de grupos de ID é formalmente aprovado e documentado?
Os procedimentos de controle de acesso possuem procedimentos para verificar se o usuário tem autorização do proprietário do sistema para o uso
403 5
do sistema de informação ou serviço?
Os procedimentos de controle de acesso possuem procedimentos para verificar se o nível de acesso concedido é apropriado ao propósito do
404 6
negócio e é consistente com a política de segurança da organização?
405 7 A organnização entrega para os usuários uma declaração por escrito dos seus direitos de acesso?
Deve existir um procedimento formal de A organização tem procedimentos para requerer aos usuários a assinatura de uma declaração indicando que eles entendem as condições de
406 8
registro e acesso?
A. 11.2.1 Registro de usuário cancelamento de usuário para garantir e
407 9
A organização assegura aos provedores de serviços que não serão dados acessos até que os procedimentos de autorização tenham sido
revogar acessos em concluídos?
todos os sistemas de informação e serviços. 408 10 A organização mantém registro formal de todas as pessoas registradas para usar o serviço?
409 11 A organização remover imediatamente ou bloquear direitos de acesso de usuários que mudaram de cargos ou funções?
410 12 A organização remove imediatamente ou bloquear direitos de acesso de usuários que deixaram a organização?
411 13 A organização verifica periodicamente identificadores (ID) e contas de usuário redundantes fazendo os registros destas verificações?
412 14 A organização remove ou bloqueia identificadores (ID) e contas de usuário redundantes?
413 15 A organização registra formalmente as remoçoes ou bloqueios de acesso realizados?
A organização realiza a inclusão de cláusulas nos contratos de usuários e de serviços que especifiquem as sanções em caso de tentativa de acesso
414 16
não autorizado pelos usuários ou por terceiros?
A organização possui procedimentos formalmente documentados que assegurem que identificadores de usuário (ID de usuário) redundantes não
415 17
sejam atribuídos para outros usuários?
Os sistemas de multiusuários que necessitam de proteção contra acesso não autorizado tenham a concessão de privilégios controlada por um
416 1
processo de autorização formal?
O privilégio de acesso de cada produto de sistema e cada aplicação, e de categorias de usuários para os quais estes necessitam ser concedido, é
417
formalmente identificado?
A concessão e o uso de privilégios devem 418 Os privilégios são concedidos a usuários conforme a necessidade de uso e com base em eventos alinhados com a política de controle de acesso?
Gerenciamento de
A. 11.2.2 privilégios ser restritos e
controlados. 419 A organização possui um processo de autorização e um registro de todos os privilégios concedidos?
420 Os privilégios somente são fornecidos após todo o processo de autorização estar finalizado?
Na organização os privilégios são atribuídos para um identificador de usuário (ID de usuário) diferente daqueles usados normalmente para os
421 2
negócios?
422 3 Na organização o uso privilégios de administrador de sistemas é restrito e controlada formalmente?
423 1 Existe na organização um processo de gerenciamento formal e documentado de concessão de senhas?
A organização solicita aos usuários a assinatura de uma declaração, para manter a confidencialidade de sua senha pessoal e das senhas de grupos
424 2
de trabalho?
425 3 Esta declaração assinada é incluída nos termos e condições da contratação?
Existem procedimentos para garantir que sejam fornecidas inicialmente senhas seguras e temporárias obrigando o usuário a alterá-la
426 4
Gerenciamento de A concessão de senhas deve ser controlada imediatamente?
A. 11.2.3 senha do por meio de um
427 5
A organização estabelece procedimentos para verificar a identidade de um usuário antes de fornecer uma senha temporária, de substituição ou
usuário processo de gerenciamento formal. nova?
428 6 A organização possui procedimentos para fornecer senhas temporárias aos usuários de maneira segura?
429 7 As senhas temporárias são únicas para uma pessoa e não são de fácil memorização?
430 8 Existem procedimentos para os usuários acusarem o recebimento de senhas?
431 9 As senhas são armazenadas nos sistemas de um computador de forma protegida?
432 10 As senhas padrão são alteradas logo após a instalação de sistemas ou software?
A organização realiza, através dos gestores, a intervalos regulares a análise crítica dos direitos de acesso dos usuários, por meio de um processo
433 1
formal?
O gestor deve conduzir a intervalos 434 2 Os direitos de acesso de usuários são revisados em intervalos regulares e depois de qualquer mudança?
Análise crítica dos regulares a análise crítica
Os direitos de acesso de usuários são analisados criticamente e realocados quando movidos de um tipo de atividade para outra na mesma
A. 11.2.4 direitos de dos direitos de acesso dos usuários, por 435 3
organização?
acesso de usuário meio de um processo
formal. 436 4 As autorizações para direitos de acesso privilegiado especial são analisadas criticamente em intervalos mais freqüentes?
437 5 As alocações de privilégios são verificadas em intervalo de tempo regular para garantir que privilégios não autorizados não foram obtidos?
438 6 As modificações para contas de privilégios são registradas e documentadas para análise crítica periódica?
439 1 A organização solicita aos usuários que sigam as boas práticas de segurança da informação na seleção e uso de senhas?
440 2 Os usuários são informados para manterem a confidencialidade das senhas?
Os usuários devem ser orientados a seguir Os usuários são informados para alterar senha sempre que existir qualquer indicação de possível comprometimento do sistema ou da própria
441 3
boas práticas de senha?
A. 11.3.1 Uso de senhas segurança da informação na seleção e uso 442 4 Os usuários são informados para evitar manter as senhas anotadas?
de senhas. 443 5 Os usuários são informados para selecionarem senhas de qualidade com um tamanho mínimo?
444 6 Os usuários são informados para modificarem as senhas regularmente ou com base no número de acessos?
445 7 Os usuários são informados para evitarem a reutilização ou reutilização do ciclo de senhas antigas?
Todos os usuários estão cientes dos requisitos de segurança da informação e procedimentos para proteger equipamentos desacompanhados,
446 1
assim como suas responsabilidades por implementar estas proteções?
Todos os usuários estão cientes dos requisitos de segurança da informação e procedimentos para encerrar as sessões ativas, a menos que elas
Equipamento de Os usuários devem assegurar que os 447 2
possam ser protegidas por meio de um mecanismo de bloqueio?
A. 11.3.2 usuário sem equipamentos não
monitoração monitorados tenham proteção adequada. Todos os usuários são orientados para efetuarem a desconexão com o computador de grande porte, servidores e computadores pessoais do
448 3
escritório, quando a sessão for finalizada?
Todos os usuários são orientados para protegerem os microcomputadores ou terminais contra uso não autorizado através de tecla de bloqueio ou
449 4
outro controle equivalente?
450 1 A organização adota uma política de mesa limpa de papéis e mídias de armazenamento removível?
451 2 A organização adota uma política de tela limpa para os recursos de processamento da informação?
A política de mesa limpa e tela limpa leve em consideração a classificação da informação, requisitos contratuais e legais, e o risco correspondente e
Deve ser adotada uma política de mesa 452 3
aspectos culturais da organização?
limpa de papéis e A política de mesa limpa e tela limpa contempla que as informações do negócio sensíveis ou críticas, sejam guardadas em lugar seguro quando não
Política de mesa limpa e 453 4
mídias de armazenamento removíveis e
A. 11.3.3 tela uma política de tela
em uso, especialmente quando o escritório está desocupado?
limpa A política de mesa limpa e tela limpa contempla que os computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de
limpa para os recursos de processamento
da informação. 454 5 travamento de tela e teclados controlados por senha, token ou mecanismo de autenticação similar quando sem monitoração e protegidos por tecla
de bloqueio, senhas ou outros controles, quando não usados?
A política de mesa limpa e tela limpa determina que os documentos que contêm informação sensível ou classificada sejam removidos de
455 6
impressoras imediatamente?
456 1 A organização possui uma política formal e documentada sobre o uso de redes e dos serviços de rede?
Os usuários devem receber acesso somente 457 2 A política informa as redes e serviços de redes que são permitidos de serem acessados?
Política de uso dos 458 3 A organização possui procedimentos de autorização para determinar quem tem permissão para acessar em quais redes e serviços de redes?
aos serviços que
A. 11.4.1 serviços tenham sido especificamente autorizados a 459 4 A organização possui gerenciamento dos controles e procedimentos para proteger acesso a conexões e serviços de redes?
de rede
usar. 460 5 A política de uso descreve os meios usados para acessar redes e serviços de rede?
461 6 A política de uso de serviços de rede seja consistente com a política de controle de acesso do negócio?
Autenticação para Métodos apropriados de autenticação 462 1 A política informa quais métodos de autenticação deve ser usados para controlar o acesso de usuários remotos?
A. 11.4.2 conexão devem ser usados para 463 2 Os métodos documentados cumprem o nível de proteção requerido pela análise/avaliação de riscos?
externa do usuário controlar o acesso de usuários remotos. 464 3 Os controles de acesso e procedimentos de call back, se houver, foram testados?

Devem ser consideradas as identificações

Identificação de automáticas de
As identificações automáticas indiquem claramente para qual rede o equipamento possui permissão para conectar-se, se existe mais de uma rede e
A. 11.4.3 equipamento equipamentos como um meio de autenticar 465 1
particularmente se estas redes são de sensibilidade diferente?
em redes conexões vindas de
localizações e equipamentos específicos.
Proteção e 466 1 Existem controles de acesso físico e lógico das portas de diagnóstico e configuração?
Deve ser controlado o acesso físico e lógico
configuração de
A. 11.4.4 portas de diagnóstico para diagnosticar 467 2
Portas, serviços e recursos similares instalados em um computador ou recurso de rede que não são especificamente requeridos para a
e configurar portas. funcionalidade do negócio forem desabilitados ou removidos?
remotas
468 1 Existe segregação em redes de grupos de serviços de informação, usuários e sistemas de informação?
469 2 Os domínios de segregação forem definidos com base na análise/avaliação de riscos?
470 3 Existe gateway seguro entre as duas redes a serem interconectadas?
O gateway foi configurado para filtrar tráfego entre estes domínios e bloquear acesso não autorizado conforme a política de controle de acesso da
471
organização?
Grupos de serviços de informação, usuários Os critérios para segregação de redes em domínios são baseados na política de controle de acesso e requisitos de acesso, e também levem em
e sistemas de 472
A. 11.4.5 Segregação de redes informação devem ser segregados em
conta os custos relativos e impactos de desempenho em incorporar roteamento adequado à rede out tecnologia de gatewa
redes. A segregação de redes é baseada no valor e classificação de informações armazenadas ou processadas na rede, níveis de confiança, ou linhas de
473 4
negócio, para reduzir o impacto total de uma interrupção de serviço?

Página 7 de 333
 e sistemas de
A. 11.4.5 Segregação de redes informação devem ser segregados em
redes.

A segregação de redes é baseada no valor e classificação de informações armazenadas ou processadas na rede, níveis de confiança, ou linhas de
474 5
negócio, para reduzir o impacto total de uma interrupção de serviço?
No caso de uso de redes sem fios, os controles implementados para manter a segregação de rede levarem em consideração as recomendações de
475 6
uma análise/avaliação de riscos?
pelos limites da organização, a capacidade
de usuários para A capacidade dos usuários para conectar-se à rede é restrita de acordo com a política de controle de acesso o os requisitos das aplicações do
Controle de conexão de 476 1
A. 11.4.6 rede conectar-se à rede deve ser restrita, de negócio?
acordo com a política 477 2 Os diretos de acesso dos usuários a rede são mantidos e atualizados conforme requerido pela política de controle de acesso?
roteamento na rede para
de controle de acesso e os requisitos das Existe controle de roteamento na rede para assegurar que as conexões de computador e fluxos de informação não violem a política de controle de
Controle de roteamento assegurar que as conexões de computador 478 1
A. 11.4.7 de e fluxos de acesso das aplicações do negócio?
redes informação não violem a política de controle 479 2 Existe mecanismo de verificação positiva do endereço de origem e destino?
de acesso das 480 1 O acesso aos sistemas operacionais é controlado por um procedimento seguro de entrada no sistema (log-on)?
O procedimento de entrada no sistema (log-on) não mostre identificadores de sistema ou aplicação até que o processo tenha sido concluído com
481 2
sucesso?
O procedimento de entrada no sistema (log-on) mostre um aviso geral informando que o computador seja acessado somente por usuários
482 3
autorizados?
O procedimento de entrada no sistema (log-on) valide informações de entrada no sistema somente quando todos os dados de entrada estiverem
483
completos?
Caso que ocorra uma condição de erro, o procedimento de entrada no sistema (log-on) não indique qual parte do dado de entrada está correta ou
484
incorreta?
485 O procedimento de entrada no sistema (log-on) limite o número permitido de tentativas de entradas no sistema sem sucesso?
486 O procedimento de entrada no sistema (log-on) contém um registro de tentativas com sucesso ou com falha?
O procedimento de entrada no sistema (log-on) contém uma imposição do tempo de espera antes de permitir novas tentativas de entrada no
487
Procedimentos seguros O acesso aos sistemas operacionais deve sistema ou rejeição de qualquer tentativa posterior de acesso sem autorização específica?
de ser controlado por O procedimento de entrada no sistema (log-on) faz encerramento das conexões por data link depois da extrapolação do limite de tentativas de
A. 11.5.1 entrada no sistema (log- um procedimento seguro de entrada no
488
entrada sem sucesso?
on) sistema (log-on). O procedimento de entrada no sistema (log-on) envie uma mensagem de alerta para o console do sistema se o número máximo de tentativas de
489
entrada no sistema for alcançado?
O procedimento de entrada no sistema (log-on) leva em consideração a configuração do número de reutilização de senhas alinhado com o tamanho
490
mínimo de senha e o valor do sistema que está sendo protegido?
O procedimento de entrada no sistema (log-on) limite o tempo máximo e mínimo permitido para o procedimento de entrada no sistema e, se
491
excedido, o sistema encerre o procedimento de log-on?

492 Quando o procedimento de entrada no sistema (log-on) finalize com sucesso, mostre a data e hora da última entrada no sistema com sucesso?

Quando o procedimento de entrada no sistema (log-on) finalize com sucesso, mostre detalhes de qualquer tentativa sem sucesso de entrada no
493
sistema desde o último acesso com sucesso?

494 4 O procedimento de entrada no sistema (log-on) não mostre a senha que está sendo informada (e.x. oculte os caracteres da senha por símbolos)?

Identificação
A. 11.5.2 autenticação
de usuário
Sistema de Sistemas para gerenciamento de senhas
A. 11.5.3 gerenciamento de
senha
Uso de utilitários de
A. 11.5.4 sistema
Desconexão de terminal Terminais
A. 11.5.5 por
inatividade
Limitação de horário de ser utilizadas para
A. 11.5.6 conexão
Restrição de acesso à
A. 11.6.1 informação
Isolamento de sistemas
A. 11.6.2 sensíveis
Computação
A. 11.7.1 comunicação
móvel
A. 11.7.2 Trabalho remoto
495 5 O procedimento de entrada no sistema (log-on) não transmita senhas em texto claro pela rede?
O controle de identificação e autenticação é aplicado para todos os tipos de usuários (incluindo o pessoal de suporte técnico, operadores,
496 1
administradores de rede, programadores de sistema e administradores de banco de dados)?
497 2 Os identificadores de usuários são utilizados para rastrear atividades ao indivíduo responsável?
Todos os usuários devem ter um 498 3 Atividades regulares de usuários não são executadas através de contas privilegiadas?
identificador único (ID de Em circunstanciais excepcionais, onde um identificador de usuário é compartilhado por um grupo de usuários ou para um trabalho específico, existe
e usuário), para uso pessoal e exclusivo, e 499 4
documentação da aprovação do gestor responsável?
uma técnica
adequada de autenticação deve ser No caso de uso de identificadores de usuários genéricos, as funções acessíveis ou as ações executadas pelo usuário não precisam ser rastreados,
500
escolhida para validar a ou existem outros controles implementados (p. ex. senha para identificador de usuário genérico somente fornecid
identidade alegada por um usuário. No caso de uso de identificadores de usuários genéricos, as funções acessíveis ou as ações executadas pelo usuário não precisam ser rastreados,
501 5
ou existem outros controles implementados (p. ex. senha para identificador de usuário genérico somente fornecid
Existe controles para garantir que a força da identificação e autenticação de usuário são adequada com a sensibilidade da informação a ser
502 6
acessada?
O sistema de gerenciamento de senha obrigue o uso de identificador de usuário (ID de usuário) e senha individual para manter responsabilidade
503 1
final?
O sistema de gerenciamento de senha permita que os usuários selecionem e modifiquem suas próprias senhas, incluindo um procedimento de
504 2
confirmação para evitar erros?
505 3 O sistema de gerenciamento de senha obrigue a escolha de senhas de qualidade, de acordo com a política de senhas?
devem ser interativos 506 O sistema de gerenciamento de senha obrigue a troca de senhas?
e assegurar senhas de qualidade. 507 O sistema de gerenciamento de senha obrigue os usuários a trocar a senha temporária no primeiro acesso?
508 O sistema de gerenciamento de senha mantenha um registro das senhas anteriores utilizadas e bloqueie a reutilização?
509 4 O sistema de gerenciamento de senha não mostre as senhas na tela quando forem digitadas?
510 5 O sistema de gerenciamento de senha armazene os arquivos de senha separadamente dos dados do sistema da aplicação?
511 6 O sistema de gerenciamento de senha armazene e transmita as senhas de forma protegida (p.ex. criptografada ou hashed)?
512 1 Existem procedimentos de identificação, autenticação e autorização para utilitários de sistema?
513 2 Existe segregação dos utilitários de sistema dos softwares de aplicação?
O uso de programas utilitários que podem 514 3 Existe limitação do uso dos utilitários de sistema a um número mínimo de usuários confiáveis e autorizados?
ser capazes de 515 Existe autorização para uso de utilitários de sistema não previstos?
sobrepor os controles dos sistemas e 516 Existe limitação da disponibilidade dos utilitários de sistema, p.ex. para a duração de uma modificação autorizada?
aplicações deve ser 517 Existe registro de todo o uso de utilitários de sistemas?
restrito e estritamente controlado. 518 4 Existem definição e documentação dos níveis de autorização para os utilitários de sistema?
519 5 Existem remoção ou desabilitação de todos os softwares utilitários e de sistema desnecessários?
520 6 Não foram disponibilizados utilitários de sistema para usuários que têm acesso as aplicações onde segregação de funções é requerida?
Existe uma facilidade de desconexão por tempo que preveja a limpeza da tela do terminal e o encerramento das seções do aplicativo e da rede
521 1
após um período definido de inatividade?
inativos devem ser
O prazo de tempo para a desconexão reflita os riscos de segurança da área, a classificação da informação que está sendo manuseada, as
desconectados após um período 522 2
aplicações que estão sendo utilizadas e os riscos relacionados para os usuários do terminal do equipamento?
definido de inatividade.
Este controle é implementado em locais de alto risco, os quais incluem áreas públicas ou externas fora dos limites do gerenciamento de segurança
523 3
da organização?
524 1 A organização utiliza restrições nos horários de conexão como segurança adicional para aplicações de alto risco?
Restrições nos horários de conexão devem 525 2 A organização utiliza reautenticação em intervalos de tempo?
A organização realiza restrição dos horários de conexão às horas normais de expediente se não houver necessidades para horas extras ou
proporcionar segurança adicional para
526
trabalhos fora do horário normal?
aplicações de alto risco. A organização utiliza janelas de horários predeterminados, p.ex. para lotes de transmissão de arquivos ou seções regulares interativas de cura
527 3
duração?
528 1 As restrições para acesso são baseadas nos requisitos das aplicações individuais do negócio?
529 2 A política de controle de acesso é consistente com a política de acesso organizacional?
O acesso à informação e às funções dos
sistemas de 530 3 Existem menus para controlar o acesso às funções dos sistemas de aplicação?
aplicações por usuários e pessoal de 531 Existe controle dos direitos de acesso dos usuários, p.ex. ler, escrever, excluir e executar?
suporte deve ser restrito 532 4 Existe controle dos direitos de acesso de outras aplicações?
de acordo com o definido na política de Saídas dos sistemas de aplicação que tratam informações sensíveis contenham apenas a informação relevante ao uso de tais saídas e são
controle de acesso. 533 5
enviadas apenas para os terminais e locais autorizados?
534 6 É feita uma análise crítica periódica das saídas dos sistemas de aplicação para assegurar que informação desnecessária é removida?
535 1 Existe um ambiente computacional dedicado (isolado) para os sistemas sensíveis?
Sistemas sensíveis devem ter um ambiente 536 2 A sensibilidade de cada sistema de aplicação e explicitamente identificada e documentada pelo proprietário da aplicação?
computacional
dedicado (isolado). No caso de um aplicação sensível e executada em um ambiente compartilhado, os sistemas de aplicação com os quais ela compartilhara recursos e
537 3
os correspondentes riscos foram identificadas e existe a concordância do proprietário da aplicação sensível?
A política de computação móvel levou em consideração uma analise dos riscos de se trabalhar com equipamentos de computação móvel em
538 1
ambientes desprotegidos?
A política de computação móvel inclua requisitos de proteção física, controles de acesso, técnicas criptográficas, copias de segurança e proteção
539 2
contra vírus?
Existem proteções para evitar o acesso não autorizado ou a divulgação de informações armazenadas e processadas quando recursos de
540 3
computação móvel são usados em locais públicos, salas de reuniões e outras áreas desprotegidas for a dos limites da organizaç
Uma política formal deve ser estabelecida e Existem procedimentos estabelecidos para proteger recursos de computação móvel contra softwares maliciosos e para manter estas proteções
medidas de 541
sempre atualizados?
e segurança apropriadas devem ser adotadas 542 Copias de segurança das informações criticas do negocio são feitas regularmente?
para a proteção
543 As copias de segurança sao protegidas adequadamente contra roubo ou perda de informacao?
contra os riscos do uso de recursos de
computação e O acesso remoto as informações do negocio através de redes publicas, usando os recursos de computação móvel, ocorre somente apos o sucesso
544
comunicação móveis. da identificação e autenticação?
Existe um procedimento especifico que leve em consideração requisitos legais, securitários e outros requisitos de segurança da organização para
545 4
casos de roubo ou perda de recursos de computação móvel?
Existe procedimentos para que os recursos de computação móvel que contem informações importante, sensíveis e/ou criticas para o negocio , não
546 5
são deixados sem observação e, quando possível, são fisicamente trancados?
Treinamentos ocorrem para os usuários de computação móvel, para aumentar ou nível de conscientização a respeito dos riscos adicionais
547 6
resultantes deste forma de trabalho e dos controles e precauções que devem ser implementados?
548 1 Existe um gestor que autoriza e controla o trabalho remoto?
Existe um política e procedimentos implementados para que somente são autorizados atividades de trabalho remoto que estão de acordo com a
549 2
política de segurança da organização?
550 3 Existe segurança física existente no local do trabalho remoto?
Os procedimentos levam em consideração a ameaça de acesso não autorizado a informação ou aos recursos para outras pessoas que utilizam o
551
local, p.ex. familiares e amigos?
552 Os procedimentos levam em consideração o uso de redes domesticas e requisitos ou restrições na configuração de serviços de rede sem fio?
As políticas e procedimentos foram criados para evitar disputas relativas a direitos de propriedade intelectual desenvolvidas em equipamentos de
553
propriedade particular?
As políticas e procedimentos levam em consideração o acesso a equipamentos de propriedade particular (para verificar a segurança da maquina ou
554
durante uma investigação) que pode ser proibido legalmente?
Uma política, planos operacionais e As políticas e procedimentos levam em consideração acordos de licenciamento de software que podem tornar as organizações responsáveis pelo
procedimentos devem ser 555
licenciamento do software cliente em estações de trabalho particulares de propriedade de funcionários, fornecedores
desenvolvidos e implementados para
556 As políticas e procedimentos levam em consideração requisitos de proteção contra vírus e requisitos de firewall?
atividades de trabalho
remoto. As políticas e procedimentos estabelecem que o uso de equipamentos de propriedade particular que não são sob controle da organização não e
557
permitido?
As políticas e procedimentos definem o trabalho permitido, o período de trabalho, a classificação da informação que pode ser tratada e os sistemas
558
internas e serviços que o usuário do trabalho remoto e autorizado a acessar?
Página 8 de 333
 atividades de trabalho
remoto.

559 As políticas e procedimentos contem a provisão de equipamento de comunicação apropriado, incluindo métodos para acesso remoto seguro?
560 As políticas e procedimentos definam as regras e diretrizes sobre o acesso de familiares e visitantes ao equipamento e a informação?
561 As políticas e procedimentos contem a provisão de suporte e manutenção de hardware e software?
562 As políticas e procedimentos contem a provisão de seguro?
563 As políticas e procedimentos prever copias de segurança e continuidade de negocio?
564 4 As políticas e procedimentos prever auditoria e monitoramento de segurança?
As políticas e procedimentos prever a revogação de autoridade e direitos de acesso e a devolução do equipamento quando as atividades de
565 5
trabalho remoto cessarem?
566 1
Devem ser especificados os requisitos para 567 2
Análise e especificação controles de segurança nas especificações 568 3
A. 12.1.1 dos de requisitos de negócios, para novos
569 4
requisitos de segurança sistemas de informação ou melhorias em
sistemas existentes. 570 5
571 6
572 1
573 2
Os dados de entrada de aplicações devem 574 3
Validação dos dados de
A. 12.2.1 entrada ser validados para
575 4
garantir que são corretos e apropriados.
576 5
577 6
Devem ser incorporadas, nas aplicações, 578 1
checagens de 579 2
Controle do 580 3
validação com o objetivo de detectar
A. 12.2.2 processamento qualquer corrupção de 581 4
interno
informações, por erros ou por ações 582 5
deliberadas. 583 6
Requisitos para garantir a autenticidade e 584 1
proteger a 585 2
integridade das mensagens em aplicações 586 3
Integridade de
A. 12.2.3 mensagens devem ser
587 4
identificados e os controles apropriados
devem ser 588 5
identificados e implementados. 589 6
Os dados de saída das aplicações devem 590 1
ser validados para 591 2
Validação de dados de assegurar que o processamento das 592 3
A. 12.2.4 saída informações armazenadas 593 4
está correto e é apropriado às 594 5
circunstâncias. 595 6
596 1
Deve ser desenvolvida e implementada uma 597 2
Política para o uso de política para o uso 598 3
A. 12.3.1 controles criptográficos de controles criptográficos para a proteção 599 4
da informação. 600 5
601 6
602 1
Um processo de gerenciamento de chaves 603 2
Gerenciamento de deve ser implantado 604 3
A. 12.3.2 chaves para apoiar o uso de técnicas criptográficas 605 4
pela organização. 606 5
607 6
608 1
Procedimentos para controlar a instalação 609 2
Controle de software de software em 610 3
A. 12.4.1 operacional sistemas operacionais devem ser 611 4
implementados. 612 5
613 6
614 1
615 2
Proteção dosdados Os dados de teste devem ser selecionados 616 3
A. 12.4.2 para com cuidado,
617 4
teste de sistema protegidos e controlados.
618 5
619 6
620 1
621 2
Controle de acesso ao 622 3
O acesso ao código-fonte de programa deve
A. 12.4.3 código- fonte de
ser restrito. 623 4
programa
624 5
625 6
626 1
A implementação de mudanças deve ser 627 2
Procedimentos para 628 3
controlada utilizando
A. 12.5.1 controle procedimentos formais de controle de 629 4
de mudanças
mudanças. 630 5
631 6
Aplicações críticas de negócios devem ser
analisadas 632 1
Análise crítica técnica 633 2
criticamente e testadas quando sistemas
das 634 3
operacionais são
A. 12.5.2 aplicações após
mudados, para garantir que não haverá 635 4
mudanças
nenhum impacto 636 5
no sistema operacional
adverso na operação da organização ou na 637 6
segurança.
Modificações em pacotes de software não 638 1
devem ser 639 2
Restrições sobre incentivadas e devem estar limitadas às 640 3
A. 12.5.3 mudanças mudanças
641 4
em pacotes de software necessárias, e todas as mudanças devem
ser estritamente 642 5
controladas. 643 6
644 1
645 2
Oportunidades para vazamento de 646 3
Vazamento de
A. 12.5.4 informações informações devem ser
647 4
prevenidas.
648 5
649 6
650 1
651 2
Desenvolvimento A organização deve supervisionar e 652 3
A. 12.5.5 terceirizado monitorar o
653 4
de software desenvolvimento terceirizado de software.
654 5
Deve ser obtida informação em tempo hábil 655 6
sobre 656 1
vulnerabilidades técnicas dos sistemas de 657 2
Controle de informação em uso, 658 3
A. 12.6.1 vulnerabilidades avaliada a exposição da organização a
659 4
técnicas estas vulnerabilidades e
tomadas as medidas apropriadas para lidar 660 5
com os riscos 661 6
associados. 662 1 Existem procedimentos de notificação formal estabelecidos para relatar os eventos de segurança da informação?
Existem procedimentos de resposta a incidente e escalonamento, estabelecendo a ação a ser tomada ao se receber a notificação de um evento de
663 2
segurança da informação?
664 3 A organização possui um ponto de contato formalmente estabelecido para receber as notificações dos eventos de segurança da informação?
O ponto de contato é de conhecimento de toda a organização e esta sempre disponível e em condições de assegurar uma resposta adequada e
665 4
oportuna?
Todos os funcionários, fornecedores e terceiros são alertados sobre sua responsabilidade de notificar qualquer evento de segurança da informação
666 5
o mais rapidamente possível?
Os eventos de segurança da informação Todos os fornecedores e terceiros são alertados sobre sua responsabilidade de notificar qualquer evento de segurança da informação o mais
Notificação de eventos 667
devem ser relatados rapidamente possível?
de
A. 13.1.1 segurança da
através dos canais apropriados da direção,
668
Todos os fornecedores e terceiros também estão cientes do procedimento para notificar os eventos de segurança da informação e do ponto de
o mais rapidamente contato designado para este fim?
informação
possível. Existem processos adequados de realimentação para assegurar que os eventos de segurança da informação relatados são notificados dos
669
resultados após a questão ter sido conduzida e concluída?
A organização possui formulário para apoiar a ação de notificar um evento de segurança da informação e ajudar as pessoas a lembrar as ações
670
necessárias para a notificação do evento?
Todos são orientados e instruidos sobre o comportamento correto de não tomar nenhuma ação própria, mas informar imediatamente o evento ao
671
ponto de contato?
672 Todos são orientados e instruidos sobre o comportamento correto de anotar todos os detalhes importantes imediatamente?
Existe na política e procedimentos uma referência para um processo disciplinar formal estabelecido para lidar com funcionários, fornecedores ou
673
terceiros que cometam violações de Segurança da informação?
sistemas e Existem procedimentos para que os funcionários, fornecedores e terceiros notifiquem qualqueer observaçào ou suspeita de fragilidade o mais rápido
Notificando fragilidades 674 1
serviços de informação devem ser instruídos possível para sua direção ou diretamente ao seu provedor de serviços, de forma a prevenir incidentes de segurança da informação?
de
A. 13.1.2 segurança da
a registrar e
675 2 O mecanismo de notificação é fácil, acessível e disponível sempre que possível?
notificar qualquer observação ou suspeita
informação 676 3 Os usuários são informados que não podem, sob nenhuma circunstância, tentar averiguar fragilidade suspeita?
de fragilidade em

Página 9 de 333
 Adicionalmente à notificação de eventos de segurança da informação e fragilidades o monitoramento de sistemas, alertas e vulnerabilidades é
677 1
utilizado para a detecção de incidentes de segurança da informação?
678 2 Existem procedimentos formalmente estabelecidos para manusear diferentes tipos de incidentes de segurança da informação?
679 3 Existem procedimentos formalmente estabelecidos para análise e identificação da causa do incidente?
Existem procedimentos formalmente estabelecidos para planejamento e implementação de ação corretiva para prevenir a sua repetição, se
680 4
necessário?
681 5 Existem procedimentos formalmente estabelecidos para comunicação com aqueles afetados ou envolvidos com a recuperação do incidente?
682 Existem procedimentos formalmente estabelecidos para notificação da ação para a autoridade apropriada?
Responsabilidades e procedimentos de
gestão devem ser Existe um procedimento formal para que as trilhas de auditoria e evidências similares sejam coletadas e protegidas, como apropriado, para uso
683
Responsabilidades e estabelecidos para assegurar respostas como evidência forense para o caso de uma potencial violação de contrato ou de normas reguladoras ou em caso de delitos civis ou criminais?
A. 13.2.1 procedimentos rápidas, efetivas e
ordenadas a incidentes de segurança da 684 As ações para recuperação de violações de segurança e correção de falhas do sistema são cuidadosa e formalmente controladas?
informação. Em caso de violações de segurança apenas funcionários explicitamente identificados e autorizados estão liberados para acessar sistemas e dados
685
em produção?
686 Todas as ações de emergência são documentadas e registradas em detalhe?
687 As ações de emergência são relatadas para a direção e analisadas criticamente de maneira ordenada?
688 A integridade dos sistemas do negócio e seus controles são validados na maior brevidade?
689 Os objetivos da gestão de incidentes de segurança da informação estão em concordância com a direção?
Os responsáveis pela gestão de incidentes de segurança da informação entendem as prioridades da organização no manuseio de incidentes de
690
segurança da informação?
691 6 A organização troca informações com entidades externas?
Aprendendo com os permitir que tipos, Existe um processo formal para que a informação resultante da análise de incidentes de segurança da informação seja usada para identificar
incidentes de quantidades e custos dos incidentes de 692 1
A. 13.2.2 segurança da segurança da
incidentes recorrentes ou de alto impacto?
informação informação sejam quantificados e 693 2 Existem mecanismos formais para quantificar tipos, quantidades e custos dos incidentes de segurança da informação?
Nos casos em que uma ação de Existem documentados os procedimentos internos elaborados e respeitados para as atividades de coleta e apresentação de evidências com o
acompanhamento contra uma 694 1
propósito de ação disciplinar movida em uma organização?
pessoa ou organização, após um incidente
de segurança da A organização possui mecanismos que assegurem que seus sistemas de informação estejam de acordo com qualquer norma ou código de prática
695 2
informação, envolver uma ação legal (civil publicado para produção de evidência admissível?
ou criminal), A qualidade e a inteireza dos controles usados para proteger as evidências de forma correta e consistente (ou seja, o processo de controle de
A. 13.2.3 Coleta de evidências evidências devem ser coletadas,
696 3
evidências) durante todo o período de armazenamento e processamento da evidência são demonstradas por uma trilha forte de evidência?
armazenadas e apresentadas 697 4 Todo trabalho forense é somente realizado em cópias do material de evidência?
em conformidade com as normas de 698 5 A integridade de todo material de evidência é preservada?
armazenamento de
evidências da jurisdição ou jurisdições O processo de cópia de todo material de evidência é supervisionado por pessoas confiáveis e que as informações sobre a data, local, pessoas,
699 6
pertinentes. ferramentas e programas envolvidos no processo de cópia são documentadas e registradas?
A organização possui um claro entendimento dos riscos a que a organização está exposta, no que diz respeito à sua probabilidade e impacto no
700 1
tempo, incluindo a identificação e priorização dos processos críticos do negócio?
701 2 A organização possui a identificação documentada de todos os ativos envolvidos em processos críticos de negócio?
A organização possui um claro entendimento do impacto que incidentes de segurança da informação provavelmente podem ter sobre os negócios e
Um processo de gestão deve ser 702 3
estabelecimento dos objetivos do negócio dos recursos de processamento da informação?
Incluindo segurança da desenvolvido e mantido para
informação no assegurar a continuidade do negócio por A organização tem um processo formal de consideração de contratação de seguro compatível que possa ser parte integrante do processo de
703 4
processo de toda a organização e continuidade do negócio, bem como a parte de gestão de risco operacional?
A. 14.1.1 gestão da continuidade que contemple os requisitos de segurança
A organização possui o detalhamento e documentação de planos de continuidade de negócio que contemplem os requisitos de segurança da
de da informação 704 5
informação alinhados com a estratégia da continuidade do negócio estabelecida?
negócio necessários para a continuidade do negócio 705 A organização realiza testes, exercícios e atualizações regulares dos planos e processos implantados?
da organização.
A organização tem processos que lhe garantam que a gestão da continuidade do negócio esteja incorporada aos processos e estrutura da
706
organização?

707 6 A responsabilidade pela coordenação do processo de gestão decontinuidade de negócios é atribuída a um nível adequado dentro da organização?

Os aspectos da continuidade do negócios relativos à segurança da informação são baseados na identificação de eventos (ou sucessão de eventos)
708 1
que possam causar interrupções aos processos de negócios das organizações?
A organização realiza uma análise/avaliação de riscos para a determinação da probabilidade e impacto de tais interrupções, tanto em termos de
709 2
Devem ser identificados os eventos que escala de dano quanto em relação ao período de recuperação?
podem causar As análises/avaliações de riscos da continuidade do negócio são realizadas com total envolvimento dos responsáveis pelos processos e recursos
Continuidade de 710 3
interrupções aos processos de negócio, do negócio?
negócios e
A. 14.1.2 análise/avaliação de
junto à probabilidade e
impacto de tais interrupções e as A análise/avaliação considera todos os processos do negócio e não esta limitada aos recursos de processamento das informações, mas incluem os
risco 711 4
conseqüências para a resultados específicos da segurança da informação?
segurança de informação. A análise/avaliação identifica, quantifica e prioriza os critérios baseados nos riscos e nos objetivos pertinentes à organização, incluindo recursos
712 5
críticos, impactos de interrupção, possibilidade de ausência de tempo e prioridades de recuperação?
Foi desenvolvido pela organização um plano estratégico para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos
713 6
negócios?
O processo de planejamento da continuidade de negócios considera a identificação e concordância de todas as responsabilidades e procedimentos
714 1
da continuidade do negócio?
715 2 A organização realizou a identificação da perda aceitável de informações e serviços?
A organização implementou procedimentos que permitem a recuperação e restauração das operações do negócio e da disponibilidade da
716 3
Os planos devem ser desenvolvidos e informação nos prazos necessários?
implementados para a 717 4 Existem procedimentos operacionais que permitam a conclusão de restauração e recuperação que estejam pendentes?
Desenvolvimento e
manutenção ou recuperação das operações 718 5 O processo de planejamento foca os objetivos requeridos do negócio?
implementação de
e para assegurar a
planos de O plano de continuidade do negócio trata as vulnerabilidades da organização, que podem conter informações sensíveis e que necessitem de
A. 14.1.3 continuidade relativos à disponibilidade da informação no nível 719
proteção adequada?
requerido e na escala de
segurança da As cópias do plano de continuidade do negócio são guardadas em um ambiente remoto, a uma distância suficiente para escapar de qualquer dano
tempo requerida, após a ocorrência de 720
informação de um desastre no local principal?
interrupções ou falhas
dos processos críticos do negócio. A organização possui processos que garantam ao gestor que as cópias dos planos de continuidade do negócio estão atualizados e protegidos no
721
mesmo nível de segurança como aplicado no ambiente principal?
722 Os outros materiais necessários para a execução do plano de continuidade do negócio também são armazenados em local remoto?
Caso se utilize de ambientes alternativos temporários, o nível de controles de segurança implementados nestes locais é equivalente ao ambiente
723 6
principal?
Os planos também especificam o plano de escalonamento e as condições para sua ativação, assim como as responsabilidades individuais para
724 1
execução de cada uma das atividades do plano?
Uma estrutura básica dos planos de Os procedimentos do programa de gestão de mudança da organização estão incluídos para assegurar que os assuntos de continuidade de
725 2
continuidade do negócio negócios estão sempre direcionados adequadamente?
deve ser mantida para assegurar que todos 726 3 Quando novos requisitos são identificados os procedimentos de emergência relacionados são ajustados de forma apropriada?
Estrutura do plano de os planos são
Os procedimentos do programa de gestão de mudança da organização são incluídos para assegurar que os assuntos de continuidade de negócios
A. 14.1.4 continuidade do consistentes, para contemplar os requisitos 727 4
estejam sempre direcionados adequadamente?
negócio de segurança da
informação e para identificar prioridades Os procedimentos de emergência, de recuperação, manual de planejamento e planos de reativação são de responsabilidade dos gestores dos
728
para testes e recursos de negócios ou dos processos envolvidos?
manutenção. Os procedimentos de recuperação para serviços técnicos alternativos, como processamento de informação e meios de comunicação, são
729 5
normalmente de responsabilidade dos provedores de serviços?
730 6 A estrutura de planejamento para continuidade de negócios contemple os requisitos de segurança da informação identificados?
Os testes do plano de continuidade do negócio asseguram que todos os membros da equipe de recuperação e outras pessoas relevantes estão
731 1
conscientes dos planos e de suas responsabilidades para a continuidade do negócio e a segurança da informação?
Os testes do plano de continuidade do negócio asseguram que todos os membros da equipe de recuperação e outras pessoas relevantes
732 2 conhecem as suas atividades quando um plano for
acionado?
Testes, manutenção e Os planos de continuidade do negócio
reavaliação dos planos devem ser testados e O planejamento e a programação dos testes do(s) plano(s) de continuidade de negócios indicam como e quando cada elemento do plano seja
733 3
A. 14.1.5 de atualizados regularmente, de forma a testado?
continuidade do assegurar sua 734 Os componentes isolados do(s) plano(s) são freqüentemente testados?
negócio permanente atualização e efetividade. 735 4 A responsabilidade pelas análises críticas periódicas de cada parte do plano esta definida e estabelecida?
A identificação de mudanças nas atividades do negócio que ainda não tenham sido contempladas nos planos de continuidade de negócio são
736 5
seguidas por uma apropriada atualização do plano?
Existe um controle formal de mudanças que assegure que os planos atualizados são distribuídos e reforçados por análises críticas periódicas do
737 6
regulamentares e contratuais relevantes, e o plano como um todo?
Identificação da enfoque da organização para atender a 738 1 As responsabilidades são definidas e documentadas?
A. 15.1.1 legislação estes requisitos devem ser explicitamente 739 2 A legislação vigente esta identificada?
vigente definidos, documentados e mantidos 740 3 São mantidos registros da legislação em vigor?
atualizados para cada sistema de
741 1 Existe uma política de conformidade com os direitos de propriedade intelectual que defina o uso legal de produtos de software e de informação?
Procedimentos apropriados devem ser Existe um processo formal e documentado de aquisição de software somente de fontes conhecidas para assegurar que o direito autoral não esta
implementados para garantir a 742 2
sendo violado?
conformidade com os requisitos legislativos, 743 3 Existe um trabalho de conscientização das políticas para proteger os direitos de propriedade intelectual?
Direitos de propriedade
A. 15.1.2 intelectual regulamentares e contratuais no uso de
744 4 A organização somente trabalha com software registrado e legal?
material, em relação aos quais pode haver
direitos de propriedade intelectual e sobre o 745 5 São implementados controles que assegurem que o número máximo de usuários permitidos não excede o número máximo de licenças adquiridas?
uso de produtos de software proprietários.
746 6 São conduzidas verificações para que somente produtos de software autorizados e licenciados sejam instalados?
747 São utilizadas ferramentas de auditoria?
748 1 Os registros são categorizados em tipos de registro, com detalhes do período de retenção e do tipo de mídia de armazenamento?
749 2 As chaves de criptografia são armazenadas para permitir a decifração de registros pelo período de tempo que o registro devem ser mantidos?
750 3 Existem cuidados e procedimentos formalizados sobre a possibilidade de deterioração das midias usadas no armazenamento dos registros?
Registros importantes devem ser protegidos No processo de armazenamento estão incluídos procedimentos para assegurar a capacidade de acesso aos dados durante o período de retenção,
751 4
Proteção de registros contra perda, destruição e falsificação, de para proteger contra perdas ocasionadas pelas futuras mudanças na tecnologia?
A. 15.1.3 organizacionais acordo com os requisitos regulamentares, 752 5 Existem diretrizes escritas ou planos documentados para retenção, armazenamento, tratamento e disposição de registros e informações?
estatutários, contratuais e do negócio. 753 6 Existe um plano para retenção identificando os registros essenciais e o período que cada um deve ser mantido?
754 É mantido um inventário das fontes de informações-chaves?
755 São implementados controles apropriados para proteger registros e informações contra perda, destruição e falsificação?
756 Existe um processo documentado de destruição de registros após vencido o tempo e este não sejam mais necessários?
Proteção de dados e A privacidade e a proteção de dados devem 757 1 Existe uma política de privacidade e proteção de dados?
privacidade da ser asseguradas conforme exigido nas
A. 15.1.4 informação legislações relevantes, regulamentações e,
758 2 O tratamento de informações pessoais é realizado de acordo com as legislações e regulamentações relevantes?
pessoal se aplicável, nas cláusulas contratuais. 759 3 São implementadas medidas organizacionais e técnicas apropriadas para proteger as informações pessoais?
760 1 Os usos de recurso de processamento da informação são aprovados pela direção?
O uso de recursos de processamento da informação para propositos não relacionados ao negócio ou não autorizados, sem aparovação da direção
761 2
ou para quaisquer propósitos não autorizados, é considerado como uso impróprio destes recursos?
Prevenção de mau uso Página 10 de 333
de Os usuários devem ser dissuadidos de usar
A. 15.1.5 recursos de os recursos de processamento da
 Prevenção de mau uso Existe um processo documentado para que toda atividade não autorizada identificada por processo de monitoração ou outros meios, seja levada ao
762 3
de Os usuários devem ser dissuadidos de usar conhecimento do gestor responsável para que sejam aplicadas as ações disciplinares e/ou legais pertinentes?
A. 15.1.5 recursos de os recursos de processamento da 763 4 Existe apoio de uma assessoria legal antes da implementação dos procedimentos de monitoração?
processamento informação para propósitos não autorizados. 764 5 Existe um registro escrito e assinado pelo usuárioonde são descritas as autorizações do usuário?
da informação
765 6 Existe um documento formal informando a todos os funcionários de que nenhum acesso é permitido com exceção daqueles que foram autorizados?

Existe um documento formal informando a todos os fornecedores e terceiros de que nenhum acesso é permitido com exceção daqueles que foram
766
autorizados?
Regulamentação de Controles de criptografia devem ser usados 767 1 Os controles de criptografia utilizados estão em conformidade com as leis e regulamentações vigentes?
A. 15.1.6 controles em conformidade com leis, acordos e
de criptografia regulamentações relevantes. 768 2 Houve assessoramento jurídico para garantir a conformidade com as legislações e leis nacionais vigentes?
769 1 Os gestores analisam criticamente periodicamentea conformidade do processamento da informação dentro da sua área de responsabilidade?
Os gestores devem garantir que todos os 770 2 No caso de ser encontrada não-conformidade existe um processo para determinar as causas da não-conformidade?
Conformidade com as procedimentos de segurança dentro da sua 771 3 Existe um processo de avaliação da necessidade de ações que assegurem que a não-conformidade não se repita?
políticas e normas de área de responsabilidade sejam executados
A. 15.2.1 segurança da corretamente para atender à conformidade
772 4 São determinadas e implementadas ações corretivas necessárias?
informação com as normas e políticas de segurança da 773 5 Os gestores fazem a análise crítica da ação corretiva adotada?
informação. 774 6 Os resultados das análise críticas e das ações corretivas são documentadas, registradas e armazenadas?
775 Os resultados das análise críticas e das ações corretivas são disponibilizados para as pessoas que realizam a análise crítica independente?
Os sistemas de informação devem ser 776 1 São realizadas verificações de conformidade técnica?
Verificação da
periodicamente verificados quanto à sua
A. 15.2.2 conformidade conformidade com as normas de segurança
777 2 As verificações de conformidade técnica são realizadas e/ou acompanhadas por pessoal técnico especialista, competente e experiente?
técnica 778 3 As verificações de conformidade técnica são planejadas, documentadas e repetidas?
da informação implementadas.
Os requisitos e atividades de auditoria Os requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais são cuidadosamente planejadas e acordadas para
envolvendo verificação nos sistemas 779 1
Controles de auditoria minimizar os riscos de interrupção dos processos do negócio?
operacionais devem ser cuidadosamente
A. 15.3.1 de planejados e acordados para minimizar os
780 2 Os requisitos de auditoria são acordados com o nível apropriado da administração?
sistemas de informação 781 3 Todos os procedimentos, requisitos e responsabilidades são documentados e registrados?
riscos de interrupção dos processos do
negócio. 782 4 As pessoas que executam a auditoria são independentes das atividades auditadas?

Proteção de
O acesso às ferramentas de auditoria de
ferramentas de
sistema de informação deve ser protegido Os acessos às ferramentas de auditoria de sistemas de informação, por exemplo, software ou arquivos de dados, são separados de sistemas em
A. 15.3.2 auditoria de sistemas para prevenir qualquer possibilidade de uso
783 1
desenvolvimento e em operação?
de
impróprio ou comprometimento.
informação

Página 11 de 333
Sim Integralmente realizado
Não Não realizado
Parcial Parcialmente realizado
NA Não se aplica neste contexto

Mandatório 4
Sim S/ Mandatório 3
Parcial 1
Não 0
 A. 5 POLÍT
Seção Descrição do Controle Relevancia
Controle

Um documento da política de segurança da

Documento da política
informação deve ser aprovado pela direção,
A. 5.1.1 de segurança da
publicado e comunicado para todos os
informação
funcionários e partes externas relevantes.

A política de segurança da informação deve

ser analisada criticamente a intervalos
Análise crítica da política
planejados ou quando mudanças
A. 5.1.2 de segurança da
significativas ocorrerem, para assegurar a
informação
sua contínua pertinência, adequação e
eficácia.
Sim
Não
Parcial
NA
A. 5 POLÍTICA DE SEGURANÇA
Questionamentos Resposta

Existem políticas de segurança escritas e formalmente

1 Sim
aprovadas pela direção

2 A política de segurança é publicada? Sim

3 O usuário tem fácil acesso a política de segurança? Sim
4 A política foi comunicada a todos os usuários? Sim
Existe um plano de divulgação das políticas de
5 Sim
segurança?
6 A política foi comunicada as partes externas? Sim

A política expressa as preocupações da direção e

1 estabelece as diretrizes básicas para a gestão da Sim
segurança da informação?
Existe um gestor formalmente designado como
2 responsável pela manutenção e análises críticas das Sim
políticas?

É realizada a análise crítica como decorrência de

qualquer mudança que venha afetar a avaliação de
risco original? (Exemplos: Incidentes de segurança
3 Sim
significativos, novas vulnerabilidades ou mudanças
organizacionais ou na infra-estrutura técnica, entre
outras.)
Existe um planejamento de realizar uma análise crítica
4 Sim
das politicas periódicamente a intervalos regulares?
O processo de análise crítica verifica as políticas de
5 segurança quanto a sua pertinência, adequação e Sim
eficácia?
Sim
Não
Parcialmente
N/A
Observações/Justificativas
 A. 6 ORGANIZANDO A
A.6.1 Infra-estrutura da segurança da informação
Controle Seção Descrição do Controle Relevancia

A Direção deve apoiar ativamente a O

segurança da informação
A. 6.1.1 dentro da organização, por meio de um
Comprometimento da
claro direcionamento, O
direção
demonstrando o seu comprometimento,
com a segurança da
definindo atribuições
informação
de forma explícita e conhecendo as
responsabilidades pela
segurança da informação.

As atividades de segurança da informação

devem ser
Coordenação da
coordenadas por representantes de
A. 6.1.2 segurança
diferentes partes da
da informação
organização, com funções e papéis
relevantes.

Atribuição de
Todas as responsabilidades pela segurança
responsabilidades para a
A. 6.1.3 segurança da
da informação
devem estar claramente definidas.
informação

Processo de autorização Deve ser definido e implementado um

para processo de gestão de
A. 6.1.4 os recursos de autorização para novos recursos de
processamento da processamento da
informação informação.
 Um documento da política de segurança da
Acordos de informação dece ser aprovado pela direção,
A. 6.1.5 confidencialidade publicado e comunicado para todos os
funcionários e partes externas relevantes.

Contatos apropriados com autoridades

A. 6.1.6 Contato com autoridades relevantes devem ser
mantidos.

Contatos apropriados com grupos de

interesses especiais ou
Contato com grupos outros fóruns especializados de segurança
A. 6.1.7 especiais da informação e
associações profissionais devem ser
mantidos.

O enfoque da organização para gerenciar a

segurança da
informação e a sua implementação (por
exemplo, controles,
objetivo dos controles, políticas, processos e
Análise crítica procedimentos
independente para a segurança da informação) deve ser
A. 6.1.8 de segurança da analisado
informação criticamente, de forma independente, a
intervalos planejados,
ou quando ocorrerem mudanças
significativas relativas à
implementação da segurança da
informação.

A.6.2 Partes Externas

Controle Seção Descrição do Controle
 Os riscos para os recursos de
processamento da informação e
para a informação da organização oriundos
Identificação dos riscos de processos do
A. 6.2.1 relacionados com partes negócio que envolvam as partes externas
externas devem ser
identificados e controles apropriados devem
ser implementados
antes de se conceder o acesso.

Todos os requisitos de segurança da

Identificando a
informação identificados
segurança da
devem ser considerados antes de conceder
A. 6.2.2 informação quando
aos clientes o
tratando
acesso aos ativos ou às informações da
com os clientes.
organização.

acesso, processamento, comunicação ou

gerenciamento dos recursos
Identificando segurança de processamento da informação ou da
da informação da
A. 6.2.3 informação nos acordos organização, ou o acréscimo de produtos ou
com serviços aos
terceiros recursos de processamento da informação
devem cobrir todos
os requisitos de segurança da informação
Sim
Não
Parcial
NA
ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO

Questionamentos Resposta

A direção apoia ativamente a segurança da

1 NA
informação?

Existe um documento formal onde a direção se

2 Parcial
compromete a apoiar a segurança da informação?
A direção definiu atribuições e responsabilidades pela
3 NA
segurança da informação?
É estabelecida pela direção uma estrutura para iniciar e
4 gerenciar a segurança da informação dentro da NA
organização?

Foi criado um Fórum de Segurança multifuncional, com

1 membros do corpo administrativo, da direção e Sim
representantes de setores diversos?
Existe um coordenador geral formalmente designado
2 Parcial
como responsável pela segurança da informação?
Existem coordenadores de segurança da informação
3 NA
em cada setor da organização?

As atribuições e responsabilidades para a segurança da

1 Não
informação estão documentadas?
Todas as responsabilidades estão claramente
2 Parcial
definidas?
Os responsáveis possuem conhecimento das suas
3 Parcial
responsabilidades?
Estão definidas as responsabilidades pela proteção de
4 cada ativo e pelo cumprimento dos processos de Parcial
segurança?

Existe um processo formal de autorização de novos

1 NA
recursos de processamento da informação?
O responsável pela segurança da informação também
2 participa do processo de autorização de novos Parcial
recursos?
O processo de autorização preve que os novos
3 hardware e software sejam verificados para garantir a Parcial
compatibilidade com outros componentes do sistema?
Existe um processo documentado para autorização do
4 uso de recursos de processamento de informações Sim
pessoais (notebook, PDA)?

Existem acordos de confidencialidade para a proteção

1 Parcial
das informações críticas?
 O acordo de confidencialidade define a informação a
2 NA
ser protegida?
3 É previsto o prazo de vigência do acordo? NA
Estão previstas as ações necessárias quando o acordo
4 Parcial
for encerrado?
O acordo descreve as responsabilidades e ações dos
5 Não
signatários?
O acordo descreve como e por que deve ser o uso da
6 NA
informação protegida pelo acordo?
Existe um processo documentado para a notificação e
7 Parcial
relato de divulgação não autorizada?

O acordo cita o direito de auditar e monitorar as

8 Sim
atividades que envolvem as informações confidenciais?

9 O acordo é endossado pela área jurídica? NA

Existe um processo formal de revisão dos acordos de
10 NA
confidencialidade?

Existem procedimentos documentados de quem, como

1 e em quais situações são mantidos contatos com Parcial
autoridades?
Existe uma relação relacionando as autoridades com
2 NA
quem se deve entrar em contato?

1 Existe um procedimento de contato com algum CTIR? Parcial

Existe a participação em algum grupo ou forum
2 Parcial
relacionado a segurança da informação?
Existe um procedimento formal de recebimento prévio
3 NA
de alertas de segurança?

Existe u processo documentado para análise crítica

1 independente da organização para gerenciar a Parcial
segurança da informação e a sua implementação?
Estão previstas neste processo a avaliação de
2 oportunidades para melhoria e a necessidade de Parcial
mudanças?
A análise crítica é realizada por pessoal independente
3 Parcial
da área avaliada?
Os resultados da análise crítica estão registrados e
4 Parcial
arquivados?
5 A direção tomou conhecimento dos resultados? Parcial
A direção fez e implementou um plano para as ações
6 Parcial
corretivas necessárias?

Questionamentos Resposta
 É realizada uma análise de risco para identificar os
1 NA
riscos relacionados com partes externas?
Os recursos de processamento que uma parte externa
2 esteja autorizada a acessar foram levantados e NA
identificados?
O processo e o tipo de acesso que a parte externa terá
3 aos recursos de processamento da informação e à NA
informação estão identificados e documentados?
Existe um registro atualizado das pessoas da parte
4 externa envolvidos no manuseio das informações da NA
organização?
São adotados controles e procedimentos necessários
5 para proteger a informação que não deve ser acessada NA
pelas partes externas?
Existem práticas e procedimentos para tratar incidentes
6 de segurança da informação e danos potenciais que NA
envolvam as partes externas?
Estão documentadas as diferentes formas e controles
empregados pela parte externa quando estiver
7 NA
armazenando, processando, comunicando,
compartilhando e repassando informações?
Existe um contrato assinado regulando e definindo os
8 termos e condições para a conexão ou acesso e os NA
preparativos para o trabalho?

Existem processos e procedimentos para contemplar a

1 segurança da informação ao conceder acesso aos NA
clientes?
Existe uma política de controle documentado e
2 divulgada para realizar o controle de acesso dos NA
clientes?
Existe u processo para revogar ou interromper o acesso
3 NA
dos clientes?

Existe acordos com terceiros regulando e definindo os

1 processos e procedimentos de segurança da NA
informação para terceiros?
2 Existe um plano de treinamento de terceiros? NA
3 Existe um controle de participação no treinamento? NA
Existe uma política de controle de acesso físico e lógico
4 NA
de terceiros?
 Observações/Justificativas

ERRO!! Não pode ser Não aplicável!!

Observações/Justificativas
 A. 7 GE
A.7.1 Responsabilidade pelos ativos
Controle Seção Descrição do Controle Relevância

Todos os ativos devem ser claramente

identificados e um O
A. 7.1.1 Inventário dos ativos inventário de todos os ativos importantes
deve ser estruturado
e mantido.
Todas as informações e ativos associados
com os recursos de
processamento da informação devem ter um
A. 7.1.2 Proprietário dos ativos
"proprietário"
designado por uma parte definida da
organização.

Devem ser identificadas, documentadas e

implementadas
regras para que seja permitido o uso de
A. 7.1.3 Uso aceitável dos ativos informações e de
ativos associados aos recursos de
processamento da
informação.

A.7.2 Classificação da informação

Controle Seção Descrição do Controle
A informação deve ser classificada em
Recomendações para termos do seu valor,
A. 7.2.1 classificação requisitos legais, sensibilidade e criticidade
para a organização.

Um conjunto apropriado de procedimentos

para rotular e tratar
Rótulos e tratamento da a informação deve ser definido e
A. 7.2.2 informação implementado de acordo com
o esquema de classificação adotado pela
organização.
Sim
Não
Parcial
NA
A. 7 GESTÃO DE ATIVOS

Questionamentos Resposta

A organização possui um inventário atualizado e

1 Sim
documentado de todos os ativos?

2 Existe um processo de atualização do inventário? Sim

3 Todos os ativos são identificados? Sim
A organização tem formalmente designado um
1 Sim
proprietário para cada ativo?
O proprietário designado, periódicamente analisa
2 criticamente as classificações e restrições ao acesso do Sim
ativo?

1 Existem formalmente políticas de uso aceitável? Sim

Existe uma política de uso da internet no ambiente
2 Sim
corporativo?
Existe uma política de uso do correio eletronico no
3 Sim
ambiente corporativo?
Existe uma política de uso de dispositivos móveis no
4 Sim
ambiente corporativo?

Questionamentos Resposta
Existe uma política documentada e formal de
1 Sim
classificação das informações?
A classificação das informações é realizada pelo
2 Sim
proprietário?

Existem procedimentos documentados para o

1 Sim
tratamento/manuseio de informações classificadas?
Observações/Justificativas

Observações/Justificativas
 teste

1
2
3

Page 33
 A. 8 SEGURANÇA
A.8.1 Antes da contratação
Controle Seção Descrição do Controle Relevância

Os papéis e responsabilidades pela

segurança da informação
de funcionários, fornecedores e terceiros
Papéis e
A. 8.1.1 responsabilidades
devem ser definidos e
documentados de acordo com a política de
segurança da
informação da organização.

fornecedores e terceiros devem ser

realizadas de acordo com
as leis relevantes, regulamentações e
A. 8.1.2 Seleção
éticas, e
proporcionalmente aos requisitos do
negócio, à classificação

Como parte das suas obrigações

contratuais, os funcionários,
fornecedores e terceiros devem concordar e
assinar os termos
Termos e condições de
A. 8.1.3 contratação
e condições de sua contratação para o
trabalho, os quais
devem declarar as suas responsabilidade e
da organização
para a segurança da informação.

A.8.2 Durante a contratação

Controle Seção Descrição do Controle
 A direção deve solicitar aos funcionários,
fornecedores e
terceiros que pratiquem a segurança da
Responsabilidades da
A. 8.2.1 direção
informação de acordo
com o estabelecido nas políticas e
procedimentos da
organização.

Todos os funcionários da organização e,

onde pertinente,
Conscientização, fornecedores e terceiros devem receber
educação e treinamento
A. 8.2.2 treinamento em apropriado em conscientização, e
segurança da atualizações regulares nas
informação políticas e procedimentos organizacionais
relevantes para as
suas funções.

Deve existir um processo disciplinar formal

para os funcionários
A. 8.2.3 Processo disciplinar que tenham cometido uma violação da
segurança da
informação.

A.8.3 Encerramento ou mudança da contratação

Controle Seção Descrição do Controle

As responsabilidades para realizar o

encerramento ou a
Encerramento de
A. 8.3.1 atividades
mudança de um trabalho devem ser
claramente definidas e
atribuídas.
 Todos os funcionários, fornecedores e
terceiros devem
devolver todos os ativos da organização que
A. 8.3.2 Devolução de ativos estejam em sua
posse após o encerramento de suas
atividades, do contrato ou
acordo.

Os direitos de acesso de todos os

funcionários, fornecedores e
terceiros às informações e aos recursos de
processamento da
Retirada de direitos de
A. 8.3.3 acesso
informação devem ser retirados após o
encerramento de suas
atividades, contratos ou acordos, ou devem
ser ajustados após
a mudança destas atividades.
Sim
Não
Parcial
NA
A. 8 SEGURANÇA EM RECURSOS HUMANOS

Questionamentos Resposta

Os papéis e responsabilidades dos funcionários pela

1 segurança da informação estão definidos e Não
documentados?
Os papéis e responsabilidades dos fornecedores pela
2 segurança da informação estão definidos e Não
documentados?
Os papéis e responsabilidades dos terceiros pela
3 segurança da informação estão definidos e Não
documentados?
Durante o processo de pré-contratação os papéis e
4 responsabilidades são definidos e claramente Não
comunicado aos candidadtos?
na descrição dos papéis e responsabilidades estão
definidos os requisitos para a proteção dos ativos
5 Não
contra acesso não autorizado, divulgação, modificação,
destruição ou interferência?

Existe um processo formalizado para a realização de

1 verificações de controle durante o processo de seleção Não
de funcionários?
A organização possui um processo de seleção para
2 Não
fornecedores e terceiro?

Todos os funcionários que tenham acesso à

informações sensiveis assinam um termo de
1 Não
confidencialidade ou de não divulgação no ato de sua
contratação?
Todos os fornecedores que tenham acesso à
informações sensiveis assinam um termo de
2 Não
confidencialidade ou de não divulgação no ato de sua
contratação?
Todos os terceiros que tenham acesso à informações
3 sensiveis assinam um termo de confidencialidade ou de Não
não divulgação no ato de sua contratação?
Existe um código de conduta que seja divulgado aos
4 Não
funcionários, fornecedores e terceiros?

Questionamentos Resposta
 A direção realiza verificações que assegurem que os
funcionários atendem aos termos e condições de
1 Sim
contratação, incluindo a política de segurança da
informação e métodos apropriados de trabalho?
A direção realiza verificações que assegurem que os
fornecedores atendem aos termos e condições de
2 Sim
contratação, incluindo a política de segurança da
informação e métodos apropriados de trabalho?
A direção realiza verificações que assegurem que os
terceiros atendem aos termos e condições de
3 Sim
contratação, incluindo a política de segurança da
informação e métodos apropriados de trabalho?

Os funcionários recebem treinamento periódico sobre

1 Sim
segurança da informação?
Os fornecedores recebem treinamento ou orientação
2 Sim
periódicamente sobre segurança da informação?
Os terceiros recebem treinamento periódico sobre
3 Sim
segurança da informação?
Todos os funcionários recebem treinamento sobre
4 Sim
segurança da informação?
É realizado um controle e registrado a participação dos
5 funcionários nos treinamentos de segurança da Sim
informação?

Existe um processo disciplinar formal para os

1 funcionários que cometetm uma violação da segurança Sim
da informação?
É realizada uma coleta de evidências antes do início do
2 Sim
processo disciplinar?
Existe um processo disciplinar formal, previsto em
3 contrato, para os fornecedores e terceiros que Sim
cometetm uma violação da segurança da informação?
O processo disciplinar é previsto no contrato de
4 Sim
trabalho do funcionário?
5 O processo disciplinar é documentado e registrado? Sim

Questionamentos Resposta
O processo de encerramento de atividades do
1 funcionário inclue requisitos de segurança da Sim
informação?
Existe um processo para gerenciar as mudanças de
2 Sim
responsabilidades internas?
Durante o processo de encerramento das atividades é
comunicado formalmente ao ex-funcionário que os
3 Sim
acordos de confidencialidade continuam em vigor por
um determinado período de tempo?
 Existe um processo formalizado comtemplando a
1 devolução de todos os equipamentos, documentos Sim
corporativos e software entregues à pessoa?
As atividades e conhecimento de quem encerra suas
2 atividades é documentada e transferida para a Sim
organização?

Durante o trâmite do processo de encerramento das

1 atividades os direitos de acesso são reduzidos ou Sim
retirados?
Após o encerramento das atividades, se o ex-
2 funcionário possuia conhecimento de senhas, estas Sim
senhas são lateradas?
Imediatamente após o encerramento das atividades são
3 Sim
retirados os direitos de acesso físico e lógico?
Existe um processo formalizado e documentado para
troca de senhas, reirada de direitos de acessos, quando
4 Sim
do encerramento das atividades ou de uma mudança
interna?
Em uma mudança interna existe um processo para
5 Sim
alteração dos direitos de acesso?
Observações/Justificativas

Observações/Justificativas
Observações/Justificativas
 A. 9 Seguran
A.9.1 Áreas seguras
Controle Seção Descrição do Controle Relevância

Devem ser utilizados perímetros de

segurança (barreiras tais
A. 9.1.1 como paredes, portões de entrada
controlados por cartão ou
Perímetro de segurança
balcões de recepção com recepcionistas)
física
para proteger as
áreas que contenham informações e
recursos de
processamento da informação.

As áreas seguras devem ser protegidas por

controles
Controles de entrada
A. 9.1.2 física
apropriados de entrada para assegurar que
somente pessoas
autorizadas tenham acesso.

Segurança em Deve ser projetada e aplicada segurança

A. 9.1.3 escritórios física para escritórios,
salas e instalações salas e instalações.

Deve ser projetada e aplicada proteção

física contra incêndios,
Proteção contra
enchentes, terremotos, explosões,
ameaças
A. 9.1.4 externas e do meio
perturbações da ordem
pública e outras formas de desastres
ambiente
naturais ou causados
pelo homem.

Deve ser projetada e aplicada proteção

Trabalhando em áreas
A. 9.1.5 seguras
física, bem como
diretrizes para o trabalho em áreas seguras.
 Deve ser projetada e aplicada proteção
Trabalhando em áreas
A. 9.1.5 seguras
física, bem como
diretrizes para o trabalho em áreas seguras.

Pontos de acesso, tais como áreas de

entrega e de
carregamento e outros pontos em que
pessoas não
Acesso do público, áreas
autorizadas possam entrar nas instalações,
de
A. 9.1.6 entrega e de
devem ser
controlados e, se possível, isolados dos
carregamento
recursos de
processamento da informação, para evitar o
acesso não
autorizado.

A.9.2 Segurança de equipamentos

Controle Seção Descrição do Controle

Os equipamentos devem ser colocados no

local ou protegidos
Instalação e proteção do para reduzir os riscos de ameaças e perigos
A. 9.2.1 equipamento do meio ambiente,
bem como as oportunidades de acesso não
autorizado.

Os equipamentos devem ser protegidos

contra falta de energia
A. 9.2.2 Utilidades elétrica e outras interrupções causadas por
falhas das
utilidades.
A. 9.2.2 Utilidades elétrica e outras interrupções causadas por
falhas das
utilidades.

O cabeamento de energia e de
telecomunicações que
Segurança do transporta dados ou dá suporte aos serviços
A. 9.2.3 cabeamento de informações
deve ser protegido contra interceptação ou
danos.

Os equipamentos devem ter manutenção

Manutenção dos correta, para
A. 9.2.4 equipamentos assegurar sua disponibilidade e integridade
permanente.

Devem ser tomadas medidas de segurança

Segurança de para equipamentos
equipamentos que operem fora do local, levando em conta
A. 9.2.5 fora das dependências os diferentes
da riscos decorrentes do fato de se trabalhar
organização fora das
dependências da organização.

Todos os equipamentos que contenham

mídias de
armazenamento de dados devem ser
examinados antes do
Reutilização e alienação
A. 9.2.6 segura de equipamentos
descarte, para assegurar que todos os
dados sensíveis e
softwares licenciados tenham sido
removidos ou
sobregravados com segurança.
 Todos os equipamentos que contenham
mídias de
armazenamento de dados devem ser
examinados antes do
Reutilização e alienação
A. 9.2.6 segura de equipamentos
descarte, para assegurar que todos os
dados sensíveis e
softwares licenciados tenham sido
removidos ou
sobregravados com segurança.

Equipamentos, informações ou software não

A. 9.2.7 Remoção de propriedade devem ser
retirados do local sem autorização prévia.
Sim
Não
Parcial
NA
A. 9 Segurança física e do ambiente

Questionamentos Resposta

A análise de risco contempla a análise do perímetro de

1 Sim
segurança física?

Os perímetros de segurança estão claramente

2 Não
definidos?
As portas externas são protegidas contra acesso não
3 Sim
autorizados por meio de mecanismos de controles?
O acesso aos locais ou edíficios é restrito somente ao
4 Parcial
pessoal autorizado?
Existem áreas de recepção para controlar o acesso
5 Parcial
físico ao local ou edíficios?
As portas corta-fogo do perímetro de segurança são
6 Sim
providas de alarme, monitoradas e testadas?
Existem sistemas de detecção de intrusão física, com
alarmes, monitorados e testados, cobrindo todas as Parcial
portas e janelas externas?

Existe um controle de entrada física documentado e

1 Sim
registrado?
2 É exigido o uso de forma vísivel de uma identificação? Sim
Existe um procedimento documentado e divulgado
3 sobre como proceder ao encontrar alguém sem Sim
identificação e desacompanhado?
Os terceiros que realizam serviços de suporte em áreas
4 sensiveis tem acesso autorizado e monitorado a cada Sim
visita?

As instalações-chaves e sensíveis são localizadas de

1 Sim
maneira a evitar o acesso do público?
As llistas de funcionáriose os guias telefonicos internos
2 Sim
são protegidos do acesso público ostensivo?

Os materiais perigosos são armazenados a uma

1 Sim
distância segura das áreas de segurança?
Os equipamentos para contingência e de backup ficam
2 a uma distância segura para que não sejam danificados Sim
em caso de um desastre?
Existe material de prevenção, detecção e combate a
3 Sim
incêndios?
Existe um plano documentado e divulgado de
4 Sim
prevenção e combate a incêndios?

1 Existem diretrizes para trabalho em áreas sensíveis? Sim

 O trabalho em áreas seguras é executado sob
2 Sim
supervisão?
Existe um controle registrado sobre quem trabalha
3 Sim
nestas áreas seguras?

O acesso a partir do exterior às áreas de entrega e

1 carregamento é restrito ao pessoal identificado e Sim
autorizado?
Os materiais entregues são inspecionados para
2 detectar possíveis ameaças antes de irem para o local Sim
onde sertão usados?
Os materiais entregues são registrados por ocasião da
3 sua entrada no local, usando os procedimentos de Sim
gerenciamento de ativos?

Questionamentos Resposta
As instalações de processamento da informação que
1 manuseiam dados sensíveis são posicionadas de forma Sim
que o ângulo de visão seja restrito?
Os itens sensíveis que exigem proteção especial são
2 mantidas isoladas a fim de reduzir o nível geral de Sim
proteção?
As condições ambientais (temperatura, umidade,...) são
3 Sim
monitorados e registrados?
4 Todos os edíficios possuem proteção contra raios? Sim

Todas as linhas de entrada de força e de comunicações

5 Sim
possuem filtro de proteção contra raios?

Existem diretrizes quanto a comer, beber e fumar nas

6 proximidades das instalações de processamento da Sim
informação?

O suprimento de energia elétrica é adequado para os

1 Sim
sistemas que eles suportam?

Os sistemas de calefação/ventilação e ar-condicionado

2 Sim
são adequados para os sistemas que eles suportam?

Existe um plano documentado de inspeção e teste das

3 Sim
utilidades?
As chaves de emergência para o desligamento da
4 energia estão localizados nas proximidades das saídas Sim
de emergência?
5 Existe iluminação de emergência? Sim
Existe um plano formal de contingência de energia
6 Sim
elétrica?
 Os equipamentos de telecomunicações são conectados
7 à rede pública de energia elétrica por pelo menos duas Sim
linhas separadas e diferentes?

O cabeamento de redes é protegido contra

1 Sim
interceptação não autorizada ou danos?
Os cabos de energia são segregados dos cabos de
2 Sim
comunicações para que não ocorra interferências?
Nos cabos e nos equipamentos são utilizados
3 marcações claramente identificaveis para minimizar Sim
erros de manuseio?
4 Existe uma documentação das conexões? Sim
Para os sistemas críticos ou sensíveis são realizados
periodicamente varreduras técnicas e inspeções físicas
5 Sim
para detectar a presença de dispositivos não
autorizados conectados aos cabos?
O acesso aos painéis de conexão e às salas de cabos
6 Sim
é controlado?

A manutenção dos equipamentos é realizada nos

1 intervalos recomendados pelo fornecedor, e de acordo Sim
com as suas especificações?
A manutenção e os consertos dos equipamentos são
2 realizados somente por pessoal de manutenção Sim
autorizado?
São mantidos os registros de todas as falhas, suspeitas
3 ou reais, e de todas as operações de manutenção Sim
preventiva e corretiva realizadas?

São implementados controles apropriados, na época

programada para a manutenção do equipamento,
4 Sim
dependendo de a manutenção ser realizada pelo
pessoal do local ou por pessoal externo à organização?

São atendidas todas as exigências estabelecidas nas

5 Sim
apólices de seguro?

Existe um processo formal documentado para autorizar

1 a utilização de equipamentos fora das dependências da Sim
organização?

Existe uma política de uso com segurança de

2 Sim
equipamentos fora das dependências da organização?

Todos os equipamentos que contenham mídias de

1 armazenamento de dados sejam examinados antes do Sim
descarte?
Os dispositivos que contenham informações sensíveis
2 Sim
são destruídos fisicamente?
Todas as atividades de reutilização e alienação são
3 Sim
registrados?
 As informações são destruídas, apagadas ou
sobregravadas por meio de técnicas que tornem as
4 Sim
informações originais irrecuperáveis, em vez de se
usarem as funções-padrão de apagar ou formatar?

Existe um processo formal para autorizar a remoção de

1 equipamentos, informações ou software somente Sim
quando autorizado?
As pessoas que tenham autoridade para permitir a
2 remoção de ativos para fora do local são claramente Sim
identificadas?
Existe um registro documental da retirada e da
3 Sim
devolução de equipamento?
Observações/Justificativas
Observações/Justificativas
 A. 10 Gerenciamento d
A.10.1 Procedimentos e responsabilidades operacionais
Controle Seção Descrição do Controle Relevância

Os procedimentos de operação devem ser

Documentação dos documentados,
A. 10.1.1 procedimentos de mantidos atualizados e disponíveis a todos
operação os usuários que
deles necessitem.
 Modificações nos recursos de
A. 10.1.2 Gestão de mudanças processamento da informação e
sistemas devem ser controladas.

Funções e áreas de responsabilidade

devem ser segregadas
para reduzir as oportunidades de
A. 10.1.3 Segregação de funções
modificação ou uso indevido
não autorizado ou não intencional dos ativos
da organização.

Separação dos recursos Recursos de desenvolvimento, teste e

de produção devem ser
A. 10.1.4 desenvolvimento, teste e separados para reduzir o risco de acessos
de ou modificações não
produção autorizadas aos sistemas operacionais.

A.10.2 Gerenciamento de serviços terceirizados

 Controle Seção Descrição do Controle

Deve ser garantido que os controles de

segurança, as
definições de serviço e os níveis de entrega
incluídos no
A. 10.2.1 Entrega de serviços
acordo de entrega de serviços terceirizados
sejam
implementados, executados e mantidos pelo
terceiro.

Os serviços, relatórios e registros fornecidos

por terceiro
Monitoramento e análise
devem ser regularmente monitorados e
A. 10.2.2 crítica de serviços
analisados
terceirizados
criticamente, e auditorias devem ser
executadas regularmente.

Mudanças no provisionamento dos serviços,

incluindo
manutenção e melhoria da política de
segurança da
Gerenciamento de
informação, dos procedimentos e controles
mudanças
A. 10.2.3 para serviços
existentes, devem
ser gerenciadas levando-se em conta a
terceirizados
criticidade dos
sistemas e processos de negócio envolvidos
ea
reanálise/reavaliação de riscos.

A.10.3 Planejamento e aceitação dos sistemas

Controle Seção Descrição do Controle
 A utilização dos recursos deve ser
monitorada e sincronizada e
as projeções devem ser feitas para
A. 10.3.1 Gestão de capacidade necessidades de
capacidade futura, para garantir o
desempenho requerido do
sistema.

Devem ser estabelecidos critérios de

aceitação para novos
sistemas, atualizações e novas versões e
A. 10.3.2 Aceitação de sistemas que sejam efetuados
testes apropriados do(s) sistema(s) durante
seu
desenvolvimento e antes da sua aceitação.
 sistemas, atualizações e novas versões e
A. 10.3.2 Aceitação de sistemas que sejam efetuados
testes apropriados do(s) sistema(s) durante
seu
desenvolvimento e antes da sua aceitação.

A.10.4 Proteção contra códigos maliciosos e códigos móveis

Controle Seção Descrição do Controle

Devem ser implantados controles de

detecção, prevenção e
recuperação para proteger contra códigos
Controle contra códigos
A. 10.4.1 maliciosos
maliciosos, assim
como procedimentos para a devida
conscientização dos
usuários.
 Devem ser implantados controles de
detecção, prevenção e
recuperação para proteger contra códigos
Controle contra códigos
A. 10.4.1 maliciosos
maliciosos, assim
como procedimentos para a devida
conscientização dos
usuários.

Onde o uso de códigos móveis é autorizado,

a configuração
deve garantir que o código móvel autorizado
Controles contra opere de acordo
A. 10.4.2 códigos com uma política de segurança da
móveis informação claramente
definida e que códigos móveis não
autorizados tenham sua
execução impedida.

A.10.5 Cópias de segurança

 Controle Seção Descrição do Controle

Cópias de segurança das informações e dos

softwares devem
Cópias de segurança das
A. 10.5.1 informações
ser efetuadas e testadas regularmente,
conforme a política de
geração de cópias de segurança definida.

A.10.6 Gerenciamento da segurança em redes

Controle Seção Descrição do Controle
 Redes devem ser adequadamente
gerenciadas e controladas,
de forma a protegê-las contra ameaças e
A. 10.6.1 Controles de redes manter a segurança
de sistemas e aplicações que utilizam estas
redes, incluindo a
informação em trânsito.

Características de segurança, níveis de

serviço e requisitos de
gerenciamento dos serviços de rede devem
Segurança dos serviços ser identificados e
A. 10.6.2 de incluídos em qualquer acordo de serviços de
rede rede, tanto para
serviços de rede providos internamente
como para
terceirizados.
A.10.7 Manuseio de mídias
Controle Seção Descrição do Controle

Gerenciamento de Devem existir procedimentos

A. 10.7.1 mídias implementados para o
removíveis gerenciamento de mídias removíveis.

As mídias devem ser descartadas de forma

segura e protegida
A. 10.7.2 Descarte de mídias quando não forem mais necessárias, por
meio de
procedimentos formais.

Devem ser estabelecidos procedimentos

para o tratamento e o
Procedimentos para armazenamento de informações, para
A. 10.7.3 tratamento de proteger tais
informação informações contra a divulgação não
autorizada ou uso
 Devem ser estabelecidos procedimentos
para o tratamento e o
Procedimentos para armazenamento de informações, para
A. 10.7.3 tratamento de proteger tais
informação informações contra a divulgação não
autorizada ou uso
indevido.

Segurança da A documentação dos sistemas deve ser

A. 10.7.4 documentação protegida contra
dos sistemas acessos não autorizados.

A.10.8 Troca de informações

Controle Seção Descrição do Controle

Políticas, procedimentos e controles devem

Políticas e
ser estabelecidos e
procedimentos
A. 10.8.1 para troca de
formalizados para proteger a troca de
informações em todos os
informações
tipos de recursos de comunicação.
 Políticas, procedimentos e controles devem
Políticas e
ser estabelecidos e
procedimentos
A. 10.8.1 para troca de
formalizados para proteger a troca de
informações em todos os
informações
tipos de recursos de comunicação.

Devem ser estabelecidos acordos para a

Acordos para a troca de troca de informações
A. 10.8.2 informações e softwares entre a organização e entidades
externas.
 Mídias contendo informações devem ser
protegidas contra
acesso não autorizado, uso impróprio ou
A. 10.8.3 Mídias em trânsito
alteração indevida
durante o transporte externo aos limites
físicos da organização.

As informações que trafegam em

A. 10.8.4 Mensagens eletrônicas mensagens eletrônicas
devem ser adequadamente protegidas.

Políticas e procedimentos devem ser

desenvolvidos e
Sistemas de informações
implementados para proteger as
A. 10.8.5 do
informações associadas com
negócio
a interconexão de sistemas de informações
do negócio.

A.10.9 Serviços de comércio eletrônico

Controle Seção Descrição do Controle
 As informações envolvidas em comércio
eletrônico transitando
sobre redes públicas devem ser protegidas
A. 10.9.1 Comércio eletrônico de atividades
fraudulentas, disputas contratuais,
divulgação e modificações
não autorizadas.

Informações envolvidas em transações on-

line devem ser
protegidas para prevenir transmissões
incompletas, erros de
A. 10.9.2 Transações on-line roteamento, alterações não autorizadas de
mensagens,
divulgação não autorizada, duplicação ou
reapresentação de
mensagem não autorizada.
 Informações envolvidas em transações on-
line devem ser
protegidas para prevenir transmissões
incompletas, erros de
A. 10.9.2 Transações on-line roteamento, alterações não autorizadas de
mensagens,
divulgação não autorizada, duplicação ou
reapresentação de
mensagem não autorizada.

A integridade das informações

Informações disponibilizadas em sistemas
A. 10.9.3 publicamente publicamente acessíveis deve ser protegida,
disponíveis para prevenir
modificações não autorizadas.

A.10.10 Monitoramento
Controle Seção Descrição do Controle

Registros (log) de auditoria contendo

atividades dos usuários,
exceções e outros eventos de segurança da
informação devem
A. 10.10.1 Registros de auditoria ser produzidos e mantidos por um período
de tempo acordado
para auxiliar em futuras investigações e
monitoramento de
controle de acesso.
 Registros (log) de auditoria contendo
atividades dos usuários,
exceções e outros eventos de segurança da
informação devem
A. 10.10.1 Registros de auditoria ser produzidos e mantidos por um período
de tempo acordado
para auxiliar em futuras investigações e
monitoramento de
controle de acesso.

Devem ser estabelecidos procedimentos

para o monitoramento
Monitoramento do uso do uso dos recursos de processamento da
A. 10.10.2 do informação e os
sistema resultados das atividades de monitoramento
devem ser
analisados criticamente, de forma regular.

Os recursos e informações de registros (log)

Proteção das
devem ser
A. 10.10.3 informações
protegidos contra falsificação e acesso não
dos registros (logs)
autorizado.

Registros (log) de As atividades dos administradores e

A. 10.10.4 administrador e operadores do sistema
operador devem ser registradas.
 Registros (log) de As atividades dos administradores e
A. 10.10.4 administrador e operadores do sistema
operador devem ser registradas.

As falhas ocorridas devem ser registradas e

Registros (logs) de
A. 10.10.5 falhas
analisadas, e
devem ser adotadas as ações apropriadas.

Os relógios de todos os sistemas de

processamento de
informações relevantes, dentro da
Sincronização dos
A. 10.10.6 relógios
organização ou do domínio
de segurança, devem ser sincronizados de
acordo com uma
hora oficial.
Sim
Não
Parcial
NA
0 Gerenciamento das operações e comunicações

Questionamentos Resposta

Todos os procedimentos de operação são

1 NA
documentados?

Todos os os procedimentos de operação são mantidos

2 Não
atualizados e disponíveis a todos?

Os procedimentos de operação especificam as

3 instruções para a execução detalhada de cada tarefa Sim
de processamento e tratamento da informação?
Os procedimentos de operação especificam as
4 NA
instruções para a execução detalhada de backup?

Os procedimentos de operação especificam as

instruções para o tratamento de erros ou outras
5 condições excepcionais, que possam ocorrer durante a Não
execução de uma tarefa, incluindo restrições de uso
dos utilitários do sistema?

Os procedimentos de operação especificam os dados

para contatos de suporte para o caso de eventos
6 Sim
operacionais inesperados ou dificuldades
técnicas?

Os procedimentos de operação especificam as

instruções para tratamento de resultados especiais e
mídias, tais como o uso de formulários especiais
7 Sim
ou o gerenciamento de resultados confidenciais,
incluindo procedimentos para a alienação segura de
resultados provenientes de rotinas com falhas?

Os procedimentos de operação especificam os

8 procedimento para o reinício e recuperação em caso de Sim
falha do sistema?

Os procedimentos de operação especificam os

9 procedimento para o gerenciamento de trilhas de Sim
auditoria e informações de registros (log) de sistemas?

Os procedimentos operacionais e os procedimentos

10 documentados para atividades de sistemas são Sim
tratados como documentos formais?
As mudanças nos procedimentos operacionais e nos
11 procedimentos documentados para atividades de Sim
sistemas são autorizadas pela direção?

Os sistemas operacionais e aplicativos estão sujeitos a

1 Sim
um controle de gestão de mudanças?
As mudanças significativas são identificadas e
2 Sim
registradas?
3 As mudanças são planejadas e testadas? Sim
São realizadas avaliações de impactos potenciais,
4 Sim
incluindo impactos de segurança, das mudanças?
Existe um procedimento formal e ocumentado de
5 Sim
aprovação das mudanças propostas?
Existe um processo de comunicação dos detalhes das
6 Sim
mudanças para todas as pessoas envolvidas?

Existem procedimentos documentados de recuperação,

incluindo procedimentos e responsabilidades pela
7 Sim
interrupção e recuperação de mudanças em caso de
insucesso ou na ocorrência de eventos inesperados?

São estabelecidos os procedimentos e

responsabilidades gerenciais formais para garantir que
8 Sim
haja um controle satisfatório de todas as mudanças em
equipamentos, software ou procedimentos?

É mantido um registro de auditoria contendo todas as

9 Sim
informações relevantes das mudanças realizadas?

A organização possui procedimentos para impedir que

1 uma única pessoa possa acessar, modificar ou usar Sim
ativos sem a devida autorização ou detecção?
Na organização o início de um evento é separado de
2 Sim
sua autorização?
Existem controles para as possibilidades de existência
3 Sim
de conluios?
A organização possui outros controles, como a
monitoração das atividades, trilhas de auditoria e o
4 Sim
acompanhamento gerencial para o caso de não possuir
segregação de funções?

Os ambientes de produção, testes e desenvolvimento

1 Sim
são separados?
Existem regras definidas e documentadas para a
2 transferência de software da situação de Sim
desenvolvimento para a de produção?

Na organização, os softwares em desenvolvimento e os

softwares em produção são executados em
3 Sim
diferentes sistemas ou processadores e em diferentes
domínios ou diretórios?

Os ambientes de testes emulam o ambiente de

4 Sim
produção da organização o mais próximo possível?
Os dados sensíveis são protegidos contra cópias para
5 Sim
os ambientes de testes?
 Questionamentos Resposta
A entrega de serviços por um terceiro incluem os
1 arranjos de segurança acordados, definições de Sim
serviço e aspectos de gerenciamento de serviços?
Nos casos de terceirização existe garantia de que a
2 segurança será mantida durante todo o Sim
período de transição?

A organização possui garantias de que o terceiro

mantem capacidade de serviço suficiente, juntamente
com planos viáveis projetados para garantir que os
3 Sim
níveis de continuidade de serviços acordados sejam
mantidos após falhas de serviços severas ou
desastres?

A organização possui processos para realizar

1 monitoração e análise crítica dos serviços Sim
terceirizados?

A monitoração e análise crítica dos serviços

2 terceirizados garantem a aderência entre os termos de Sim
segurança de informação e as condições dos acordos?

São analisadas criticamente as trilhas de auditoria do

terceiro e registros de eventos de segurança,
3 problemas Sim
operacionais, falhas, investigação de falhas e
interrupções relativas ao serviço entregue?

A responsabilidade do gerenciamento de
relacionamento com o terceiro é atribuída a um
4 Sim
indivíduo designado ou equipe de gerenciamento de
serviço?
São tomadas ações apropriadas ao serem observadas
5 Sim
deficiências na entrega dos serviços?

A organização mantem suficiente controle geral e

visibilidade em todos os aspectos de segurança para as
6 informações sensíveis ou críticas ou para os recursos Sim
de processamento da informação acessados,
processados ou gerenciados por um terceiro?

Existe processo de gerenciamento de mudanças para

1 Parcial
serviços terceirizados?

Questionamentos Resposta
A organização identificou os requisitos de capacidade
1 Sim
para cada atividade em andamento?
 A organização possui um processo documentado para
2 identificar os requisitos de capacidade para cada Sim
atividade nova?
A organização aplica a sincronização e monitoramento
3 dos sistemas para garantir e melhorar a disponibilidade Sim
e eficiência dos sistemas?
A organização possui controles detectivos implantados
4 para identificar problemas de gestão de capacidade em Sim
tempo hábil?

A organização possui um processo documentado de

projeções de capacidade futura levando em
consideração os requisitos de novos negócios e
5 Sim
sistemas e as tendências atuais e projetadas de
capacidade de processamento de informação da
organização?

A organização possui um processo formal documentado

que identifiquem as tendências de utilização de
6 capacidade, particularmente em relação às aplicações Sim
do negócio ou à
gestão das ferramentas de sistemas de informação?

Os gestores utilizam essas informações para identificar

e evitar os potenciais gargalos e a dependência de
7 Sim
pessoas-chave que possam representar ameaças à
segurança dos sistemas ou aos serviços?

Os gestores utilizam essas informações para planejar

8 Sim
açõs corretivas apropriadas?

Na organização os gestores garantem que os requisitos

e critérios para aceitação de novos sistemas estão
1 Sim
claramente definidos, acordados, documentados e
testados?
Na organização os novos sistemas de informação,
atualizações e novas versões só são migrados para
2 Sim
produção após a obtenção de aceitação formal e
documentada?
A organização antes da aceitação formal verifica se os
3 requisitos de desempenho e de capacidade Sim
computacional foram atendidos?
A organização antes da aceitação formal verifica se os
requisitos de recuperação de erros, procedimentos de
4 Sim
reinicialização e planos de contingência foram
atendidos?
A organização antes da aceitação formal verifica se os
5 requisitos de concordância sobre o conjunto de Sim
controles de segurança utilizados foram atendidos?
A organização antes da aceitação formal verifica se os
6 requisitos de requisitos de continuidade dos negócios Sim
foram atendidos?
 A organização verifica as evidências de que a
instalação do novo sistema não afetará de forma
7 Sim
adversa os sistemas existentes, particularmente nos
períodos de pico de processamento?
A organização levanta e verifica as evidências de que
8 tenha sido considerado o impacto do novo sistema na Sim
segurança da organização como um todo?
A organização realiza os devidos testes sejam
9 executados que todos os critérios de aceitação tenham Sim
sido plenamente satisfeitos?
A organização possui os manuais e documentação dos
10 Sim
sistemas recebidos?

Questionamentos Resposta
Na organização a proteção contra códigos maliciosos é
1 baseada em softwares de detecção de códigos Sim
maliciosos e reparo?
Existe uma política formal proibindo o uso de softwares
2 Sim
não autorizados?
Existe uma política formal documentada para proteção
contra os riscos associados com a importação de
3 arquivos e softwares, seja de redes externas, ou por Sim
qualquer outro meio, indicando quais medidas
preventivas devem ser adotadas?
A organização conduz análises críticas regulares dos
4 softwares e dados dos sistemas que suportam Sim
processos críticos de negócio?
A organização possui um processo formal de
5 investigação da presença de quaisquer arquivos não Sim
aprovados ou atualização não autorizada?

A organização instala e atualiza regularmente softwares

de detecção e remoção de códigos maliciosos para o
6 Sim
exame de computadores e mídias magnéticas, de forma
preventiva ou de forma rotineira?

As verificações contra código malicioso inclui um

processo para verificação, antes do uso, da existência
7 de códigos maliciosos nos arquivos em mídias óticas ou Sim
eletrônicas, bem como nos arquivos transmitidos
através de redes?

As verificações contra código malicioso inclui um

processo para verificação, antes do uso, da existência
8 Sim
de software malicioso em qualquer arquivo recebido
através de correio eletrônico ou importado (download)?

As verificações contra código malicioso inclui um

9 processo para verificação da existência de códigos Sim
maliciosos em páginas web?
 Essas avaliações e verificações são feitas em diversos
10 Sim
locais?
Existe um processo de verificação contra código
11 malicioso instalado e atualizado no servidor de correio Sim
eletrônico?
Existe um processo de verificação contra código
12 malicioso instalado e atualizado nos computadores Sim
pessoais?

Existem definidos e documentados os procedimentos

13 de gerenciamento e respectivas responsabilidades para Sim
tratar da proteção de código malicioso nos sistemas?

São realizados e registrados treinamentos nesses

14 Sim
procedimentos?
Existem definidos e documentados os procedimentos
15 de reporte e recuperação de ataques de códigos Sim
maliciosos?
A organização possui preparados e documentados os
planos de continuidade do negócio adequados para a
16 Sim
recuperação em caso de ataques por códigos
maliciosos?
A organização implementa procedimentos para
regularmente coletar informações, tais como,
17 Sim
assinaturas de listas de discussão e visitas a sites
informativos sobre novos códigos maliciosos?
Os gestores garantem que fontes qualificadas são
18 utilizadas para diferenciar boatos de notícias reais Sim
sobre códigos maliciosos?
Na organização os usuários estão cientes dos
19 problemas decorrentes de boatos e capacitados a lidar Sim
com eles?
A organização possui um programa formal de
20 conscientização da segurança da informação contra Sim
códigos malicioosos?
A organização possui um processo formal quanto a
possível introdução de códigos maliciosos durante
21 Sim
manutenções e quando estão sendo realizados
procedimentos de emergência?

A organização possui um processo formal e

1 documentado de proteção contra ações não Sim
autorizadas realizadas por códigos móveis?
Os códigos móveis são executados em ambientes
2 Sim
isolados logicamente?
A organização possui um processo formal para
3 Sim
bloquear o recebimento e uso de códigos móveis?
 Questionamentos Resposta
A organização possui recursos adequados para a
geração de cópias de segurança disponibilizados para
1 Sim
garantir que toda informação e software essenciais
possam ser recuperados?
A organização possui a definição do nível necessário
2 Sim
das cópias de segurança das informações?
A organização tem documentação apropriada sobre os
3 Sim
procedimentos de restauração da informação?
A extensão (completa ou diferencial) e a freqüência da
4 geração das cópias de segurança refletem os requisitos Sim
de negócio da organização?
A extensão (completa ou diferencial) e a freqüência da
geração das cópias de segurança refletem os requisitos
5 de segurança da informação envolvidos e a criticidade Sim
da informação para a continuidade da operação da
organização?

As cópias de segurança são armazenadas em uma

localidade remota, a uma distância suficiente para
6 Sim
escapar dos danos de um desastre ocorrido na
organização principal?
As mídias de cópias de segurança são testadas
regularmente para garantir que elas são
7 Sim
suficientemente confiáveis para uso de emergência
quando necessário?

Os procedimentos de recuperação são verificados e

testados regularmente, de forma a garantir que estes
8 são efetivos e que podem ser concluídos dentro dos Sim
prazos definidos nos procedimentos operacionais de
recuperação?
As verificações e testes dos procedimentos de
9 Sim
recuperação são documentados e registrados?
Existe uma política formal e documentada sobre cópias
10 Sim
de segurança?
As responsabilidades pela geração de cópias de
11 Sim
segurança estão claramente definidas?

Em situações onde a confidencialidade é importante, a

12 organização possui um processo formal para proteger Sim
as cópias de segurança através de encriptação?

Os mecanismos de geração de cópias de segurança

abranjem todos os sistemas de informação, aplicações
13 Sim
e dados necessários para a completa recuperação do
sistema em um evento de desastre?

Questionamentos Resposta
 Na organização existe um processo formal
1 Sim
documentado de gerenciamento das redes?
As redes da organização são adequadamente
2 Sim
gerenciadas e controladas?
Os gestores das redes da organização implementem
controles para garantir a segurança da informação
3 Sim
nestas redes e a proteção dos serviços a elas
conectadas, de acesso não autorizado?
Quando apropriado a organização separa a
4 responsabilidade operacional pelas redes da operação Sim
dos recursos computacionais?
São estabelecidas as responsabilidades sobre o
5 gerenciamento de equipamentos remotos, incluindo Sim
equipamentos em áreas de usuários?
São estabelecidos formalmente e documentados os
procedimentos sobre o gerenciamento de
6 Sim
equipamentos remotos, incluindo
equipamentos em áreas de usuários?
Existem controles especiais formalmente estabelecidos
para proteção da confidencialidade e integridade dos
7 Sim
dados trafegando sobre redes públicas ou sobre as
redes sem fio (wireless)?
Existem controles especiais formalmente estabelecidos
para proteger os sistemas e aplicações que estejam
8 Sim
conectadas a redes públicas ou a redes sem fio
(wireless)?
A organização possui os mecanismos apropriados de
9 registro e monitoração aplicados para habilitar a Sim
gravação das ações relevantes de segurança?
As atividades de gerenciamento são formalmente
10 Sim
coordenadas?

A organização determinou a capacidade do provedor

dos serviços de rede de gerenciar os serviços
1 Sim
acordados de maneira
segura?
A organização monitora a capacidade do provedor dos
serviços de rede de gerenciar os serviços acordados de
2 Sim
maneira
segura?
A organização possui em acordo o direito de auditar o
3 Sim
provedor de serviços de rede?
A organização definiu e formalmente documentou as
definições de segurança necessárias para serviços
4 específicos, como características de Sim
segurança, níveis de serviço e requisitos de
gerenciamento?
A organização possui um processo formal que lhe
5 assegure que os provedores dos serviços de rede Sim
implementaram estas medidas necessárias?
 Questionamentos Resposta
A organização possui uma política para o
1 Sim
gerenciamento de mídias removíveis?
Existe um procedimento documentado para quando não
for mais necessário e caso venha a ser retirado da
2 Sim
organização o conteúdo de qualquer meio magnético
reutilizável seja destruído?
Existe um procedimento documentado para a
3 autorização para a remoção de qualquer mídia da Sim
organização?
São mantidos os registros das autorizações e remoções
4 Sim
como trilha de auditoria?
As midias são guardadas de forma segura em um
5 ambiente protegido, de acordo com as especificações Sim
do fabricante?
Todas as mídias removíveis são registradas para limitar
6 Sim
a oportunidade de perda de dados?
Na organização as unidades de mídias removíveis são
7 habilitadas somente onde houver uma necessidade do Sim
negócio?
Na organização todos os procedimentos e os níveis de
8 autorização são formalmente e explicitamente Sim
documentados?

A organização possui procedimentos formais definidos

1 Sim
para o descarte seguro das mídias?
Todos os procedimentos formais para o descarte
2 seguro das mídias estão formalmente documentados e Sim
atualizados?
Os procedimentos para o descarte seguro das mídias,
3 contendo informações sensíveis, são relativos à Sim
sensibilidade das informações?
Todas as mídias contendo informações sensíveis são
4 Sim
guardadas e destruídas de forma segura e protegida?

A organização possui procedimentos implementados

5 Sim
para identificar os itens que requerem descarte seguro?

Existe um processo de registro de descarte de itens

6 Sim
sensíveis para se manter uma trilha de auditoria?
Existe um planejamento de realizar uma análise crítica
7 Sim
das politicas periódicamente a intervalos regulares?

A organização tem procedimentos documentados e

estabelecidos para o tratamento, processamento,
1 Sim
armazenamento e transmissão da informação, de
acordo com a sua classificação?
 A organização tem procedimentos documentados e
estabelecidos para tratamento e identificação de todos
2 Sim
os meios magnéticos indicando o nível de
classificação?
Existe um registro formal dos destinatários de dados
3 Sim
autorizados?
Existe um processo documentado de proteção dos
4 dados preparados para expedição ou impressão de Sim
forma consistente com a sua criticidade?
Existe um processo de identificação eficaz de todas as
5 cópias das mídias, para chamar a atenção dos Sim
destinatários autorizados?
A organização possui um processo para a análise
6 crítica das listas de distribuição e das listas de Sim
destinatários autorizados em intervalos regulares?

A documentação dos sistemas é guardada de forma

1 Sim
segura?
A relação de pessoas com acesso autorizado à
2 Sim
documentação de sistemas é a menor possível?
A relação de pessoas com acesso autorizado à
3 documentação de sistemas é autorizada pelo Sim
proprietário do sistema?
A documentação de sistema mantida em uma rede
4 pública, ou fornecida através de uma rede pública é Sim
protegida de forma apropriada?

Questionamentos Resposta
A organização possui documentados os procedimentos
1 e controles estabelecidos para a troca de informações Sim
em recursos eletrônicos de comunicação?

Existem procedimentos formulados para proteger a

2 informação em trânsito contra interceptação, cópia, Sim
modificação, desvio e destruição?
Existem procedimentos para detecção e proteção
contra código malicioso que pode ser transmitido
3 Sim
através do uso de recursos eletrônicos de
comunicação?
Existem procedimentos para proteção de informações
4 eletrônicas sensíveis que sejam transmitidas na forma Sim
de anexos?

Existem documentadas política que especifiquem o uso

5 Sim
aceitável dos recursos eletrônicos de comunicação?
 Existem procedimentos para o uso de comunicação
6 sem fio (wireless), levando em conta os riscos Sim
particulares envolvidos?
A organização possui procedimentos para evitar que na
troca de inforamação em recursos eletrônicos de
7 comunicação as responsabilidades de funcionários, Sim
fornecedores e quaisquer outros usuários não
comprometam a organização?

Existem diretrizes de retenção e descarte para toda a

correspondência de negócios, incluindo mensagens, de
8 Sim
acordo com regulamentações e legislação locais e
nacionais relevantes?
Existem controles para não deixar informações críticas
9 Sim
ou sensíveis em equipamentos de impressão?

Existem procedimentos que orientem as pessoas para

que evitem o armazenamento de dados pessoais, como
10 Sim
endereços de correios eletrônicos ou informações
adicionais particulares, em qualquer software?

Existem procedimentos que orientem as pessoas de

que não devem manter conversas confidenciais em
11 Sim
locais públicos, escritórios abertos ou locais de reunião
que não disponham de paredes à prova de som?

Os recursos utilizados na organização para a troca de

12 informações estão de acordo com os requisitos legais Sim
pertinentes?

A orgnização possui acordos para troca de informações

1 Sim
com entidades externas?

Estão estabelecidos nos acordos as responsabilidades

2 do gestor pelo controle e notificação de transmissões, Sim
expedições e recepções?

Estão estabelecidos nos acordos os procedimentos

3 para notificar o emissor da transmissão, expedição e Sim
recepção?
Estão estabelecidos nos acordos os procedimentos
4 para assegurar a rastreabilidade dos eventos e o não- Sim
repúdio?
Estão estabelecidos nos acordos as responsabilidades
e obrigações na ocorrência de incidentes de segurança
5 Sim
da informação, como perda
de dados?
Estão estabelecidos os procedimentos de utilização de
6 um sistema acordado de identificação para informações Sim
críticas e sensíveis?
Os aspectos de segurança contidos nos acordos
7 reflitem a sensibilidade das informações envolvidas no Sim
negócio?
São estabelecidos padrões técnicos mínimos para
8 Sim
embalagem e transmissão?
 A organização possui procedimentos e recomendações
1 para proteger as mídias que são transportadas entre Sim
localidades?
O meio de transporte ou o serviço de mensageiros é
2 Sim
confiável?
A organização adota controles, onde necessário, para
3 proteger informações sensíveis contra divulgação não Sim
autorizada ou modificação?
A embalagem é suficiente para proteger o conteúdo
4 contra qualquer dano físico, como os que podem Sim
ocorrer durante o transporte?
São estabelecidos procedimentos para a verificação da
5 Sim
identificação dos transportadores?

A organização adota controle para a proteção das

1 mensagens contra acesso não autorizado, modificação Sim
ou negação de serviço?
A organização possui processos, políticas e
procedimentos para a aprovação prévia de uso de
2 serviços públicos externos, tais como sistemas de Sim
mensagens instantâneas e compartilhamento de
arquivos?
Existem requisitos de aspectos legais, como, por
3 Sim
exemplo, requisitos de assinaturas eletrônicas?

A organização possui controles para as

vulnerabilidades conhecidas nos sistemas
1 Sim
administrativos e contábeis onde as informações são
compartilhadas com diferentes áreas da organização?
Existem controles implementados para as
2 vulnerabilidades da informação nos sistemas de Sim
comunicação do negócio?
Existem implementados políticas e controles
3 apropriados para gerenciar o compartilhamento de Sim
informações?
A organização possui requisitos e procedimentos para
4 Sim
recuperação e contingência?

Questionamentos Resposta
Foi levado em consideração o nível de confiança de
1 cada parte requer na suposta identidade de outros, Sim
como, por exemplo, por meios de autenticação?
Existem processos de autorização associados ao quem
2 pode determinar preços, emitir ou assinar documentos- Sim
chave de negociação?
 Existem processos para garantir que parceiros
3 comerciais estão completamente informados de suas Sim
autorizações?

Foi determinado e atendido os requisitos de

confidencialidade, integridade, evidências de emissão e
4 recebimento de documentos-chave, e a não-repudiação
de contratos, como, por exemplo, os associados aos
processos de licitações e contratações?

Foi levado em consideração o nível de confiança

5 requerido na integridade das listas de preços
anunciadas?
Foi levado em consideração a confidencialidade de
6
quaisquer dados ou informações sensíveis?
Foi levado em consideração a confidencialidade e
integridade de quaisquer transações de pedidos,
7
informações de pagamento, detalhes de endereço de
entrega e confirmações de recebimentos?
Foi levado em consideração o grau de investigação
8 apropriado para a verificação de informações de
pagamento fornecidas por um cliente?
Foi feito uma seleção das formas mais apropriadas de
9
pagamento para proteção contra fraudes?
Foi determinada o nível de proteção requerida para
10 manter a confidencialidade e integridade das
informações de pedidos?
Foi levada em consideração a prevenção contra perda
11
ou duplicação de informação de transação?
Foi levada em consideração as responsabilidades
12
associados com quaisquer transações fraudulentas?
13 Foi levada em consideração os requisitos de seguro? Sim
Os procedimentos de comércio eletrônicao são
apoiados por um acordo formal que comprometa ambas
14 Sim
as partes aos termos de transação, incluindo detalhes
de autorização?
As sistemas comerciais públicos divulguem seus termos
15 Sim
comerciais a seus clientes?

Foram usadas assinaturas eletrônicas para cada uma

1 Sim
das partes envolvidas na transação?
Foi levado em consideração todos os aspectos da
transação, garantindo que as credenciais do usuário
2 para todas as partes são válidas e verificadas, e Sim
garantindo a confidencialidade da transação e a
privacidade de todas as partes envolvidas?
O caminho de comunicação entre todas as partes
3 Sim
envolvidas é criptografado?
Os protocolos usados para comunicações entre todas
4 Sim
as partes envolvidos é seguro?
 Foi garantido que o armazenamento dos detalhes da
transação está localizado fora de qualquer ambiente
publicamente acessível, como, por exemplo, numa
5 plataforma de armazenamento na intranet da Sim
organização, e não retida e exposta em um dispositivo
de armazenamento diretamente acessível pela
internet?

No caso onde é utilizada uma autoridade confiável

(como, por exemplo, para propósitos de emissão e
6 manutenção de assinaturas e/ou certificados digitais), Sim
segurança é integrada a todo o processo de
gerenciamento de certificados/assinaturas?

As aplicações, dados e informações adicionais que

requeiram um alto nível de integridade e que sejam
1 Sim
disponibilizados em sistemas publicamente acessíveis
são protegidos por mecanismos apropriados?
Os sistemas acessíveis publicamente são testados
2 contra fragilidades e falhas antes da informação estar Sim
disponível?
A organização possui um processo documentado de
3 Sim
aprovação antes que uma informação seja publicada?
Todo dado de entrada fornecido por fontes externas ao
4 Sim
sistema é antes verificado e aprovado?
Os sistemas de publicação eletrônica, especialmente os
que permitem realimentação e entrada
5 Sim
direta de informação, são cuidadosamente controlados
e gerenciados?

Questionamentos Resposta
Os registros (log) de auditoria incluem identificação dos
1 Sim
usuários?
Os registros (log) de auditoria incluem datas, horários e
2 Sim
detalhes de eventos-chave?
Os registros (log) de auditoria incluem registros das
tentativas de acesso ao sistema aceitas e rejeitadas e
3 Sim
ainda os registros das tentativas de acesso a outros
recursos e dados aceitos e rejeitados?
Os registros (log) de auditoria incluem registros das
4 Sim
alterações na configuração do sistema?
Os registros (log) de auditoria incluem registros das uso
5 Sim
de privilégios?
Os registros (log) de auditoria incluem registros do uso
6 Sim
de aplicações e utilitários do sistema?
Os registros (log) de auditoria incluem registros dos
7 Sim
arquivos acessados e tipo de acesso?
 Os registros (log) de auditoria incluem registros dos
8 Sim
endereços e protocolos de rede?
Os registros (log) de auditoria incluem registros dos
9 alarmes provocados pelo sistema de controle de Sim
acesso?
Os registros (log) de auditoria incluem registros de
ativação e desativação dos sistemas de proteção, tais
10 Sim
como sistemas de antivírus e sistemas de
detecção de intrusos?

A organização possui mecanismos de controle para que

administradores de sistemas não tenham permissão de
11 Sim
exclusão ou desativação dos registros (log) de suas
próprias atividades?

O nível de monitoramento requerido para os recursos

1 individuais foi determinado através de uma Sim
análise/avaliação de riscos?
A organização esta de acordo com todos os requisitos
2 legais relevantes, aplicáveis para suas atividades de Sim
monitoramento?
A organização possui procedimentos documentados
3 Sim
para o monitoramento dos acessos autorizados?
A organização possui procedimentos documentados
4 para o monitoramento de todas as operações Sim
privilegiadas?
A organização possui procedimentos documentados
5 para o monitoramento de tentativas de acesso não Sim
autorizadas?
A organização possui procedimentos documentados
6 Sim
para o monitoramento de alertas e falhas do sistema?
A organização possui procedimentos documentados
para o monitoramento de alterações ou tentativas de
7 Sim
alterações nos controles e parâmetros dos sistemas de
segurança?
A organização possui um processo de análise crítica
dos resultados das atividades de monitaramento cuja
8 Sim
frequência de realizaçào dependa dos
riscos envolvidos?

A organização possui controles implementados para a

proteção contra modificações não autorizadas e
1 Sim
problemas operacionais com os recursos dos registros
(log)?

A organização possui processos e procedimentos para

1 registro das atividades dos administradores e Sim
operadores do sistema?
 Existem procedimentos para que os registros (log) de
atividades dos operadores e administradores dos
2 Sim
sistemas sejam analisados
criticamente em intervalos regulares?

A organização possui processos e procedimentos

documentados para registrar as falhas informadas pelos
1 usuários ou pelos programas de sistema relacionado a Sim
problemas com processamento da informação ou
sistemas de comunicação?
Existem regras documentadas e claras para o
2 Sim
tratamento das falhas informadas?
A organização possui procedimentos formais para
análise crítica dos registros (log) de falha para
3 Sim
assegurar que as falhas foram satisfatoriamente
resolvidas?
A organização possui procedimentos formais para
análise crítica das medidas corretivas para assegurar
4 Parcial
que os controles não foram comprometidos e que a
ação tomada é completamente autorizada?

Existem políticas e procedimentos para que o relógio

1 seja ajustado conforme um padrão acordado ou um Sim
padrão de tempo local?

Existem procedimentos que verifiquem inconsistências

2 Sim
e corrijam qualquer variação significativa?
 Observações/Justificativas

ERRO!! Não pode ser Não aplicável!!

Observações/Justificativas

Observações/Justificativas
Observações/Justificativas
Observações/Justificativas

Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
 A.11 Con
A.11.1 Requisitos de negócio para controle de acesso
Controle Seção Descrição do Controle Relevância

A política de controle de acesso deve ser

estabelecida,
documentada e analisada criticamente,
Política de controle de
A. 11.1.1 acesso
tomando-se como base
os requisitos de acesso dos negócios e da
segurança da
informação.
A.11.2 Gerenciamento de acesso do usuário
Controle Seção Descrição do Controle

Deve existir um procedimento formal de

registro e
A. 11.2.1 Registro de usuário cancelamento de usuário para garantir e
revogar acessos em
todos os sistemas de informação e serviços.
 A concessão e o uso de privilégios devem
Gerenciamento de
A. 11.2.2 privilégios
ser restritos e
controlados.

Gerenciamento de senha A concessão de senhas deve ser controlada

A. 11.2.3 do por meio de um
usuário processo de gerenciamento formal.
 O gestor deve conduzir a intervalos
Análise crítica dos regulares a análise crítica
A. 11.2.4 direitos de dos direitos de acesso dos usuários, por
acesso de usuário meio de um processo
formal.

A.11.3 Responsabilidades dos usuários

Controle Seção Descrição do Controle

Os usuários devem ser orientados a seguir

boas práticas de
A. 11.3.1 Uso de senhas
segurança da informação na seleção e uso
de senhas.

Equipamento de usuário Os usuários devem assegurar que os

A. 11.3.2 sem equipamentos não
monitoração monitorados tenham proteção adequada.
 Equipamento de usuário Os usuários devem assegurar que os
A. 11.3.2 sem equipamentos não
monitoração monitorados tenham proteção adequada.

Deve ser adotada uma política de mesa

limpa de papéis e
Política de mesa limpa e
mídias de armazenamento removíveis e
A. 11.3.3 tela
uma política de tela
limpa
limpa para os recursos de processamento
da informação.

A.11.4 Controle de acesso à rede

Controle Seção Descrição do Controle

Os usuários devem receber acesso somente

Política de uso dos
aos serviços que
A. 11.4.1 serviços
tenham sido especificamente autorizados a
de rede
usar.
 Os usuários devem receber acesso somente
Política de uso dos
aos serviços que
A. 11.4.1 serviços
tenham sido especificamente autorizados a
de rede
usar.

Autenticação para Métodos apropriados de autenticação

A. 11.4.2 conexão devem ser usados para
externa do usuário controlar o acesso de usuários remotos.

Devem ser consideradas as identificações

Identificação de automáticas de
A. 11.4.3 equipamento equipamentos como um meio de autenticar
em redes conexões vindas de
localizações e equipamentos específicos.

Proteção e configuração
Deve ser controlado o acesso físico e lógico
de
A. 11.4.4 portas de diagnóstico
para diagnosticar
e configurar portas.
remotas

Grupos de serviços de informação, usuários

e sistemas de
A. 11.4.5 Segregação de redes
informação devem ser segregados em
redes.
 informação devem ser segregados em
redes.

Para redes compartilhadas, especialmente

as que se estendem
pelos limites da organização, a capacidade
de usuários para
Controle de conexão de
A. 11.4.6 rede
conectar-se à rede deve ser restrita, de
acordo com a política
de controle de acesso e os requisitos das
aplicações do
negócio
Deve ser implementado controle de
roteamento na rede para
Controle de roteamento assegurar que as conexões de computador
A. 11.4.7 de e fluxos de
redes informação não violem a política de controle
de acesso das
aplicações do negócio.

A.11.5 Controle de acesso ao sistema operacional

Controle Seção Descrição do Controle

Procedimentos seguros O acesso aos sistemas operacionais deve

 Procedimentos seguros O acesso aos sistemas operacionais deve
de ser controlado por
A. 11.5.1 entrada no sistema (log- um procedimento seguro de entrada no
on) sistema (log-on).

Todos os usuários devem ter um

identificador único (ID de
Identificação e usuário), para uso pessoal e exclusivo, e
A. 11.5.2 autenticação uma técnica
de usuário adequada de autenticação deve ser
escolhida para validar a
identidade alegada por um usuário.
 Todos os usuários devem ter um
identificador único (ID de
Identificação e usuário), para uso pessoal e exclusivo, e
A. 11.5.2 autenticação uma técnica
de usuário adequada de autenticação deve ser
escolhida para validar a
identidade alegada por um usuário.

Sistema de Sistemas para gerenciamento de senhas

A. 11.5.3 gerenciamento de devem ser interativos
senha e assegurar senhas de qualidade.

O uso de programas utilitários que podem

ser capazes de
Uso de utilitários de
A. 11.5.4 sistema
sobrepor os controles dos sistemas e
aplicações deve ser
restrito e estritamente controlado.
 O uso de programas utilitários que podem
ser capazes de
Uso de utilitários de
A. 11.5.4 sistema
sobrepor os controles dos sistemas e
aplicações deve ser
restrito e estritamente controlado.

Desconexão de terminal Terminais inativos devem ser

A. 11.5.5 por desconectados após um período
inatividade definido de inatividade.

Restrições nos horários de conexão devem

Limitação de horário de ser utilizadas para
A. 11.5.6 conexão proporcionar segurança adicional para
aplicações de alto risco.

A.11.6 Controle de acesso à aplicação e à informação

Controle Seção Descrição do Controle

O acesso à informação e às funções dos

sistemas de
Restrição de acesso à aplicações por usuários e pessoal de
A. 11.6.1 informação suporte deve ser restrito
de acordo com o definido na política de
 O acesso à informação e às funções dos
sistemas de
Restrição de acesso à aplicações por usuários e pessoal de
A. 11.6.1 informação suporte deve ser restrito
de acordo com o definido na política de
controle de acesso.

Sistemas sensíveis devem ter um ambiente

Isolamento de sistemas
A. 11.6.2 sensíveis
computacional
dedicado (isolado).

A.11.7 Computação móvel e trabalho remoto

Controle Seção Descrição do Controle

Uma política formal deve ser estabelecida e

medidas de
Computação e segurança apropriadas devem ser adotadas
A. 11.7.1 comunicação para a proteção
móvel contra os riscos do uso de recursos de
computação e
comunicação móveis.
 Uma política formal deve ser estabelecida e
medidas de
Computação e segurança apropriadas devem ser adotadas
A. 11.7.1 comunicação para a proteção
móvel contra os riscos do uso de recursos de
computação e
comunicação móveis.

Uma política, planos operacionais e

procedimentos devem ser
A. 11.7.2 Trabalho remoto desenvolvidos e implementados para
atividades de trabalho
remoto.
 Uma política, planos operacionais e
procedimentos devem ser
A. 11.7.2 Trabalho remoto desenvolvidos e implementados para
atividades de trabalho
remoto.
Sim
Não
Parcial
NA
A.11 Controle de acessos

Questionamentos Resposta

A organização possui uma política formal documentada

1 NA
de controle de acesso?

As regras de controle de acesso para cada usuário ou

2 grupos de usuários estão expressas claramente na Sim
política de controle de acesso?
As regras de direitos de cada usuário ou grupos de
3 usuários estão expressas claramente na política de Sim
controle de acesso?
Os controles de acesso lógico e físico são considerados
4 Sim
de forma conjunta na política?

A organização fornece aos usuários e provedores de

5 serviços uma declaração nítida dos requisitos do
negócio a serem atendidos pelos controles de acessos?

A política de controle de acesso leva em consideração

a identificação de todas as informações relacionadas às
6
aplicações de negócios e os riscos a que as
informações estão expostas?
A política de controle de acesso leva em consideração
a consistência entre controle de acesso e políticas de
7
classificação da informação em diferentes sistemas e
redes?

A política de controle de acesso leva em consideração

8 a legislação pertinente e qualquer obrigação contratual
relativa à proteção de acesso para dados ou serviços?

A política de controle de acesso leva em consideração

9 perfis de acesso de usuário-padrão para trabalhos
comuns na organização?
A política de controle de acesso leva em consideração
a administração de direitos de acesso em um ambiente
10
distribuído e conectado à rede que reconhece todos os
tipos de conexões disponíveis?
A política de controle de acesso leva em consideração
11 os requisitos para autorização formal de pedidos de
acesso?
A política de controle de acesso leva em consideração
12 os requisitos para análise crítica periódica de controles
de acesso?
A política de controle de acesso leva em consideração
13
a remoção de direitos de acesso?
 Questionamentos Resposta
Existem procedimentos formais documentados de
1 controle de acesso para registro e cancelamento de
usuários?
A organização utiliza identificador de usuário (ID de
2 usuário) único para assegurar a responsabilidade de
cada usuário por suas ações?
O uso de grupos de ID somente é permitido onde existe
3 a necessidade para o negócio ou por razões
operacionais?
O uso de grupos de ID é formalmente aprovado e
4
documentado?
Os procedimentos de controle de acesso possuem
procedimentos para verificar se o usuário tem
5
autorização do proprietário do sistema para o uso do
sistema de informação ou serviço?

Os procedimentos de controle de acesso possuem

procedimentos para verificar se o nível de acesso
6 concedido é apropriado ao propósito do negócio e é
consistente com a política de segurança da
organização?
A organização entrega para os usuários uma
7
declaração por escrito dos seus direitos de acesso?
A organização tem procedimentos para requerer aos
8 usuários a assinatura de uma declaração indicando que
eles entendem as condições de acesso?

A organização assegura aos provedores de serviços

9 que não serão dados acessos até que os
procedimentos de autorização tenham sido concluídos?

A organização mantém registro formal de todas as

10
pessoas registradas para usar o serviço?
A organização remover imediatamente ou bloquear
11 direitos de acesso de usuários que mudaram de cargos
ou funções?
A organização remove imediatamente ou bloquear
12 direitos de acesso de usuários que deixaram a
organização?
A organização verifica periodicamente identificadores
13 (ID) e contas de usuário redundantes fazendo os
registros destas verificações?
A organização remove ou bloqueia identificadores (ID) e
14
contas de usuário redundantes?
A organização registra formalmente as remoções ou
15
bloqueios de acesso realizados?
A organização realiza a inclusão de cláusulas nos
contratos de usuários e de serviços que especifiquem
16
as sanções em caso de tentativa de acesso não
autorizado pelos usuários ou por terceiros?
 A organização possui procedimentos formalmente
documentados que assegurem que identificadores de
17
usuário (ID de usuário) redundantes não sejam
atribuídos para outros usuários?

Os sistemas de multiusuários que necessitam de

proteção contra acesso não autorizado tenham a
1
concessão de privilégios controlada por um processo de
autorização formal?
O privilégio de acesso de cada produto de sistema e
cada aplicação, e de categorias de usuários para os
2
quais estes necessitam ser concedido, é formalmente
identificado?
Os privilégios são concedidos a usuários conforme a
3 necessidade de uso e com base em eventos alinhados
com a política de controle de acesso?
A organização possui um processo de autorização e um
4
registro de todos os privilégios concedidos?
Os privilégios somente são fornecidos após todo o
5
processo de autorização estar finalizado?
Na organização os privilégios são atribuídos para um
6 identificador de usuário (ID de usuário) diferente
daqueles usados normalmente para os negócios?
Na organização o uso privilégios de administrador de
7
sistemas é restrito e controlada formalmente?

Existe na organização um processo de gerenciamento

1
formal e documentado de concessão de senhas?
A organização solicita aos usuários a assinatura de
uma declaração, para manter a confidencialidade de
2
sua senha pessoal e das senhas de grupos de
trabalho?
Esta declaração assinada é incluída nos termos e
3
condições da contratação?
Existem procedimentos para garantir que sejam
4 fornecidas inicialmente senhas seguras e temporárias
obrigando o usuário a alterá-la imediatamente?
A organização estabelece procedimentos para verificar
5 a identidade de um usuário antes de fornecer uma
senha temporária, de substituição ou nova?
A organização possui procedimentos para fornecer
6
senhas temporárias aos usuários de maneira segura?
As senhas temporárias são únicas para uma pessoa e
7
não são de fácil memorização?
Existem procedimentos para os usuários acusarem o
8
recebimento de senhas?
As senhas são armazenadas nos sistemas de um
9
computador de forma protegida?
As senhas padrão são alteradas logo após a instalação
10
de sistemas ou software?
 A organização realiza, através dos gestores, a
1 intervalos regulares a análise crítica dos direitos de
acesso dos usuários, por meio de um processo formal?

Os direitos de acesso de usuários são revisados em

2
intervalos regulares e depois de qualquer mudança?
Os direitos de acesso de usuários são analisados
3 criticamente e realocados quando movidos de um tipo
de atividade para outra na mesma organização?
As autorizações para direitos de acesso privilegiado
4 especial são analisadas criticamente em intervalos mais
freqüentes?
As alocações de privilégios são verificadas em intervalo
5 de tempo regular para garantir que privilégios não
autorizados não foram obtidos?
As modificações para contas de privilégios são
6 registradas e documentadas para análise crítica
periódica?

Questionamentos Resposta
A organização solicita aos usuários que sigam as boas
1 práticas de segurança da informação na seleção e uso
de senhas?
Os usuários são informados para manterem a
2
confidencialidade das senhas?
Os usuários são informados para alterar senha sempre
3 que existir qualquer indicação de possível
comprometimento do sistema ou da própria senha?
Os usuários são informados para evitar manter as
4 Parcial
senhas anotadas?
Os usuários são informados para selecionarem senhas
5
de qualidade com um tamanho mínimo?
Os usuários são informados para modificarem as
6 senhas regularmente ou com base no número de
acessos?

Os usuários são informados para evitarem a

7
reutilização ou reutilização do ciclo de senhas antigas?

Todos os usuários estão cientes dos requisitos de

segurança da informação e procedimentos para
1 proteger equipamentos desacompanhados, assim como
suas responsabilidades por implementar estas
proteções?
 Todos os usuários estão cientes dos requisitos de
segurança da informação e procedimentos para
2
encerrar as sessões ativas, a menos que elas possam
ser protegidas por meio de um mecanismo de bloqueio?

Todos os usuários são orientados para efetuarem a

desconexão com o computador de grande porte,
3
servidores e computadores pessoais do escritório,
quando a sessão for finalizada?
Todos os usuários são orientados para protegerem os
microcomputadores ou terminais contra uso não
4
autorizado através de tecla de bloqueio ou outro
controle equivalente?

A organização adota uma política de mesa limpa de

1
papéis e mídias de armazenamento removível?
A organização adota uma política de tela limpa para os
2
recursos de processamento da informação?
A política de mesa limpa e tela limpa leve em
consideração a classificação da informação, requisitos
3
contratuais e legais, e o risco correspondente e
aspectos culturais da organização?

A política de mesa limpa e tela limpa contempla que as

informações do negócio sensíveis ou críticas, sejam
4
guardadas em lugar seguro quando não em uso,
especialmente quando o escritório está desocupado?

A política de mesa limpa e tela limpa contempla que os

computadores e terminais sejam mantidos desligados
5 ou protegidos com mecanismo de travamento de tela e
teclados controlados por senha, token ou mecanismo
de autenticação similar quando sem monitoração

A política de mesa limpa e tela limpa determina que os

documentos que contêm informação sensível ou
6
classificada sejam removidos de impressoras
imediatamente?

Questionamentos Resposta
A organização possui uma política formal e
1 documentada sobre o uso de redes e dos serviços de
rede?
A política informa as redes e serviços de redes que são
2
permitidos de serem acessados?
A organização possui procedimentos de autorização
3 para determinar quem tem permissão para acessar em
quais redes e serviços de redes?
 A organização possui gerenciamento dos controles e
4 procedimentos para proteger acesso a conexões e
serviços de redes?
A política de uso descreve os meios usados para
5
acessar redes e serviços de rede?
A política de uso de serviços de rede seja consistente
6
com a política de controle de acesso do negócio?

A política informa quais métodos de autenticação deve

1 ser usados para controlar o acesso de usuários
remotos?
Os métodos documentados cumprem o nível de
2
proteção requerido pela análise/avaliação de riscos?
Os controles de acesso e procedimentos de call back,
3
se houver, foram testados?

As identificações automáticas indiquem claramente

para qual rede o equipamento possui permissão para
1 conectar-se, se existe mais de uma rede e
particularmente se estas redes são de sensibilidade
diferente?

Existem controles de acesso físico e lógico das portas

1
de diagnóstico e configuração?
Portas, serviços e recursos similares instalados em um
computador ou recurso de rede que não são
2
especificamente requeridos para a funcionalidade do
negócio forem desabilitados ou removidos?

Existe segregação em redes de grupos de serviços de

1
informação, usuários e sistemas de informação?
Os domínios de segregação forem definidos com base
2
na análise/avaliação de riscos?
Existe gateway seguro entre as duas redes a serem
3
interconectadas?
O gateway foi configurado para filtrar tráfego entre
estes domínios e bloquear acesso não autorizado
4
conforme a política de controle de acesso da
organização?

Os critérios para segregação de redes em domínios são

baseados na política de controle de acesso e requisitos
5 de acesso, e também levem em conta os custos
relativos e impactos de desempenho em incorporar
roteamento adequado à rede out tecnologia de gatewa

A segregação de redes é baseada no valor e

classificação de informações armazenadas ou
6 processadas na rede, níveis de confiança, ou linhas de
negócio, para reduzir o impacto total de uma
interrupção de serviço?
 A segregação de redes é baseada no valor e
classificação de informações armazenadas ou
7 processadas na rede, níveis de confiança, ou linhas de
negócio, para reduzir o impacto total de uma
interrupção de serviço?

No caso de uso de redes sem fios, os controles

implementados para manter a segregação de rede
8
levarem em consideração as recomendações de uma
análise/avaliação de riscos?

A capacidade dos usuários para conectar-se à rede é

1 restrita de acordo com a política de controle de acesso
o os requisitos das aplicações do negócio?
Os diretos de acesso dos usuários a rede são mantidos
2 e atualizados conforme requerido pela política de
controle de acesso?

Existe controle de roteamento na rede para assegurar

que as conexões de computador e fluxos de informação
1
não violem a política de controle de acesso das
aplicações do negócio?
Existe mecanismo de verificação positiva do endereço
2
de origem e destino?

Questionamentos Resposta
O acesso aos sistemas operacionais é controlado por
1 um procedimento seguro de entrada no sistema (log-
on)?
O procedimento de entrada no sistema (log-on) não
2 mostre identificadores de sistema ou aplicação até que
o processo tenha sido concluído com sucesso?
O procedimento de entrada no sistema (log-on) mostre
3 um aviso geral informando que o computador seja
acessado somente por usuários autorizados?
O procedimento de entrada no sistema (log-on) valide
4 informações de entrada no sistema somente quando
todos os dados de entrada estiverem completos?

Caso que ocorra uma condição de erro, o procedimento

5 de entrada no sistema (log-on) não indique qual parte
do dado de entrada está correta ou incorreta?

O procedimento de entrada no sistema (log-on) limite o

6 número permitido de tentativas de entradas no sistema
sem sucesso?

O procedimento de entrada no sistema (log-on) contém

7
um registro de tentativas com sucesso ou com falha?
 O procedimento de entrada no sistema (log-on) contém
uma imposição do tempo de espera antes de permitir
8 novas tentativas de entrada no sistema ou rejeição de
qualquer tentativa posterior de acesso sem autorização
específica?

O procedimento de entrada no sistema (log-on) faz

encerramento das conexões por data link depois da
9
extrapolação do limite de tentativas de entrada sem
sucesso?
O procedimento de entrada no sistema (log-on) envie
uma mensagem de alerta para o console do sistema se
10
o número máximo de tentativas de entrada no sistema
for alcançado?

O procedimento de entrada no sistema (log-on) leva em

consideração a configuração do número de reutilização
11
de senhas alinhado com o tamanho mínimo de senha e
o valor do sistema que está sendo protegido?

O procedimento de entrada no sistema (log-on) limite o

tempo máximo e mínimo permitido para o procedimento
12
de entrada no sistema e, se excedido, o sistema
encerre o procedimento de log-on?
Quando o procedimento de entrada no sistema (log-on)
13 finalize com sucesso, mostre a data e hora da última
entrada no sistema com sucesso?
Quando o procedimento de entrada no sistema (log-on)
finalize com sucesso, mostre detalhes de qualquer
14
tentativa sem sucesso de entrada no sistema desde o
último acesso com sucesso?
O procedimento de entrada no sistema (log-on) não
15 mostre a senha que está sendo informada (e.x. oculte
os caracteres da senha por símbolos)?
O procedimento de entrada no sistema (log-on) não
16
transmita senhas em texto claro pela rede?

O controle de identificação e autenticação é aplicado

para todos os tipos de usuários (incluindo o pessoal de
1 suporte técnico, operadores, administradores de rede,
programadores de sistema e administradores de banco
de dados)?
Os identificadores de usuários são utilizados para
2
rastrear atividades ao indivíduo responsável?
Atividades regulares de usuários não são executadas
3
através de contas privilegiadas?
Em circunstanciais excepcionais, onde um identificador
de usuário é compartilhado por um grupo de usuários
4
ou para um trabalho específico, existe documentação
da aprovação do gestor responsável?
 No caso de uso de identificadores de usuários
genéricos, as funções acessíveis ou as ações
executadas pelo usuário não precisam ser rastreados,
5
ou existem outros controles implementados (p. ex.
senha para identificador de usuário genérico somente
fornecid

No caso de uso de identificadores de usuários

genéricos, as funções acessíveis ou as ações
executadas pelo usuário não precisam ser rastreados,
6
ou existem outros controles implementados (p. ex.
senha para identificador de usuário genérico somente
fornecid

Existe controles para garantir que a força da

7 identificação e autenticação de usuário são adequada
com a sensibilidade da informação a ser acessada?

O sistema de gerenciamento de senha obrigue o uso de

1 identificador de usuário (ID de usuário) e senha
individual para manter responsabilidade final?
O sistema de gerenciamento de senha permita que os
usuários selecionem e modifiquem suas próprias
2
senhas, incluindo um procedimento de confirmação
para evitar erros?
O sistema de gerenciamento de senha obrigue a
3 escolha de senhas de qualidade, de acordo com a
política de senhas?
O sistema de gerenciamento de senha obrigue a troca
4
de senhas?
O sistema de gerenciamento de senha obrigue os
5 usuários a trocar a senha temporária no primeiro
acesso?
O sistema de gerenciamento de senha mantenha um
6 registro das senhas anteriores utilizadas e bloqueie a
reutilização?
O sistema de gerenciamento de senha não mostre as
7
senhas na tela quando forem digitadas?
O sistema de gerenciamento de senha armazene os
8 arquivos de senha separadamente dos dados do
sistema da aplicação?
O sistema de gerenciamento de senha armazene e
9 transmita as senhas de forma protegida (p.ex.
criptografada ou hashed)?

Existem procedimentos de identificação, autenticação e

1
autorização para utilitários de sistema?
Existe segregação dos utilitários de sistema dos
2
softwares de aplicação?
Existe limitação do uso dos utilitários de sistema a um
3
número mínimo de usuários confiáveis e autorizados?
Existe autorização para uso de utilitários de sistema
4
não previstos?
 Existe limitação da disponibilidade dos utilitários de
5 sistema, p.ex. para a duração de uma modificação
autorizada?

6 Existe registro de todo o uso de utilitários de sistemas?

Existem definição e documentação dos níveis de

7
autorização para os utilitários de sistema?
Existem remoção ou desabilitação de todos os
8
softwares utilitários e de sistema desnecessários?
Não foram disponibilizados utilitários de sistema para
9 usuários que têm acesso as aplicações onde
segregação de funções é requerida?

Existe uma facilidade de desconexão por tempo que

preveja a limpeza da tela do terminal e o encerramento
1
das seções do aplicativo e da rede após um período
definido de inatividade?

O prazo de tempo para a desconexão reflita os riscos

de segurança da área, a classificação da informação
2 que está sendo manuseada, as aplicações que estão
sendo utilizadas e os riscos relacionados para os
usuários do terminal do equipamento?

Este controle é implementado em locais de alto risco,

os quais incluem áreas públicas ou externas fora dos
3
limites do gerenciamento de segurança da
organização?

A organização utiliza restrições nos horários de

1 conexão como segurança adicional para aplicações de
alto risco?
A organização utiliza reautenticação em intervalos de
2
tempo?
A organização realiza restrição dos horários de conexão
às horas normais de expediente se não houver
3
necessidades para horas extras ou trabalhos fora do
horário normal?
A organização utiliza janelas de horários
predeterminados, p.ex. para lotes de transmissão de
4
arquivos ou seções regulares interativas de cura
duração?

Questionamentos Resposta
As restrições para acesso são baseadas nos requisitos
1
das aplicações individuais do negócio?
A política de controle de acesso é consistente com a
2
política de acesso organizacional?
 Existem menus para controlar o acesso às funções dos
3
sistemas de aplicação?
Existe controle dos direitos de acesso dos usuários,
4
p.ex. ler, escrever, excluir e executar?
Existe controle dos direitos de acesso de outras
5
aplicações?

Saídas dos sistemas de aplicação que tratam

informações sensíveis contenham apenas a informação
6
relevante ao uso de tais saídas e são enviadas apenas
para os terminais e locais autorizados?

É feita uma análise crítica periódica das saídas dos

7 sistemas de aplicação para assegurar que informação
desnecessária é removida?

Existe um ambiente computacional dedicado (isolado)

1
para os sistemas sensíveis?
A sensibilidade de cada sistema de aplicação e
2 explicitamente identificada e documentada pelo
proprietário da aplicação?
No caso de um aplicação sensível e executada em um
ambiente compartilhado, os sistemas de aplicação com
3 os quais ela compartilhara recursos e os
correspondentes riscos foram identificadas e existe a
concordância do proprietário da aplicação sensível?

Questionamentos Resposta
A política de computação móvel levou em consideração
uma analise dos riscos de se trabalhar com
1
equipamentos de computação móvel em ambientes
desprotegidos?
A política de computação móvel inclua requisitos de
proteção física, controles de acesso, técnicas
2
criptográficas, copias de segurança e proteção contra
vírus?

Existem proteções para evitar o acesso não autorizado

ou a divulgação de informações armazenadas e
processadas quando recursos de computação móvel
3
são usados em locais públicos, salas de reuniões e
outras áreas desprotegidas for a dos limites da
organizaç

Existem procedimentos estabelecidos para proteger

recursos de computação móvel contra softwares
4
maliciosos e para manter estas proteções sempre
atualizados?
Copias de segurança das informações criticas do
5
negocio são feitas regularmente?
 As copias de segurança sao protegidas
6
adequadamente contra roubo ou perda de informacao?

O acesso remoto as informações do negocio através de

redes publicas, usando os recursos de computação
7
móvel, ocorre somente apos o sucesso da identificação
e autenticação?

Existe um procedimento especifico que leve em

consideração requisitos legais, securitários e outros
8
requisitos de segurança da organização para casos de
roubo ou perda de recursos de computação móvel?

Existe procedimentos para que os recursos de

computação móvel que contem informações importante,
9 sensíveis e/ou criticas para o negocio , não são
deixados sem observação e, quando possível, são
fisicamente trancados?

Treinamentos ocorrem para os usuários de computação

móvel, para aumentar ou nível de conscientização a
10 respeito dos riscos adicionais resultantes deste forma
de trabalho e dos controles e precauções que devem
ser implementados?

Existe um gestor que autoriza e controla o trabalho

1
remoto?
Existe um política e procedimentos implementados para
que somente são autorizados atividades de trabalho
2
remoto que estão de acordo com a política de
segurança da organização?
Existe segurança física existente no local do trabalho
3
remoto?
Os procedimentos levam em consideração a ameaça
de acesso não autorizado a informação ou aos recursos
4
para outras pessoas que utilizam o local, p.ex.
familiares e amigos?
Os procedimentos levam em consideração o uso de
5 redes domesticas e requisitos ou restrições na
configuração de serviços de rede sem fio?
As políticas e procedimentos foram criados para evitar
disputas relativas a direitos de propriedade intelectual
6
desenvolvidas em equipamentos de propriedade
particular?
As políticas e procedimentos levam em consideração o
acesso a equipamentos de propriedade particular (para
7
verificar a segurança da maquina ou durante uma
investigação) que pode ser proibido legalmente?

As políticas e procedimentos levam em consideração

acordos de licenciamento de software que podem
tornar as organizações responsáveis pelo licenciamento
8
do software cliente em estações de trabalho
particulares de propriedade de funcionários,
fornecedores
 As políticas e procedimentos levam em consideração
9 requisitos de proteção contra vírus e requisitos de
firewall?
As políticas e procedimentos estabelecem que o uso de
10 equipamentos de propriedade particular que não são
sob controle da organização não e permitido?
As políticas e procedimentos definem o trabalho
permitido, o período de trabalho, a classificação da
11 informação que pode ser tratada e os sistemas internas
e serviços que o usuário do trabalho remoto e
autorizado a acessar?
As políticas e procedimentos contem a provisão de
12 equipamento de comunicação apropriado, incluindo
métodos para acesso remoto seguro?
As políticas e procedimentos definam as regras e
13 diretrizes sobre o acesso de familiares e visitantes ao
equipamento e a informação?
As políticas e procedimentos contem a provisão de
14
suporte e manutenção de hardware e software?
As políticas e procedimentos contem a provisão de
15
seguro?
As políticas e procedimentos prever copias de
16
segurança e continuidade de negocio?
As políticas e procedimentos prever auditoria e
17
monitoramento de segurança?
As políticas e procedimentos prever a revogação de
autoridade e direitos de acesso e a devolução do
18
equipamento quando as atividades de trabalho remoto
cessarem?
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
observado
XXX

XXX

XXX
9 21 39
XXX

XXX

XXX

XXX

XXX
 0 27 51

XXX

XXX

XXX

XXX

XXX

0 12 21

XXX

XXX

XXX

XXX

XXX

XXX
0 15 30
XXX

XXX

XXX

XXX

XXX

XXX
0 9 18

XXX

XXX

XXX

XXX

XXX
1 12 21

XXX
XXX

XXX

XXX
0 6 12

XXX

XXX

XXX

XXX

XXX

XXX
0 9 18

XXX

XXX

XXX
XXX

XXX

XXX
0 9 18

XXX

XXX

XXX
0 6 9

XXX
0 3 3

XXX

XXX
0 3 6

XXX

XXX

XXX

XXX

XXX

XXX
XXX

XXX
0 12 24

XXX

XXX
0 3 6

XXX

XXX
0 3 6

XXX

XXX

XXX

XXX

XXX

XXX

XXX
XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX
0 24 48

XXX

XXX

XXX

XXX
XXX

XXX

XXX
0 12 21

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX
0 15 27

XXX

XXX

XXX

XXX
XXX

XXX

XXX

XXX

XXX
0 15 27

XXX

XXX

XXX
0 6 9

XXX

XXX

XXX

XXX
0 6 12

XXX

XXX
XXX

XXX

XXX

XXX

XXX
0 12 21

XXX

XXX

XXX
0 6 9

XXX

XXX

XXX

XXX

XXX
XXX

XXX

XXX

XXX

XXX
0 15 30

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX
XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX

XXX
0 27 54
10 228 426
10 288 540
 A.12 Aquisição, desenvolvimento
A.12.1 Requisitos de segurança de sistemas de informação
Controle Seção Descrição do Controle Relevância

Devem ser especificados os requisitos para

Análise e especificação controles de segurança nas especificações
A. 12.1.1 dos de requisitos de negócios, para novos
requisitos de segurança sistemas de informação ou melhorias em
sistemas existentes.

A.12.2 Processamento correto de aplicações

 Controle Seção Descrição do Controle

Os dados de entrada de aplicações devem

Validação dos dados de
A. 12.2.1 entrada
ser validados para
garantir que são corretos e apropriados.

Devem ser incorporadas, nas aplicações,

checagens de
Controle do
validação com o objetivo de detectar
A. 12.2.2 processamento
qualquer corrupção de
interno
informações, por erros ou por ações
deliberadas.

Requisitos para garantir a autenticidade e

proteger a
integridade das mensagens em aplicações
Integridade de
A. 12.2.3 mensagens
devem ser
identificados e os controles apropriados
devem ser
identificados e implementados.
Os dados de saída das aplicações devem
ser validados para
Validação de dados de assegurar que o processamento das
A. 12.2.4 saída informações armazenadas
está correto e é apropriado às
circunstâncias.

A.12.3 Controles criptográficos

Controle Seção Descrição do Controle
 Deve ser desenvolvida e implementada uma
Política para o uso de política para o uso
A. 12.3.1 controles criptográficos de controles criptográficos para a proteção
da informação.
 Um processo de gerenciamento de chaves
Gerenciamento de deve ser implantado
A. 12.3.2 chaves para apoiar o uso de técnicas criptográficas
pela organização.

A.12.4 Segurança dos arquivos do sistema

Controle Seção Descrição do Controle

Procedimentos para controlar a instalação

Controle de software de software em
A. 12.4.1 operacional sistemas operacionais devem ser
implementados.
 Os dados de teste devem ser selecionados
Proteção dos dados para
A. 12.4.2 teste de sistema
com cuidado,
protegidos e controlados.

Controle de acesso ao
O acesso ao código-fonte de programa deve
A. 12.4.3 código- fonte de
ser restrito.
programa
 A. 12.4.3 código- fonte de
ser restrito.
programa

A.12.5 Segurança em processos de desenvolvimento e de suporte

Controle Seção Descrição do Controle

A implementação de mudanças deve ser

Procedimentos para
controlada utilizando
A. 12.5.1 controle
procedimentos formais de controle de
de mudanças
mudanças.
 Aplicações críticas de negócios devem ser
analisadas
Análise crítica técnica
criticamente e testadas quando sistemas
das
operacionais são
A. 12.5.2 aplicações após
mudados, para garantir que não haverá
mudanças
nenhum impacto
no sistema operacional
adverso na operação da organização ou na
segurança.

Modificações em pacotes de software não

devem ser
Restrições sobre incentivadas e devem estar limitadas às
 Modificações em pacotes de software não
devem ser
Restrições sobre incentivadas e devem estar limitadas às
A. 12.5.3 mudanças mudanças
em pacotes de software necessárias, e todas as mudanças devem
ser estritamente
controladas.

Oportunidades para vazamento de

Vazamento de
A. 12.5.4 informações
informações devem ser
prevenidas.

Desenvolvimento A organização deve supervisionar e

A. 12.5.5 terceirizado monitorar o
de software desenvolvimento terceirizado de software.
 Desenvolvimento A organização deve supervisionar e
A. 12.5.5 terceirizado monitorar o
de software desenvolvimento terceirizado de software.

A.12.6 Gestão de vulnerabilidades técnicas

Controle Seção Descrição do Controle

Deve ser obtida informação em tempo hábil

sobre
vulnerabilidades técnicas dos sistemas de
Controle de informação em uso,
A. 12.6.1 vulnerabilidades avaliada a exposição da organização a
técnicas estas vulnerabilidades e
tomadas as medidas apropriadas para lidar
com os riscos
associados.
Sim
Não
Parcial
NA
desenvolvimento e manutenção de sistemas de informação

Questionamentos Resposta

As especificações para os requisitos de controles, nos

1 sistemas de informação, consideram os controles Sim
automáticos a serem incorporados?
As especificações para os requisitos de controles, nos
2 sistemas de informação, consideram a necessidade de Sim
apoiar controles manuais?
As especificações para os requisitos de controles, nos
sistemas de informação, são aplicadas quando da
3 avaliação de pacotes de softwares, desenvolvidos Sim
internamente ou comprados, para as aplicações de
negócios?

Os requisitos de segurança e controles refletem o valor

para o negócio dos ativos de informação envolvidos, e
4 Sim
os danos potenciais ao negócio que poderiam resultar
de uma falha ou ausência de segurança?

Os requisitos de sistemas para a segurança da

5 informação são integrados aos estágios iniciais dos
projetos dos sistemas de informação?
Os processos para implementar os requisitos de
6 sistema são integrados aos estágios iniciais dos
projetos dos sistemas de informação?
Para produtos comprados, existe um processo formal
7
de aquisição?
Para produtos comprados, existe um processo formal
8
de testes a ser seguido?

Os contratos com fornecedores levam em consideração

9 Sim
os requisitos de segurança identificados?

Nas situações em que funcionalidades de segurança de

um produto proposto não satisfaçam requisitos
10 especificados, o risco introduzido, assim como os
controles associados, são reconsiderados antes da
compra do produto?

Nas situações em que as funcionalidades adicionais

incorporadas acarretem riscos à segurança, estas são
11 desativadas ou a estrutura de controles proposta é
analisada criticamente para determinar se há vantagem
na utilização das funcionalidades em questão?
 Questionamentos Resposta
São aplicadas checagens na entrada de transações de
1 Sim
negócios, em dados permanentes?
São aplicadas checagens na entrada de transações de
2 Sim
negócios parâmetros de tabelas?
São aplicadas checagens de entrada duplicada ou
outros tipos de verificação, tais como checagem de
3 Sim
limites ou campos limitando as faixas específicas de
dados de entrada
São realizadas verificações periódicas do conteúdo de
4 campos-chave ou arquivos de dados para confirmar a Sim
sua validade e integridade?
Todas as mudanças em documentos de entrada são
5 Sim
formalmente autorizadas?
A organização realiza formalmente inspeção de cópias
6 impressas de documentos de entrada para detectar
quaisquer alterações não autorizadas?
Existem procedimentos formlizados para tratar erros de
7
validação?
Existem procedimentos formalizados para testar a
8
plausibilidade dos dados de entrada?
São formalmente definidas as responsabilidades de
9 todo o pessoal envolvido no processo de entrada de
dados?
Existe um registro de atividades envolvendo o processo
10
de entrada de dados?

O projeto e a implementação das aplicações garantem

1 que os riscos de falhas de processamento que levem à
perda de integridade são minimizados?
2 Existe uma lista de verificação apropriada?
As atividades são documentadas e os resultados são
3
mantidos em segurança?

Ë realizada uma análise/avaliação dos riscos de

1 segurança para determinar se a integridade das
mensagens é requerida?
É realizada uma análise/avaliação dos riscos de
2 segurança para identificar o método mais apropriado de
implementação?

A organização possui um processo formalizado de

1
validação dos dados de saída?

Questionamentos Resposta
 A política para criptografia leva em consideração a
abordagem gerencial quanto ao uso de controles
1 criptográficos em toda a organização, incluindo os
princípios gerais sob os quais as informações de
negócio são protegidas?

A políticas para criptografia leva em consideração a

identificação do nível requerido de proteção com base
2 em uma análise/avalioação de riscos, levando em
consideração o tipo, a força e a qualidade do algoritmo
de criptografia requerido?

A políticas para criptografia leva em consideração o uso

de criptografia para a proteção de informações
3
sensíveis transportadas em celulares e PDA, mídias
removíveis, dispositivos ou linhas de comunicação?

A política para criptografia leva em consideração a

abordagem do gerenciamento de chaves, incluindo
métodos para lidar com a proteção das chaves
4
criptográficas e a recuperação de informações cifradas,
no caso de chaves perdidas, comprometidas ou
danificadas?

A política para criptografia define papéis e

responsabilidades, p.ex. ee quem for responsável pela
5
implementação da política e pelo gerenciamento de
chanves, incluindo sua geração?
A política para criptografia leva em consideração os
padrões a serem adotados para a efetiva
6
implementação ao longo de toda a organização (qual
solução é usada para quais processos de negócios)?
A política para criptografia leva em consideração o
impacto do uso de informações cifradas em controles
7
que dependem da inspeção de conteúdos (p.ex.
detecção de virus)?

Na implementação da política de criptográfica da

organização, foi levado em consideração as leis ou
regulamentações e restrições nacionais aplicáveis ao
8
uso de técnicas criptográficas, nas diferentes partes do
mundo, e das questões relativas ao fluxo transfronteiras
de informações cifradas?

Todas as chaves criptográficas são protegidas contra

1
modificação, perda e destruição?
Os equipamentos utilizados para gerar, armazenar e
2
guardar as chaves são fisicamente protegidos?
O sistema de gerenciamento de chaves permite gerar
3 chaves para diferentes sistemas criptográficos e
diferentes aplicações?
O sistema de gerenciamento de chaves permite gerar e
4
obter certificados de chaves públicas?
O sistema de gerenciamento de chaves permite
distribuir chaves para os usuários devidos, incluindo a
5
forma como as chaves devem ser ativadas quando
recebidas?
 O sistema de gerenciamento de chaves permite
6 armazenar chaves, incluindo a forma como os usuários
autorizados obtêm acesso a elas?

O sistema de gerenciamento de chaves permite mudar

7 ou atualizar chaves, incluindo regras relativas a quando
as chaves devem ser mudadas e como isto será feito?

O sistema de gerenciamento de chaves permite lidar

8
com chaves comprometidas?
O sistema de gerenciamento de chaves permite revogar
chaves, incluindo regras de como elas devem ser
retiradas ou desativadas, p.ex. quando chaves tiveram
9
sido comprometidas ou quando um usuário deixa a
organização (neste caso, também as chaves são
guardadas)?

O sistema de gerenciamento de chaves permite

recuperar chaves perdidas ou corrompidas, como parte
10
da gestão de continuidade do negócio (p.ex. para
recuperação de informações cifradas)?
O sistema de gerenciamento de chaves permite guardar
11 chaves, p.ex. para informações guardadas ou
armazenadas em cópias de segurança?
O sistema de gerenciamento de chaves permite destruir
12
chaves?
O sistema de gerenciamento de chaves permite manter
13 registro e auditoria das atividades relacionadas com o
gerenciamento de chaves?
O sistema de gerenciamento de chaves permite que
datas de ativação e desativação de chaves são
14
definidas de forma que possam ser utilizadas apenas
por um período de tempo limitado?
Este período de tempo é dependente das
15 circunstâncias sob as quais o controle criptográfico está
sendo usado, assim como do risco percebido?
O sistema de gerenciamento de chaves considera a
16
autenticidade de chaves públicas?
As autoridades certificadoras envolvidas são
organizações reconhecidas, com controles adequados
17
e procedimentos implantados com o objetivo de garantir
o requerido nível de confiança?

O conteúdo dos termos dos acordos de nível de serviço

ou contratos com fornecedores externos de serviços
criptográficos (p.ex. com uma autoridade certificadora)
18
cobra aspectos como responsabilidades, confiabilidade
dos serviços e tempos de resposta para a execução
dos serviços contratados?
 Questionamentos Resposta
A atualização dos software operacional, de aplicativos e
1 de biblioecas de programas é executada somente por
administradores treinados e com autorização gerencial?

Os sistemas operacionais contenham somente código

2 executável e aprovado e não contenham códigos em
desenvolvimento ou compiladores?
Os sistemas operacionais e aplicativos somente são
3 implementados após testes extensivos e bem
sucedidos?

Os testes incluam testes sobre uso, segurança, efeitos

4 sobre outros sistemas, como também sobre uso
amigável, e são realizados em sistemas separados?

Todas as bibliotecas de programa-fonte

5
correspondentes são atualizados?
Um sistema de controle de configuração é utilizado para
6 manter controle da implementação do software assim
como da documentação do sistema?
Uma estratégia de retorno às condições anteriores é
7 disponibilizada antes que mudanças são
implementados no sistema?
Um registro de auditoria é mantido para todas as
8 atualizações das bibliotecas dos programas
operacionais?
As versões anteriores dos softwares aplicativos são
9
mantidas como medida de contingência?
As versões antigas de software são arquivadas, junto
com todas as informações e parâmetros requeridos,
10 procedimentos, detalhes de configurações de software
de suporte durante um prazo igual ao prazo de
retenção dos dados?
O software adquirido de fornecedores e utilizado em
11 sistemas operacionais é mantido num nível apoiado
pelo fornecedor?
A organização leva em consideração os riscos
12 associados à dependência de software sem suporte na
sua análise/avaliação de risco?

Qualquer decisão de atualização para uma nova versão

de software considere os requisitos do negócio para a
mudança e da segurança associada, p.ex. a introdução
13
de uma nova funcionalidade de segurança ou a
quantidade e a gravidade dos problemas de segurança
associados a esta versão?

Pacotes de correções de software são sempre

14 aplicados quando puderem remover ou reduzir as
vulnerabilidades de segurança?
Acessos físicos e lógicos são concedidos a
15 fornecedores somente quando necessário, para a
finalidade de suporte e com aprovação gerencial?
16 Todas as atividades do fornecedor são monitorados?
 No caso em que os softwares para computadores
dependem de outros softwares e módulos fornecidos
17
externamente, estes são monitorados e controlados
para evitar mudanças não autorizadas?
Os sistemas operacionais são atualizados somente
quando existe um requisito para tal, p.ex. a versão atual
18
do sistema operacional não suporta mais os requisitos
do negócio?
Atualizações dos sistemas operacionais não são
19 efetivadas pela mera disponibilidade de uma versão
nova do sistema operacional?

Para própositos de teste, é evitado o uso de banco de

dados operacionais que contenham informações de
1
natureza pessoal ou qualquer outra informação
considerada sensível?

No caso em que informação de natureza pessoal ou

outras informações sensíveis são utilizadas com
2 propósito de teste, todos os detalhes e conteúdo
sensível são removidos ou modificados de forma a
evitar reconhecimento antes de seu uso?

Os procedimentos de controle de acesso, aplicáveis

aos aplicativos de sistema em ambiente operacional
3
são também aplicados aos aplicativos de sistema em
ambiente de teste?
É obtida autorização cada vez que for utilizada uma
4 cópia da informação operacional para uso de um
aplicativo em teste?
A informação operacional é apagada do aplicativo em
5
teste imediatamente após completar o teste?

A cópia e o uso de informação operacional são

6
registrados de forma a prover uma trilha para auditoria?

O acesso ao código-fonte de programa e de iten

1 associados (como desenhos, especificações, planos de
verificação e de validação) é estritamente controlado?

Quando possível, é evitado manter as bibliotecas de

2 programa-fonte no mesmo ambiente dos sistemas
operacionais?
É implementado o controle de código-fonte de
3 programa e das bibliotecas de programa-fonte,
conforme procedimentos estabelecidos?
O pessoal de suporte não tenha acesso irrestrito às
4
bibliotecas de programa-fonte?
A atualização das bibliotecas de programa-fonte e itens
associados e a entrega de fontes de programas a
5
programadores é apenas efetuada após o recebimento
da autorização pertinente?
As listagens dos programas são mantidos num
6
ambiente seguro?
 É mantido um registro de auditoria de todos os acessos
7
a código-fontre de programa?
É mantido um registro de auditoria de todos os acessos
8
a código-fontre de programa?
A manutenção e a cópia das bibliotecas de programa-
9 fonte estão sujeitas a procedimentos estritos de
controles de mudanças?

porte
Questionamentos Resposta
Os procedimentos de controle de mudanças são
1
documentados e reforçados?
A introdução de novos sistemas e mudanças maiores
em sistemas existentes segue um processo formal de
2
documentação, especificação, teste, controle de
qualidade e gestão da implementação?

Este processo formal inclua uma análise/avaliação de

3 riscos, análise de impacto das mudanças e a
especificação dos controles de segurança requeridos?

Este processo formal garante que a segurança e os

procedimentos de controle atuais não são
comprometidos, que os programadores de suporte
4 tenham acesso somente às partes do sistema
necessárias para o cumprimento das tarefas e que são
obtidas concordância e aprovação formal para qualquer
mudança obtida?

Os procedimentos de mudança incluam a manutenção

5
de um registro de níveis acordados de autorização?
Os procedimentos de mudança incluam a garantia de
6 que as mudanças são submetidas por usuários
autorizados?

Os procedimentos de mudança incluam a análise crítica

7 dos procedimentos de controle e integridade para
assegurar que as mudanças não os comprometem?

Os procedimentos de mudança incluam a identificação

8 de todo software, informação, entidades em bancos de
dados e hardware que precisam de emendas?

Os procedimentos de mudança incluam a identificação

9 de todo software, informação, entidades em bancos de
dados e hardware que precisam de emendas?

Os procedimentos de mudança incluam a obtenção de

10 aprovação formal para propostas detalhadas antes da
implementação?
 Os procedimentos de mudança incluam a garantia de
11 aceitação das mudanças por usuários autorizados,
antes da implementação?
Os procedimentos de mudança incluam a garantia de
atualização da documentação do sistema após
12
conclusão de cada mudança e de que a documentação
antiga é arquivada ou descartada?
Os procedimentos de mudança incluam a manutenção
13 de um controle de versão de todas as atualizações de
softwares?
Os procedimentos de mudança incluam a manutenção
14 de uma trilha para auditoria de todas as mudanças
solicitadas?
Os procedimentos de mudança incluam a garantia de
que toda a documentação operacional e procedimentos
15
dos usuários são alterados conforme necessário e que
se mantenham apropriados?
Os procedimentos de mudança incluam a garantia de
que as mudanças são implementadas em horários
16
apropriados, sem a pertubação dos processos de
negócios cabíveis?
Atualizações automáticas não são utilizadas em
17
sistemas críticas?

É dada responsabilidade a um grupo específico ou a

um indivíduo para monitoramento das vulnerabilidades
1
e divulgação de emendas e correções dos fornecedores
de software?
A análise compreenda uma análise crítica dos
procedimentos de controle e integridade dos controles
2
para assegurar que não foram comprometidos pelas
mudanças no sistema operacional?
A análise compreenda a garantia de que o plano anual
de suporte e o orçamento irão cobrir as análises e
3
testes do sistema devido às mudanças no sistema
operacional?
A análise compreenda a garantia de que as mudanças
pretendidas são comunicadas em tempo hábil para
4
permitir os testes e análises críticas antes da
implementação das mudanças?
A análise compreenda a garantia de que as mudanças
5 necessárias são executadas nos planos de
continuidade de negócios?

A organização usa somente pacotes de softwares

1
providos pelos fornecedores sem modificações?

No caso que um pacote de software requer

modificação, foi levado em consideração na
2
análise/avaliação de risco que controles e processos de
integridade embutidos no software são comprometidos?
 No caso que um pacote de software requer
3 modificação, há documentação da obtenção do
consentimento do fornecedor?
No caso que um pacote de software requer
modificação, foi levado em consideração o impacto
4 resultante quando a organização passa a ser
responsável para a manutenção futura do software
como resultado das mudanças?

No caso que um pacote de software requer

modificação, o software original foi mantido e as
5
mudanças foram aplicadas numa cópia claramente
identificada?
Existe um processo de gestão de atualizações,
implementado para assegurar a instalação das mais
6
recentes correções e atualizações para todos os
softwares autorizados?

No caso que um pacote de software requer

modificação, todas as mudanças são completamente
7 testadas e documentadas para que possam ser
reaplicadas, se necessário, em atualizações futuras do
software?

Existe um procedimento para a varredura do envio de

1 mídia e comunicações para verificar a presença de
informação oculta?
Existe um procedimento para o mascaramento e o
modulação do comportamento dos sistemas e das
2 comunicações para reduzir a possibilidade de terceiros
deduzirem informações a partir do comportamento dos
sistemas?
Existe a recomendação da utilização de sistemas e
3 software reconhecidos como de alta integridade, p.ex.
utilizando produtos avaliados (ISO/IEC 15408)?
Existe um procedimento para o monitoramento regular
4 das atividades do pessoal e do sistema e que é
permitido pela legislação ou regulamentação vigente?
Existe um procedimento para o monitoramento do uso
5
de recursos de sistemas de computação?

A organização desenvolve software utilizando os

1
serviços de terceiros?
Para software terceirizado, existe acordos de
2 licenciamento, propriedade de código e direitos de
propriedade intelectual?
Para software terceirizado, existe certificação da
3
qualidade e exatidão do serviço realizado?
Para software terceirizado, existe provisões para
4
custódia no caso de falha de terceira parte?
Para software terceirizado, existe direitos de acesso
5 para auditorias de qualidade e exatidão do serviço
realizado?
 Para software terceirizado, existe requisitos contratuais
6 para a qualidade e funcionalidade da segurança do
código?
Para sotware terceirizado, existe testes antes da
7 instalação para detectar a presença de código
malicioso e troiano?

Questionamentos Resposta
Existe um inventário completo e atualizado dos ativos
de informação, incluindo o fornecedor do software, o
1 número de versão, o status atual de uso e distribuição e
a(s) pessoa(s) na organização responsável(is) pelos
softwares?

São definidas e estabelecidas as funções e

responsabilidades associadas na gestão de
vulnerabilidades técnicas, incluindo o monitoramento de
2 vulnerabilidades, a análise/avaliação de riscos e
vulnerabilidades, patches, acompanhamento dos ativos
e qualquer coordenação de responsabilidades
requerida pela organização?

São identificados os recursos de informação a ser

usadas para identificar vulnerabilidades técnicas
3
relevantes nas softwares e outras tecnologias, e para
manter a conscientização sobre eles?
Esses recursos de informação são mantidos
atualizados com base nas mudanças no inventário de
4
ativos, ou quando outros recursos novos ou úteis forem
encontrados?
É definido um prazo para a reação a notificações de
5
potenciais vulnerabilidades técnicas relevantes?
Uma vez que uma vulnerabilidade técnica potential é
6 identificada, a organização avalie os riscos associados
e as ações a serem tomadas?
Dependendo da urgência exigida para tratar uma
vulnerabilidade técnica, a ação tomada é de acordo
7 com os controles relacionados com a gestão de
mudanças ou são seguidos os procedimentos de
resposta a incidentes de segurança da informação?
Se um patch é disponibilizado, são avaliados os riscos
8
associados à sua instalação?
Patches são testados e avaliados antes de serem
9 instaladas para assegurar a efetividade e para não
tragam efeitos que não podem ser tolerados?
 Quando não existe a disponibilidade de um patch,
outros controles são considerados (tais como a
desativação de serviços ou potencialidades
relacionadas à vulnerabilidade, a adaptação ou
10
agregação de controles de acesso (p.ex. firewalls nas
fronteiras da rede), o aumento do monitoramento para
detectar ou previnir ataque reais, ou o aumento da
conscientização sobre a vulnerabilidade)?

É mantido um registro de auditoria de todos os

11
procediementos realizados?
Com finalidade de assegurar a eficácia e a eficiência, é
12 monitorado e avaliado regularmente o processo de
gestão de vulnerabilidades técnicas?
É abordado em primeiro lugar os sistemas com altos
13
riscos?
ormação

Observações/Justificativas
Observações/Justificativas

Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
 A.13 Gestão de inciden
A.13.1 Notificação de fragilidades e eventos de segurança da informação
Controle Seção Descrição do Controle Relevância

Os eventos de segurança da informação

Notificação de eventos
devem ser relatados
de
A. 13.1.1 segurança da
através dos canais apropriados da direção,
o mais rapidamente
informação
possível.
 Os funcionários, fornecedores e terceiros de
sistemas e
Notificando fragilidades
serviços de informação devem ser instruídos
de
A. 13.1.2 segurança da
a registrar e
notificar qualquer observação ou suspeita
informação
de fragilidade em
sistemas ou serviços.

A.13.2 Gestão de incidentes de segurança da informação e melhorias

Controle Seção Descrição do Controle

Responsabilidades e procedimentos de
gestão devem ser
Responsabilidades e estabelecidos para assegurar respostas
A. 13.2.1 procedimentos rápidas, efetivas e
ordenadas a incidentes de segurança da
informação.
 Devem ser estabelecidos mecanismos para
Aprendendo com os permitir que tipos,
incidentes de segurança quantidades e custos dos incidentes de
A. 13.2.2 da segurança da
informação informação sejam quantificados e
monitorados.

Nos casos em que uma ação de

acompanhamento contra uma
pessoa ou organização, após um incidente
de segurança da
informação, envolver uma ação legal (civil
ou criminal),
A. 13.2.3 Coleta de evidências
evidências devem ser coletadas,
armazenadas e apresentadas
em conformidade com as normas de
armazenamento de
evidências da jurisdição ou jurisdições
pertinentes.
Sim
Não
Parcial
NA
Gestão de incidentes de segurança da informação
informação
Questionamentos Resposta

Existem procedimentos de notificação formal

1 estabelecidos para relatar os eventos de segurança da Sim
informação?

Existem procedimentos de resposta a incidente e

escalonamento, estabelecendo a ação a ser tomada ao
2 Sim
se receber a notificação de um evento de segurança da
informação?

A organização possui um ponto de contato formalmente

3 estabelecido para receber as notificações dos eventos Sim
de segurança da informação?

O ponto de contato é de conhecimento de toda a

4 organização e esta sempre disponível e em condições Não
de assegurar uma resposta adequada e oportuna?
Todos os funcionários, fornecedores e terceiros são
alertados sobre sua responsabilidade de notificar
5 Sim
qualquer evento de segurança da informação o mais
rapidamente possível?

Todos os fornecedores e terceiros são alertados sobre

6 sua responsabilidade de notificar qualquer evento de Sim
segurança da informação o mais rapidamente possível?

Todos os fornecedores e terceiros também estão

cientes do procedimento para notificar os eventos de
7 Sim
segurança da informação e do ponto de contato
designado para este fim?
Existem processos adequados de realimentação para
assegurar que os eventos de segurança da informação
8 Sim
relatados são notificados dos resultados após a
questão ter sido conduzida e concluída?
A organização possui formulário para apoiar a ação de
notificar um evento de segurança da informação e
9 Sim
ajudar as pessoas a lembrar as ações necessárias para
a notificação do evento?
Todos são orientados e instruidos sobre o
comportamento correto de não tomar nenhuma ação
10 Parcial
própria, mas informar imediatamente o evento ao ponto
de contato?
Todos são orientados e instruidos sobre o
11 comportamento correto de anotar todos os detalhes Parcial
importantes imediatamente?
Existe na política e procedimentos uma referência para
um processo disciplinar formal estabelecido para lidar
12 Sim
com funcionários, fornecedores ou terceiros que
cometam violações de Segurança da informação?
 Existem procedimentos para que os funcionários,
fornecedores e terceiros notifiquem qualqueer
observaçào ou suspeita de fragilidade o mais rápido
1 Não
possível para sua direção ou diretamente ao seu
provedor de serviços, de forma a prevenir incidentes de
segurança da informação?
O mecanismo de notificação é fácil, acessível e
2 Parcial
disponível sempre que possível?
Os usuários são informados que não podem, sob
3 nenhuma circunstância, tentar averiguar fragilidade Parcial
suspeita?

elhorias
Questionamentos Resposta
Adicionalmente à notificação de eventos de segurança
da informação e fragilidades o monitoramento de
1 Sim
sistemas, alertas e vulnerabilidades é utilizado para a
detecção de incidentes de segurança da informação?

Existem procedimentos formalmente estabelecidos para

2 manusear diferentes tipos de incidentes de segurança Parcial
da informação?
Existem procedimentos formalmente estabelecidos para
3 Parcial
análise e identificação da causa do incidente?
Existem procedimentos formalmente estabelecidos para
4 planejamento e implementação de ação corretiva para Não
prevenir a sua repetição, se necessário?
Existem procedimentos formalmente estabelecidos para
5 comunicação com aqueles afetados ou envolvidos com Não
a recuperação do incidente?

Existem procedimentos formalmente estabelecidos para

6 Parcial
notificação da ação para a autoridade apropriada?

Existe um procedimento formal para que as trilhas de

auditoria e evidências similares sejam coletadas e
protegidas, como apropriado, para uso como evidência
7 Sim
forense para o caso de uma potencial violação de
contrato ou de normas reguladoras ou em caso de
delitos civis ou criminais?

As ações para recuperação de violações de segurança

8 e correção de falhas do sistema são cuidadosa e Não
formalmente controladas?
Em caso de violações de segurança apenas
funcionários explicitamente identificados e autorizados
9 Não
estão liberados para acessar sistemas e dados em
produção?
Todas as ações de emergência são documentadas e
10 Não
registradas em detalhe?
 As ações de emergência são relatadas para a direção e
11 Sim
analisadas criticamente de maneira ordenada?
A integridade dos sistemas do negócio e seus controles
12 Parcial
são validados na maior brevidade?
Os objetivos da gestão de incidentes de segurança da
13 Parcial
informação estão em concordância com a direção?
Os responsáveis pela gestão de incidentes de
segurança da informação entendem as prioridades da
14 Parcial
organização no manuseio de incidentes de segurança
da informação?
A organização troca informações com entidades
15 NA
externas?

Existe um processo formal para que a informação

resultante da análise de incidentes de segurança da
1 Sim
informação seja usada para identificar incidentes
recorrentes ou de alto impacto?
Existem mecanismos formais para quantificar tipos,
2 quantidades e custos dos incidentes de segurança da Sim
informação?

Existem documentados os procedimentos internos

elaborados e respeitados para as atividades de coleta e
1 Parcial
apresentação de evidências com o propósito de ação
disciplinar movida em uma organização?
A organização possui mecanismos que assegurem que
seus sistemas de informação estejam de acordo com
2 Parcial
qualquer norma ou código de prática publicado para
produção de evidência admissível?

A qualidade e a inteireza dos controles usados para

proteger as evidências de forma correta e consistente
(ou seja, o processo de controle de evidências) durante
3 Não
todo o período de armazenamento e processamento da
evidência são demonstradas por uma trilha forte de
evidência?
Todo trabalho forense é somente realizado em cópias
4 Parcial
do material de evidência?
A integridade de todo material de evidência é
5 NA
preservada?
O processo de cópia de todo material de evidência é
supervisionado por pessoas confiáveis e que as
6 informações sobre a data, local, pessoas, ferramentas e Não
programas envolvidos no processo de cópia são
documentadas e registradas?
Observações/Justificativas
Observações/Justificativas
 A.14 Gestão da
A.14.1 Aspectos da gestão da continuidade do negócio, relativos à segurança d
Controle Seção Descrição do Controle Relevância

Um processo de gestão deve ser

Incluindo segurança da desenvolvido e mantido para
informação no processo assegurar a continuidade do negócio por
de toda a organização e
A. 14.1.1 gestão da continuidade que contemple os requisitos de segurança
de da informação
negócio necessários para a continuidade do negócio
da organização.

Devem ser identificados os eventos que

podem causar
Continuidade de
interrupções aos processos de negócio,
negócios e
A. 14.1.2 análise/avaliação de
junto à probabilidade e
impacto de tais interrupções e as
risco
conseqüências para a
segurança de informação.
 Devem ser identificados os eventos que
podem causar
Continuidade de
interrupções aos processos de negócio,
negócios e
A. 14.1.2 análise/avaliação de
junto à probabilidade e
impacto de tais interrupções e as
risco
conseqüências para a
segurança de informação.

Os planos devem ser desenvolvidos e

implementados para a
Desenvolvimento e
manutenção ou recuperação das operações
implementação de
e para assegurar a
planos de
A. 14.1.3 continuidade relativos à
disponibilidade da informação no nível
requerido e na escala de
segurança da
tempo requerida, após a ocorrência de
informação
interrupções ou falhas
dos processos críticos do negócio.
 Uma estrutura básica dos planos de
continuidade do negócio
deve ser mantida para assegurar que todos
os planos são
Estrutura do plano de
A. 14.1.4 continuidade do negócio
consistentes, para contemplar os requisitos
de segurança da
informação e para identificar prioridades
para testes e
manutenção.

Os planos de continuidade do negócio

Testes, manutenção e
devem ser testados e
reavaliação dos planos
A. 14.1.5 de
atualizados regularmente, de forma a
assegurar sua
continuidade do negócio
permanente atualização e efetividade.
Sim
Não
Parcial
NA
 A.14 Gestão da continuidade do negócio
ivos à segurança da informação
Questionamentos Resposta

A organização possui um claro entendimento dos riscos

a que a organização está exposta, no que diz respeito à
1 sua probabilidade e impacto no tempo, incluindo a Sim
identificação e priorização dos processos críticos do
negócio?

A organização possui a identificação documentada de

2 todos os ativos envolvidos em processos críticos de Sim
negócio?
A organização possui um claro entendimento do
impacto que incidentes de segurança da informação
3 provavelmente podem ter sobre os negócios e Sim
estabelecimento dos objetivos do negócio dos recursos
de processamento da informação?

A organização tem um processo formal de

consideração de contratação de seguro compatível que
4 possa ser parte integrante do processo de continuidade Sim
do negócio, bem como a parte de gestão de risco
operacional?

A organização possui o detalhamento e documentação

de planos de continuidade de negócio que contemplem
5 os requisitos de segurança da informação alinhados Sim
com a estratégia da continuidade do negócio
estabelecida?

A organização realiza testes, exercícios e atualizações

6 Sim
regulares dos planos e processos implantados?

A organização tem processos que lhe garantam que a

7 gestão da continuidade do negócio esteja incorporada
aos processos e estrutura da organização?
A responsabilidade pela coordenação do processo de
8 gestão decontinuidade de negócios é atribuída a um Sim
nível adequado dentro da organização?

Os aspectos da continuidade do negócios relativos à

segurança da informação são baseados na
1 identificação de eventos (ou sucessão de eventos) que
possam causar interrupções aos processos de negócios
das organizações?

A organização realiza uma análise/avaliação de riscos

para a determinação da probabilidade e impacto de tais
2
interrupções, tanto em termos de escala de dano
quanto em relação ao período de recuperação?
As análises/avaliações de riscos da continuidade do
3 negócio são realizadas com total envolvimento dos
responsáveis pelos processos e recursos do negócio?
 A análise/avaliação considera todos os processos do
negócio e não esta limitada aos recursos de
4
processamento das informações, mas incluem os
resultados específicos da segurança da informação?

A análise/avaliação identifica, quantifica e prioriza os

critérios baseados nos riscos e nos objetivos
5 pertinentes à organização, incluindo recursos críticos,
impactos de interrupção, possibilidade de ausência de
tempo e prioridades de recuperação?

Foi desenvolvido pela organização um plano

estratégico para se determinar a abordagem mais
6
abrangente a ser adotada para a continuidade dos
negócios?

O processo de planejamento da continuidade de

negócios considera a identificação e concordância de
1
todas as responsabilidades e procedimentos da
continuidade do negócio?
A organização realizou a identificação da perda
2
aceitável de informações e serviços?
A organização implementou procedimentos que
permitem a recuperação e restauração das operações
3
do negócio e da disponibilidade da informação nos
prazos necessários?
Existem procedimentos operacionais que permitam a
4 conclusão de restauração e recuperação que estejam
pendentes?
O processo de planejamento foca os objetivos
5
requeridos do negócio?
O plano de continuidade do negócio trata as
vulnerabilidades da organização, que podem conter
6
informações sensíveis e que necessitem de proteção
adequada?
As cópias do plano de continuidade do negócio são
guardadas em um ambiente remoto, a uma distância
7
suficiente para escapar de qualquer dano de um
desastre no local principal?

A organização possui processos que garantam ao

gestor que as cópias dos planos de continuidade do
8
negócio estão atualizados e protegidos no mesmo nível
de segurança como aplicado no ambiente principal?

Os outros materiais necessários para a execução do

9 plano de continuidade do negócio também são
armazenados em local remoto?
Caso se utilize de ambientes alternativos temporários, o
10 nível de controles de segurança implementados nestes
locais é equivalente ao ambiente principal?
 Os planos também especificam o plano de
escalonamento e as condições para sua ativação,
1
assim como as responsabilidades individuais para
execução de cada uma das atividades do plano?

Os procedimentos do programa de gestão de mudança

da organização estão incluídos para assegurar que os
2
assuntos de continuidade de negócios estão sempre
direcionados adequadamente?

Quando novos requisitos são identificados os

3 procedimentos de emergência relacionados são
ajustados de forma apropriada?

Os procedimentos do programa de gestão de mudança

da organização são incluídos para assegurar que os
4
assuntos de continuidade de negócios estejam sempre
direcionados adequadamente?

Os procedimentos de emergência, de recuperação,

manual de planejamento e planos de reativação são de
5
responsabilidade dos gestores dos recursos de
negócios ou dos processos envolvidos?

Os procedimentos de recuperação para serviços

técnicos alternativos, como processamento de
6
informação e meios de comunicação, são normalmente
de responsabilidade dos provedores de serviços?

A estrutura de planejamento para continuidade de

7 negócios contemple os requisitos de segurança da
informação identificados?

Os testes do plano de continuidade do negócio

asseguram que todos os membros da equipe de
recuperação e outras pessoas relevantes estão
1
conscientes dos planos e de suas responsabilidades
para a continuidade do negócio e a segurança da
informação?

Os testes do plano de continuidade do negócio

asseguram que todos os membros da equipe de
2 recuperação e outras pessoas relevantes conhecem as
suas atividades quando um plano for
acionado?
O planejamento e a programação dos testes do(s)
3 plano(s) de continuidade de negócios indicam como e
quando cada elemento do plano seja testado?
Os componentes isolados do(s) plano(s) são
4
freqüentemente testados?
A responsabilidade pelas análises críticas periódicas de
5
cada parte do plano esta definida e estabelecida?
A identificação de mudanças nas atividades do negócio
que ainda não tenham sido contempladas nos planos
6
de continuidade de negócio são seguidas por uma
apropriada atualização do plano?
 Existe um controle formal de mudanças que assegure
7 que os planos atualizados são distribuídos e reforçados
por análises críticas periódicas do plano como um todo?
Observações/Justificativas
 A.15
A.15.1 Conformidade com requisitos legais
Controle Seção Todos Descrição
os do Controle
requisitos estatutários, Relevância
regulamentares e contratuais relevantes, e o
Identificação da enfoque da organização para atender a
A. 15.1.1 legislação estes requisitos devem ser explicitamente
vigente definidos, documentados e mantidos
atualizados para cada sistema de
informação da organização.

Procedimentos apropriados devem ser

implementados para garantir a
conformidade com os requisitos legislativos,
Direitos de propriedade
A. 15.1.2 intelectual
regulamentares e contratuais no uso de
material, em relação aos quais pode haver
direitos de propriedade intelectual e sobre o
uso de produtos de software proprietários.

Registros importantes devem ser protegidos

Proteção de registros contra perda, destruição e falsificação, de
A. 15.1.3 organizacionais acordo com os requisitos regulamentares,
estatutários, contratuais e do negócio.
 Proteção de dados e A privacidade e a proteção de dados devem
privacidade da ser asseguradas conforme exigido nas
A. 15.1.4 informação legislações relevantes, regulamentações e,
pessoal se aplicável, nas cláusulas contratuais.

Prevenção de mau uso

de Os usuários devem ser dissuadidos de usar
A. 15.1.5 recursos de os recursos de processamento da
processamento informação para propósitos não autorizados.
da informação

Regulamentação de Controles de criptografia devem ser usados

A. 15.1.6 controles em conformidade com leis, acordos e
de criptografia regulamentações relevantes.
A.15.2 Conformidade com normas e políticas de segurança da informação e co
Controle Seção Descrição do Controle

Os gestores devem garantir que todos os

Conformidade com as procedimentos de segurança dentro da sua
políticas e normas de área de responsabilidade sejam executados
A. 15.2.1 segurança da corretamente para atender à conformidade
informação com as normas e políticas de segurança da
informação.

Os sistemas de informação devem ser

Verificação da
periodicamente verificados quanto à sua
A. 15.2.2 conformidade
conformidade com as normas de segurança
técnica
da informação implementadas.

A.15.3 Considerações quanto à auditoria de sistemas de informação

Controle Seção Descrição do Controle

Os requisitos e atividades de auditoria

envolvendo verificação nos sistemas
Controles de auditoria de operacionais devem ser cuidadosamente
A. 15.3.1 sistemas de informação planejados e acordados para minimizar os
riscos de interrupção dos processos do
negócio.
 Proteção de ferramentas O acesso às ferramentas de auditoria de
de sistema de informação deve ser protegido
A. 15.3.2 auditoria de sistemas de para prevenir qualquer possibilidade de uso
informação impróprio ou comprometimento.
Sim
Não
Parcial
NA
 A.15 Conformidade

Questionamentos Resposta

1 As responsabilidades são definidas e documentadas? Sim

2 A legislação vigente esta identificada? Sim
3 São mantidos registros da legislação em vigor?

Existe uma política de conformidade com os direitos de

1 propriedade intelectual que defina o uso legal de Sim
produtos de software e de informação?

Existe um processo formal e documentado de aquisição

2 de software somente de fontes conhecidas para
assegurar que o direito autoral não esta sendo violado?

Existe um trabalho de conscientização das políticas

3
para proteger os direitos de propriedade intelectual?
A organização somente trabalha com software
4
registrado e legal?
São implementados controles que assegurem que o
5 número máximo de usuários permitidos não excede o Não
número máximo de licenças adquiridas?
São conduzidas verificações para que somente
6 produtos de software autorizados e licenciados sejam
instalados?
São utilizadas ferramentas de auditoria?

Os registros são categorizados em tipos de registro,

1 com detalhes do período de retenção e do tipo de mídia Sim
de armazenamento?
As chaves de criptografia são armazenadas para
2 permitir a decifração de registros pelo período de tempo
que o registro devem ser mantidos?
Existem cuidados e procedimentos formalizados sobre
3 a possibilidade de deterioração das midias usadas no Sim
armazenamento dos registros?
No processo de armazenamento estão incluídos
procedimentos para assegurar a capacidade de acesso
4 aos dados durante o período de retenção, para proteger Parcial
contra perdas ocasionadas pelas futuras mudanças na
tecnologia?
Existem diretrizes escritas ou planos documentados
5 para retenção, armazenamento, tratamento e Sim
disposição de registros e informações?

Existe um plano para retenção identificando os registros

6
essenciais e o período que cada um deve ser mantido?

É mantido um inventário das fontes de informações-

chaves?
 São implementados controles apropriados para
proteger registros e informações contra perda,
destruição e falsificação?
Existe um processo documentado de destruição de
registros após vencido o tempo e este não sejam mais
necessários?

Existe uma política de privacidade e proteção de

1
dados?
O tratamento de informações pessoais é realizado de
2 acordo com as legislações e regulamentações
relevantes?

São implementadas medidas organizacionais e técnicas

3
apropriadas para proteger as informações pessoais?

Os usos de recurso de processamento da informação

1
são aprovados pela direção?
O uso de recursos de processamento da informação
para propositos não relacionados ao negócio ou não
2 autorizados, sem aparovação da direção ou para Sim
quaisquer propósitos não autorizados, é considerado
como uso impróprio destes recursos?

Existe um processo documentado para que toda

atividade não autorizada identificada por processo de
monitoração ou outros meios, seja levada ao
3 NA
conhecimento do gestor responsável para que sejam
aplicadas as ações disciplinares e/ou legais
pertinentes?
Existe apoio de uma assessoria legal antes da
4
implementação dos procedimentos de monitoração?

Existe um registro escrito e assinado pelo usuárioonde

5 Sim
são descritas as autorizações do usuário?

Existe um documento formal informando a todos os

6 funcionários de que nenhum acesso é permitido com
exceção daqueles que foram autorizados?
Existe um documento formal informando a todos os
fornecedores e terceiros de que nenhum acesso é
7
permitido com exceção daqueles que foram
autorizados?

Os controles de criptografia utilizados estão em

1 Sim
conformidade com as leis e regulamentações vigentes?

Houve assessoramento jurídico para garantir a

2 conformidade com as legislações e leis nacionais
vigentes?
a informação e conformidade técnica
Questionamentos Resposta
Os gestores analisam criticamente periodicamentea
1 conformidade do processamento da informação dentro
da sua área de responsabilidade?
No caso de ser encontrada não-conformidade existe um
2 processo para determinar as causas da não-
conformidade?
Existe um processo de avaliação da necessidade de
3 ações que assegurem que a não-conformidade não se
repita?
São determinadas e implementadas ações corretivas
4
necessárias?
Os gestores fazem a análise crítica da ação corretiva
5
adotada?
Os resultados das análise críticas e das ações
6 corretivas são documentadas, registradas e
armazenadas?
Os resultados das análise críticas e das ações
7 corretivas são disponibilizados para as pessoas que
realizam a análise crítica independente?

1 São realizadas verificações de conformidade técnica?

As verificações de conformidade técnica são realizadas
2 e/ou acompanhadas por pessoal técnico especialista,
competente e experiente?
As verificações de conformidade técnica são
3
planejadas, documentadas e repetidas?

rmação
Questionamentos Resposta
Os requisitos e atividades de auditoria envolvendo
verificação nos sistemas operacionais são
1 cuidadosamente planejadas e acordadas para
minimizar os riscos de interrupção dos processos do
negócio?
Os requisitos de auditoria são acordados com o nível
2 Parcial
apropriado da administração?
Todos os procedimentos, requisitos e responsabilidades
3
são documentados e registrados?
As pessoas que executam a auditoria são
4
independentes das atividades auditadas?
 Os acessos às ferramentas de auditoria de sistemas de
informação, por exemplo, software ou arquivos de
1
dados, são separados de sistemas em desenvolvimento
e em operação?
Observações/Justificativas
Observações/Justificativas

Observações/Justificativas
A. 5 POLÍTICA DE SEGURANÇA
A. 6 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO
A. 7 GESTÃO DE ATIVOS
A. 8 SEGURANÇA EM RECURSOS HUMANOS
A. 9 SEGURANÇA FÍSICA E DO AMBIENTE
A.10 GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
A.11 CONTROLE DE ACESSOS
A.12 AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO
A.13 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
A.14 GESTÃO DA CONTINUIDADE DO NEGÓCIO
A.15 CONFORMIDADE
PONTUAÇÃO Min Max SITUAÇÃO

28 22 34 MELHORAR! 82.35294 100

28 59 155 FALHA 18.06452 100
36 22 37 APROVADO!!! 97.2973 100
69 60 102 MELHORAR! 67.64706 100
160 94 169 APROVADO!!! 94.67456 100
617 355 661 APROVADO!!! 93.34342 100
13 297 561 FALHA 2.317291 100
30 201 369 FALHA 8.130081 100
55 114 60 FALHA 91.66667 100
21 60 114 FALHA 18.42105 100
29 81 138 FALHA 21.01449 100
 A. 5 POLÍTICA DE SEGURANÇA
A.15 CONFORMIDADE A. 6 ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO

A.14 GESTÃO DA CONTINUIDADE DO NEGÓCIO

80 A. 7 GESTÃO DE ATIVOS
40
Colum
0 nI
A.13 GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO A. 8 SEGURANÇA EM RECURSOS HUMANOS

A.12 AQUISIÇÃO, DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS DE INFORMAÇÃO A. 9 SEGURANÇA FÍSICA E DO AMBIENTE

A.10 GERENCIAMENTO
A.11 CONTROLE DE
DASACESSOS
OPERAÇÕES E COMUNICAÇÕES
Sim

As responsabilidades são definidas e documentadas?

A legislação vigente esta identificada?
 Am Nr.

1.1
1.2
1.3
1.4
1.5
1.6
1.7

2.1
2.2
2.3
2.4
2.5
2.6
2.7
2.8
2.9
2.10
2.11
2.12
2.13
2.14
2.15
2.16
2.17

3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.9
3.10
3.11
3.12
3.13
3.14
3.15
3.16

4.0
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.10
4.11
4.12
4.13
4.14

5.1
5.2
5.3
5.4
5.5
5.5
5.6
5.7
5.8
5.9
5.10
5.11
5.12
5.13
5.14
5.15
5.16
5.17
5.18
5.19
5.20
5.21
5.22
5.23
5.24
5.25
5.26
5.27
5.28
5.29
5.30
5.31
5.32
5.33
5.34
5.35
5.36
5.37
5.38
5.39
5.40
5.41
5.42
5.43
5.44
5.45
5.46
5.47
5.48

6.1
6.2
6.3
6.4
6.5
6.6
6.7
6.8
6.9
6.10
6.11
6.12
6.13
6.14
6.15
6.16
6.17
6.18
6.19
6.20
6.21
6.22
6.23
6.24

7.1
7.2
7.3
7.4
7.5
7.6
7.7
7.8
7.9
7.10
7.11
7.12
7.13
7.14
7.15
7.16
7.17
7.18
7.19
7.20
7.21
7.22
7.23
7.24
7.25
7.26
7.27
7.28
7.29
7.30
7.31

8.1
8.2
8.3
8.4
8.5
8.6
8.7
8.8
8.9
8.10
8.11
8.12
8.13
8.14
 AMEAÇAS

Desastres Naturais - Earthquake

Desastres Naturais - Hurricane
Desastres Naturais - Flooding
Desastres Naturais - Lightning

Malicious attack - explosives

Malicious attack - incendiary device
Malicious attack - chemical
Malicious attack - wilful damage / vandalism
Malicious attack - use of arms (act of war / civil unrest)
Malicious attack - electromagnetic radiation (act of war)
Malicious attack - intention of theft
Malicious attack – manipulation of data or software
Malicious attack – manipulation of IT equipment
Malicious attack – access to site services
Industrial action
Unauthorised access to site
Unauthorised access to building
Unauthorised access to room

Accidental damage - aircraft

Accidental damage - vehicular collision
Accidental damage - [from] Building material
Accidental damage - fire
Accidental damage - water / soiling
Accidental damage - air conditioning failure
Accidental damage - extremes of temperature / humidity
Accidental damage - chemical pollution
Accidental damage - breakage by personnel or equipment
Accidental damage - strong magnetic fields
Accidental damage - during building construction / maintenance
Pollution from dust / pollen / spores
Damage – animal / insect / bacteriological

Failure of power supply

Failure of back up power supply (UPS)
Voltage spikes / surges / fluctuations
Electrostatic charging
Failure of water supply
Failure of gas supply
Failure / degradation of IT equipment
Failure / degradation of communications system
Failure of long range communications dependent on P.T.O.
Failure of equipment / system due to Y2K date ambiguity
Death / injury of personnel
Inadequate IT / communications capacity

Use of software by unauthorised users

Use of software in an unauthorised way
Unauthorised use of storage media
Masquerading of user identity
Illegal use of software
Network access by unauthorised users
Use of network facilities in an unauthorised way
Communications infiltration
Misrouting of communications
Connection of unauthorised equipment
Misuse of remote access ports for management / diagnostics
Malicious software
Illegal import / export of software
Rerouting of communications
Repudiation
Traffic analysis
Misuse of resources
Theft of equipment
Theft of software
Theft of data / documents
Theft of consumables
Uncontrolled downloading of software
Inappropriate use of communications equipment
Inappropriate use of storage media
Unauthorised use of IT systems
Deliberate overloading of service
Interception of lines
Manipulation of lines
Access to systems / documents by maintenance and cleaning staff
Systematic trying-out of passwords
Abuse of user rights
Abuse of administrator rights
Theft of mobile equipment
Unauthorised viewing / copying of received communications
Analysis of message flow
Trojan code
Social Engineering
Boot viruses
File viruses
Macro viruses
IP spoofing
Mail bombs
DNS spoofing
Unauthorised viewing, copying, removal of archived documents
Disruption of service during installation / upgrade to Teleworking equipment
Documents left on photocopier, printer, scanner, fax machine

Deterioration of storage media

Operational staff error
Software failure / corruption
Maintenance error
Technical failure of network components
Transmission errors
Damage to lines
Traffic overloading
Failure of communications services
Staff shortages
User errors
Password exposure
Exposure of documents / data
Careless communication of information to unauthorised recipient
Duress to staff
Entrapment / blackmail of staff
Failure to use software patches to cure known security weaknesses
Links remaining active on completion of communications through ISDN / modem connection
Uncontrolled copying of documents
Uncontrolled disposal of documents
Failure to receive information
Uncontrolled use of resources
Uncontrolled use of communications links
Loss of confidentiality
Loss of availability to authorised users
Infringement of copyright law
Degradation in response time
Degradation of availability
Inadvertent manipulation of data
Negligent deletion of data
Cross talk
Degradation of paper documents
Back-ups unavailable
Failure of backed up data
Corruption of data
Denial of service
Theft / loss of Teleworking equipment / data
Manipulation of Teleworking equipment by family / visitor
Failure to back up data / documents
Failure to change passwords regularly
Failure to use security measures provided
Abuse of security measures – ‘tailgating’, misuse of access tokens, etc
Unauthorised use of data stored on PABX
Misuse of email services
Adverse publicity from unguarded media ‘interview’
Extended response time through different time zone / working hours
Unlicensed use of software
Breach of legislation
Exploitation of known weakness

Lack of audit trails

Verification difficult / impossible
Validation difficult / impossible
Poor control of coding methodology
Fault finding difficult
Inadequate records of changes / modifications
Opportunity for ‘back-door’ access
Unexpected performance
Users not known
Complete testing improbable
User frustration
INFRAESTRUT

S 1.1
S 1.2
S 1.3
S 1.4
S 1.5
S 1.6
S 1.7
S 1.8
S 1.9
S 1.10
S 1.11
S 1.12
S 1.13
S 1.14
S 1.15
S 1.16
S 1.17
S 1.18
S 1.19
S 1.20
S 1.21
S 1.22
S 1.23
S 1.24
S 1.25
S 1.26
S 1.27
S 1.28
S 1.29
S 1.30
S 1.31
S 1.32
S 1.33
S 1.34
S 1.35
S 1.36
S 1.37
S 1.38
S 1.39
S 1.40
S 1.41
S 1.42
S 1.43
S 1.44
S 1.45

S 2.1
S 2.2
S 2.3
S 2.4
S 2.5
S 2.6
S 2.7
S 2.8
S 2.9
S 2.10
S 2.11
S 2.12
S 2.13
S 2.14
S 2.15
S 2.16
S 2.17
S 2.18
S 2.19
S 2.20
S 2.21
S 2.22
S 2.23
S 2.24
S 2.25
S 2.26
S 2.27
S 2.28
S 2.29
S 2.30
S 2.31
S 2.32
S 2.33
S 2.34
S 2.35
S 2.36
S 2.37
S 2.38
S 2.39
S 2.40
S 2.41
S 2.42
S 2.43
S 2.44
S 2.45
S 2.46
S 2.47
S 2.48
S 2.49
S 2.50
S 2.51
S 2.52
S 2.53
S 2.54
S 2.55
S 2.56
S 2.57
S 2.58
S 2.59
S 2.60
S 2.61
S 2.62
S 2.63
S 2.64
S 2.65
S 2.66
S 2.67
S 2.68
S 2.69
S 2.70
S 2.71
S 2.72
S 2.73
S 2.74
S 2.75
S 2.76
S 2.77
S 2.78
S 2.79
S 2.80
S 2.81
S 2.82
S 2.83
S 2.84
S 2.85
S 2.86
S 2.87
S 2.88
S 2.89
S 2.90
S 2.91
S 2.92
S 2.93
S 2.94
S 2.95
S 2.96
S 2.97
S 2.98
S 2.99
S 2.100
S 2.101
S 2.102
S 2.103
S 2.104
S 2.105
S 2.106
S 2.107
S 2.108
S 2.109
S 2.110
S 2.111
S 2.112
S 2.113
S 2.114
S 2.115
S 2.116
S 2.117
S 2.118
S 2.119
S 2.120
S 2.121
S 2.122
S 2.123
S 2.124
S 2.125
S 2.126
S 2.127
S 2.128
S 2.129
S 2.130
S 2.131
S 2.132
S 2.
S 2.134
S 2.135
S 2.136
S 2.137
S 2.138
S 2.139
S 2.140
S 2.141
S 2.142
S 2.143
S 2.144
S 2.145
S 2.146
S 2.147
S 2.148
S 2.149
S 2.150
S 2.151
S 2.152
S 2.153
S 2.2000

S 3.1
S 3.2
S 3.3
S 3.4
S 3.5
S 3.6
S 3.7
S 3.8
S 3.9
S 3.10
S 3.11
S 3.12

S 3.13
S 3.14
S 3.15
S 3.16
S 3.17
S 3.18
S 3.19
S 3.20
S 3.21
S 3.22

S 4.1
S 4.2
S 4.3
S 4.4
S 4.5
S 4.6
S 4.7
S 4.8
S 4.9
S 4.10
S 4.11
S 4.12
S 4.13
S 4.14
S 4.15
S 4.16
S 4.17
S 4.18
S 4.19
S 4.20
S 4.21
S 4.22
S 4.23
S 4.24
S 4.25
S 4.26
S 4.27
S 4.28
S 4.29
S 4.30
S 4.31
S 4.32
S 4.33
S 4.34
S 4.35
S 4.36
S 4.37
S 4.38
S 4.39
S 4.40
S 4.41
S 4.42
S 4.43
S 4.44
S 4.45
S 4.46
S 4.47
S 4.48
S 4.49
S 4.50
S 4.51
S 4.52
S 4.53
S 4.54
S 4.55
S 4.56
S 4.57
S 4.58
S 4.59
S 4.60
S 4.61
M 4.62
S 4.63
S 4.64
S 4.65
S 4.66
S 4.67
S 4.68
S 4.69
Monitoring a
database
S 4.71
S 4.72
S 4.73
S 4.74
S 4.75
S 4.76
S 4.77
S 4.78
S 4.79
S 4.80
S 4.81
S 4.82
S 4.83

S 5.1
Removal, or
short-
circuiting
and
earthing, of
unneeded
lines

S 5.2
Selection of
an
appropriate
network
topography
S 5.3
Selection of
cables types
suited in
terms of
communicati
on
technology

S 5.4
Documentati
on on, and
marking of,
cabling
S 5.5
Damage-
minimising
routing of
cables
S 5.6
Mandatory
use of a
network
password
S 5.7
Network
managemen
t
S 5.8
Monthly
security
checks of
the network
S 5.9
Logging on
the server
S 5.10
Restrictive
granting of
rights
S 5.11
Blocking the
server
console
S 5.12
Setting up
an
additional
network
administrato
r

S 5.13
Appropriate
use of
elements for
network
coupling
S 5.14
Shielding of
internal
remote
accesses
S 5.15
Shielding of
external
remote
accesses
S 5.16
Survey of
network
services
S 5.17 Use
of the NFS
security
mechanisms
S 5.18 Use
of the NIS
security
mechanisms
S 5.19 Use
of the
sendmail
security
mechanisms
S 5.20 Use
of the
security
mechanisms
of rlogin, rsh
and rcp
S 5.21
Secure use
of telnet, ftp,
tftp and
rexec
S 5.22
Compatibilit
y check of
the
transmission
and
reception
systems

S 5.23
Selecting
suitable
types of
dispatch for
data carriers

S 5.24 Use
of a suitable
fax cover
sheet
S 5.25
Using
transmission
and
reception
logs
S 5.26
Announcing
fax
messages
via
telephone
S 5.27
Acknowledgi
ng
successful
fax
reception
via
telephone

S 5.28
Acknowledgi
ng correct
fax origin via
telephone

S 5.29
Periodic
checks of
destination
addresses
and logs
S 5.30
Activating
an existing
call-back
option
S 5.31
Suitable
modem
configuratio
n
S 5.32
Reliable use
of
communicati
ons
software
S 5.33
Remote
maintenanc
e via
modem
S 5.34 Use
of non-
recurrent
passwords
S 5.35 Use
of UUCP
security
mechanisms
S 5.36
Coding
under UNIX
and
Windows
NT
S
5.37
Rest
rictin
g
Peer
-to-
Peer
funct
ions
whe
n
usin
g
WfW
,
Wind
ows
95/9
8 or
Wind
ows
NT
in a
serv
er-
supp
orted
netw
ork
S 5.38 Safe
integration
of DOS PC’s
into a UNIX
network

S 5.39 Safe
use of
protocols
and services

S 5.40
Secure
integration
of DOS-PCs
to a
Windows
NT network

S 5.41
Secure
configuratio
n of remote
access
under
Windows
NT

S 5.42
Secure
configuratio
n of TCP/IP
network
administrati
on under
Windows
NT
S 5.43
Secure
configuratio
n of TCP/IP
network
services
under
Windows
NT

S 5.44 One-
way
connection
S. 5.45
Security of
WWW
browsers
S 5.46
Installing
stand-alone-
systems for
Internet use
S 5.47
Configuratio
n of a
Closed User
Group
S 5.48
Authenticati
on via
CLIP/COLP
S 5.49
Callback
based on
CLIP/COLP
S 5.50
Authenticati
on via
PAP/CHAP
 S
5.51
Secu
rity-
relat
ed
requi
reme
nts
for
com
muni
catio
ns
links
betw
een
remo
te
work
stati
ons
and
the
instit
ution

S 5.52
Security-
related
requirement
s for
communicati
ons
computers

S 5.53
Protection
against mail
bombs
S 5.54
Protection
against mail
overload
and spam
S 5.55
Checking of
alias files
and
distribution
lists
S 5.56
Reliable
operation of
a mail
server
S 5.57
Reliable
configuratio
n of a mail
client
S 5.58
Installation
of ODBC
drivers
S 5.59
Protection
against DNS
spoofing

S 5.60
Selection of
a suitable
backbone
technology
S 5.61
Suitable
physical
segmentatio
n
S 5.62
Suitable
logical
segmentatio
n

PLANEJAMENT
S 6.1
Developmen
t of a survey
of
availability
requirement
s

S 6.2
Definition of
"emergency
", person-in-
charge in an
"emergency
"

S 6.3
Developmen
t of an
Emergency
Procedure
Manual
S 6.4
Documentati
on on the
capacity
requirement
s of IT
applications

S 6.5
Definition of
"restricted IT
operation"

S 6.6 Study
of internally
and
externally
available
alternatives
S 6.7
Responsibili
ties in an
emergency
S 6.8 Alert
plan
S 6.9
Contingency
plans for
selected
incidents
S 6.10
Contingency
plans for
breakdown
of data
transmission

S 6.11
Developmen
t of a post-
incident
recovery
plan
S 6.12
Emergency
preparednes
s exercises

S 6.13
Developmen
t of a data
backup plan
S 6.14
Replacemen
t
procurement
plan
S 6.15
Agreements
with
suppliers
S 6.16
Taking out
insurance
S 6.17 Alert
plan and fire
drills
S 6.18
Provision of
redundant
lines
S 6.19 Data
backup on
PCs
S 6.20
Appropriate
storage of
backup data
media
S 6.21
Backup
copy of the
software
used
S 6.22
Sporadic
checks of
the
restorability
of backups
S 6.23
Procedure
in case of
computer
virus
infection
S 6.24 PC
emergency
floppy disk
S 6.25
Regular
backup of
the server
hard disk
S 6.26
Regular
backup of
PBX
configuratio
n data
S 6.27
Backup of
the CMOS
RAM
S 6.28
Agreement
on the
delivery
deadlines
for "vital"
PBX units

S 6.29 PBX
base line for
emergency
calls
S 6.30
Emergency
connection
S 6.31
Procedural
patterns
following a
loss of
system
integrity

S 6.32
Regular
data backup
S 6.33
Developmen
t of a data
protection
concept
S 6.34
Determining
the factors
influencing
data
protection
S 6.35
Stipulating
data
protection
procedures
S 6.36
Stipulating a
minimal
data
protection
concept
S 6.37
Documentin
g data
protection
procedures
S 6.38
Back-up
copies of
transferred
data
S 6.39
Listing
dealerships
for re-
procurement
of fax
products

S 6.40
Regular
battery
checks/repla
cements
S 6.41
Training
data
reconstructi
on
S 6.42
Creating
start-up
disks for
Windows
NT
S 6.43 Use
of redundant
Windows
NT servers

S 6.44 Data
back-up
under
Windows
NT
S 6.45 Data
backup
under
Windows
95/98
S 6.46
Creating a
start-up disk
for Windows
95/98

S 6.48
Procedures
in case of a
loss of
database
integrity
S 6.49 Data
backup in a
database
S 6.50
Archiving
database
S 6.51
Restoring a
database
S 6.52
Regular
backup of
configuratio
n data of
active
network
components

S 6.53
Redundant
arrangemen
t of network
components
S 6.54
Procedures
in case of a
loss of
network
integrity
S 6.55
Reduction of
restart times
for Novell
Netware
servers
INFRAESTRUTURA

Compliance with relevant standards/ specifications

Regulations governing access to distributors
S 1.3 Adapted wiring of circuits
S 1.4 Lightning protection devices
S 1.5 DC isolation of external lines
S 1.6 Compliance with fire-protection regulations and requirements imposed by the local fire department
S 1.7 Hand-held fire extinguishers
S 1.8 Room allocation, with due regard to fire loads
S 1.9 Fire sealing of trays
S 1.10 Use of safety doors
S 1.11 Plans detailing the location of supplies
S 1.12 Avoidance of references to the location of building parts requiring protection
S 1.13 Layout of building parts requiring protection
S 1.14 Automatic drainage
S 1.15 Closed windows and doors
S 1.16 Selection of an adequate site
S 1.17 Entrance control service
S 1.18 Intruder and fire detection devices
S 1.19 Protection against entering and breaking
S 1.20 Selection of cable types suited in terms of their physical/mechanical properties
S 1.21 Sufficient dimensioning of lines
S 1.22 Physical protection of lines and distributors
S 1.23 Locked doors
S 1.24 Avoidance of water pipes
S 1.25 Overvoltage protection
S 1.26 Emergency circuit-breakers
S 1.27 Air conditioning
S 1.28 Local uninterruptible power supply [ups]
S 1.29 Adequate siting of an IT system
S 1.30 Screening of data carriers containing data on telecommunications charges
S 1.31 Remote indication of malfunctions
S 1.32 Adequate siting of the consoles, devices with interchangeable data carriers, and printers
S 1.33 Safe keeping of laptop PCs during mobile use
S 1.34 Safe keeping of laptop PCs during stationary use
S 1.35 Pooled storage of a number of laptop PCs
S 1.36 Safekeeping of data carriers before and after dispatch
S 1.37 Suitable installation of a fax machine
S 1.38 Suitable installation of a modem
S 1.39 Prevention of transient currents on shielding
S 1.40 Appropriate siting of protective cabinets
S 1.41 Protection against electromagnetic irradiation
S 1.42 Secure siting of Novell Netware servers
S 1.43 Reliable configuration of ISDN routers
S 1.44 Suitable configuration of a home workstation
S 1.45 Suitable storage of business-related documents and data carriers

ORGANIZACIONAL

S 2.1 Determination of responsibilities and of rules for IT uses

S 2.2 Resources control
S 2.3 Data carrier control
S 2.4 Maintenance/repair regulations
S 2.5 Division of responsibilities and separation of functions
S 2.6 Granting of site access authorisations
S 2.7 Granting of system/network access authorisations
S 2.8 Granting of (application/data) access rights
S 2.9 Ban on using non-approved software
S 2.10 Survey of the software held
S 2.11 Provisions governing the use of passwords
S 2.12 Services and counselling for IT users
S 2.13 Correct disposal of resources requiring protection
S 2.14 Key control
S 2.15 Fire safety inspection
S 2.16 Supervising or escorting outside staff/visitors
S 2.17 Entry regulations and controls
S 2.18 Inspection rounds
S 2.19 Neutral documentation in the distributor
S 2.20 Monitoring of existing lines
S 2.21 Ban on smoking
S 2.22 Depositing of passwords
S 2.23 Issue of PC Use Guidelines
S 2.24 Introduction of a PC Checklist Booklet
S 2.25 Documentation on the system configuration
S 2.26 Designation of an administrator and his deputy
S 2.27 Dispensing with remote maintenance of the PBX
S 2.28 Availability of external telecommunications advisory services
S 2.29 PBX operating instructions for users
S 2.30 Provisions governing the donfiguration of users and of user groups
S 2.31 Documentation on authorised users and on rights profiles
S 2.32 Establishment of a restricted user environment
S 2.33 Division of administrator roles under UNIX
S 2.34 Documentation on changes made to an existing IT system
S 2.35 Obtaining information on security flaws of the system
S 2.36 Orderly issue and retrieval of a portable (laptop) PC
S 2.37 Clear desk policy
S 2.38 Division of administrator roles in PC networks
S 2.39 Response to violations of security policies
S 2.40 Timely involvement of the staff/factory council
S 2.41 Employees' commitment to data protection
S 2.42 Determination of potential communications partners
S 2.43 Adequate labelling of data carriers for dispatch
S 2.44 Safe packaging of data carriers
S 2.45 Controlling the exchange of data carriers
S 2.46 Appropriate encryption management
S 2.47 Designating a person in charge of the fax system
S 2.48 Designating authorised fax operators
S 2.49 Procurement of suitable fax machines
S 2.50 Appropriate disposal of consumable fax accessories and spare parts
S 2.51 Producing copies of incoming fax messages
S 2.52 Supply and monitoring of consumable fax accessories
S 2.53 Deactivation of fax machines after office hours
S 2.54 Procurement/selection of suitable answering machines
S 2.55 Use of a security code
S 2.56 Avoidance of confidential information on answering machines
S 2.57 Regular playback and deletion of recorded messages
S 2.58 Limitation of message time
S 2.59 Procurement of a suitable modem
S 2.60 Reliable administration of a modem
S 2.61 Controlling modem usage
S 2.62 Software acceptance and approval Procedure
S 2.63 Establishing Site Access Authorisations
S 2.64 Checking the log files
S 2.65 Checking the efficiency of User division on an IT System
S 2.66 The importance of certification for procurement
S 2.67 Determining a security strategy for the peer-to-peer network
S 2.68 Implementation of security checks by the peer-to-peer network users
S 2.69 Establishing standard workstations
S 2.70 Developing a firewall concept
S 2.71 Establishing a security policy for a firewall
S 2.72 Demands on a firewall
S 2.73 Selecting a suitable firewall
S 2.74 Selection of a suitable packet filter
S 2.75 Selection of a suitable application gateway
S 2.76 Selection and implementation of suitable filter rules
S 2.77 Correct configuration of other components
S 2.78 Correct operation of a Firewall
S 2.79 Determining responsibilities in the area of standard software
S 2.80 Drawing up a requirements catalogue for standard software
S 2.81 Preselection of a suitable standard software product
S 2.82 Developing a test plan for Standard Software
S 2.83 Testing Standard Software 102
S 2.84 Deciding on and developing the installation instructions for standard software
S 2.85 Approval of standard software
S 2.86 Guaranteeing the integrity of software
S 2.87 Installation and configuration of standard software
S 2.88 Licence management and version control of standard software
S 2.89 De-installation of standard software
S 2.90 Checking delivery
S 2.91 Determining a security strategy for the Windows NT client-server network
S 2.92 Performing security checks in the Windows NT client-server network
S 2.93 Planning of the Windows NT network
S 2.94 Release of directories under Windows NT
S 2.95 Obtaining suitable protective cabinets
S 2.96 Locking of protective cabinets
S 2.97 Correct procedure for code locks
S 2.98 Secure installation of Novell Netware servers
S 2.99 Secure set-up of Novell Netware servers
S 2.100 Secure operation of Novell Netware servers
S 2.101 Revision of Novell Netware servers
S 2.102 Relinquishing activation of the remote console
S 2.103 Setting up user profiles under Windows 95/98
S 2.104 System guidelines for restricting usage of Windows 95/98
S 2.105 Obtaining PBX-annexes
S 2.106 Purchase of suitable ISDN cards
S 2.107 Documentation of the configuration of ISDN cards
S 2.108 Relinquishment of remote maintenance of ISDN gateways
S 2.109 Assigning rights for remote access
S 2.110 Data security guidelines for logging procedures
S 2.111 Keeping manuals at hand
S 2.112 Regulation of the transport of files and data carriers between home workstations and institutions
S 2.113 Regulations concerning telecommuting
S 2.114 Flow of information between the telecommuter and the institution
S 2.115 Care and maintenance of workstations for telecommuting
S 2.116 Regulated use of communications facilities
S 2.117 Regulation of access by telecommuters
S 2.118 Determination of a security policy for the use of e-mail
S 2.119 Regulations concerning the use of e-mail services
S 2.120 Configuration of a mail centre
S 2.121 Regular deletion of e-mails
S 2.122 Standard e-mail addresses
S 2.123 Selection of a mail provider
S 2.124 Selection of suitable database software
S 2.125 Installation and configuration of a database
S 2.126 Creation of a database security concept
S 2.127 Inference prevention
S 2.128 Controlling login to a database system
S 2.129 Controlling access to database information
S 2.130 Ensuring the integrity of a database
S 2.131 Allocation of administrative tasks for database systems
S 2.132 Rules for configuring database users / user groups
S 2.133 Checking the log files of a database system
S 2.134 Guidelines for database queries
S 2.135 Secure transfer of data to a database
S 2.136 Observance of rules concerning workstations and working environments
S 2.137 Procurement of a suitable data backup system
S 2.138 Structured data storage
S 2.139 Survey of the existing network environment
S 2.140 Analysis of the existing network environment
S 2.141 Development of a network concept
S 2.142 Development of a network realization plan
S 2.143 Development of a network management concept
S 2.144 Selection of a suitable network management protocol
S 2.145 Requirements for a network management tool
S 2.146 Reliable operation of a network management system
S 2.147 Secure migration of Novell Netware 3.x servers to Novell Netware 4.x networks
S 2.148 Secure configuration of Novell Netware 4.x networks
S 2.149 Secure operation of Novell Netware 4.x networks
S 2.150 Auditing of Novell Netware 4.x networks
S 2.151 Design of an NDS concept
S 2.152 Design of a time synchronization concept
S 2.153 Documentation of Novell Netware 4.x networks
S 2.2000 Year-2000 compatibility of products, programs and data

PESSOAS

S 3.1 Well-regulated familiarisation/training of new staff with their work

S 3.2 Commitment of staff members to compliance with relevant laws, regulations and provisions
S 3.3 Arrangements for substitution
S 3.4 Training before actual use of a program
S 3.5 Education on IT security measures
S 3.6 Regulated procedure as regards termination of employment
S 3.7 Point of contact in case of personal problems
S 3.8 Avoidance of factors impairing the organisation climate
S 3.9 Ergonomic workplace
S 3.10 Selection of a trustworthy administrator and his substitute
S 3.11 Training of maintenance and administration staff
S 3.12 Informing all staff members about possible PBX warning notices, warning symbols and acoustic a

S 3.13 Increasing staff awareness of potential threats to the PBX

S 3.14 Briefing personnel on correct procedures of exchanging data carriers
S 3.15 Information on the use of fax machines for all employees
S 3.16 Briefing personnel on the operation of answering machines
S 3.17 Briefing personnel on modem usage
S 3.18 Log-out obligation for PC users
S 3.19 Instructions concerning the correct use of the security functions in the Peer-to-Peer network
S 3.20 Instructions concerning the operation of protective cabinets
S 3.21 Training and further education of telecommuters as regards security-related issues
S 3.22 Regulations concerning substitution of telecommuters

HARDWARE E SOFTWARE

S 4.1 Password protection for IT systems

S 4.2 Screen lock
S 4.3 Periodic runs of a virus detection program
S 4.4 Locking of floppy disk drive slots
S 4.5 Logging of PBX administration jobs
S 4.6 Review of the PBX configuration (target/performance reconciliation)
S 4.7 Change of preset passwords
S 4.8 Protection of the PBX operator's console
S 4.9 Use of the security mechanisms of X Windows
S 4.10 Password protection for PBX terminals
S 4.11 Screening of PBX interfaces
S 4.12 Disabling of unneeded user facilities
S 4.13 Careful allocation of identifiers
S 4.14 Mandatory password protection under UNIX
S 4.15 Secure log-in
S 4.16 Restrictions on access to accounts and/or terminals
S 4.17 Blocking and erasure of unneeded accounts and terminals
S 4.18 Administrative and technical means to control access to the monitor and single-user modes
S 4.19 Restrictive allocation of attributes for UNIX system files and directories
S 4.20 Restrictive allocation of attributes for UNIX user files and directories
S 4.21 Preventing unauthorised acquisition of administrator rights
S 4.22 Prevention of loss of confidentiality of sensitive data in the UNIX system
S 4.23 Secure call-in of executable files
S 4.24 Ensuring consistent system management
S 4.25 Use of logging in the UNIX system
S 4.26 Regular security checks of the UNIX system
S 4.27 Password protection in laptop PCs
S 4.28 Software re-installation in the case of change of laptop PC users
S 4.29 Use of an encryption product for laptop PCs
S 4.30 Utilisation of the security functions offered in application programs
S 4.31 Ensuring power supply during mobile use
S 4.32 Physical deletion of data carriers before and after usage
S 4.33 Running a virus scan program before and after data transfer
S 4.34 Using encryption, checksums or digital signatures
S 4.35 Pre-dispatch verification of the data to be transferred
S 4.36 Blocking fax recipient numbers
S 4.37 Blocking fax sender numbers
S 4.38 Deactivation of unnecessary service features
S 4.39 Deactivation of answering machines for periods of absence
S 4.40 Preventing unauthorised use of computer microphones
S 4.41 Use of a suitable PC security product
S 4.42 Implementation of security functions in the IT application
S 4.43 Fax machine with automatic envelopment sealing system
S 4.44 Checking of incoming data for macro viruses
S 4.45 Setting up a secure Peer-to-Peer environment
S 4.46 Use of the log-on password under WfW and Windows 95/98
S 4.47 Logging of firewall activities
S 4.48 Password protection under Windows NT
S 4.49 Safeguarding the boot-up procedure for a Windows NT system
S 4.50 Structured system administration under Windows NT
S 4.51 User profiles to restrict the usage possibilities of Windows NT
S 4.52 Equipment protection under Windows NT
S 4.53 Restrictive allocation of access rights to files and directories under Windows NT
S 4.54 Logging under Windows NT
S 4.55 Secure installation of Windows NT
S 4.56 Secure deletion under Windows NT and Windows 95/98
S 4.57 Deactivating automatic CD-ROM recognition
S 4.58 Release of directories under Windows 95/98
S 4.59 Deactivation of ISDN card functions which are not required
S 4.60 Deactivation of ISDN router functions which are not required
S 4.61 Use of security mechanisms offered by ISDN components
M 4.62 Use of a D-channel filter
S 4.63 Security-related requirements for telecommuting computers
S 4.64 Verification of data before transmission / elimination of residual information
S 4.65 Testing of new hardware and software
S 4.66 Novell Netware - safe transition to the year 2000
S 4.67 Locking and deleting database accounts which are no longer required
S 4.68 Ensuring consistent database management
S 4.69 Regular checks of database security
S 4.70 Monitoring a database

S 4.71 Restrictive handling of database links

S 4.72 Database encryption
S 4.73 Specifying upper limits
S 4.74 Networked Windows 95/98 computers
S 4.75 Protection of the registry under Windows NT
S 4.76 Reliable system version of Windows NT
S 4.77 Protection of administrator accounts under Windows NT
S 4.78 Careful modifications of configurations
S 4.79 Reliable access mechanisms for local administration
S 4.80 Reliable access mechanisms for remote administration
S 4.81 Auditing and logging of activities in a network
S 4.82 Secure configuration of active network components
S 4.83 Updating / upgrading of software and hardware in a network

COMUNICAÇÕES

S 5.1 Removal, or short-circuiting and earthing, of unneeded lines

S 5.2 Selection of an appropriate network topography

S 5.3 Selection of cables types suited in terms of communication technology

S 5.4 Documentation on, and marking of, cabling

S 5.5 Damage-minimising routing of cables

S 5.6 Mandatory use of a network password

S 5.7 Network management

S 5.8 Monthly security checks of the network

S 5.9 Logging on the server

S 5.10 Restrictive granting of rights

S 5.11 Blocking the server console

S 5.12 Setting up an additional network administrator

S 5.13 Appropriate use of elements for network coupling

S 5.14 Shielding of internal remote accesses

S 5.15 Shielding of external remote accesses

S 5.16 Survey of network services

S 5.17 Use of the NFS security mechanisms

S 5.18 Use of the NIS security mechanisms

S 5.19 Use of the sendmail security mechanisms

S 5.20 Use of the security mechanisms of rlogin, rsh and rcp

S 5.21 Secure use of telnet, ftp, tftp and rexec

S 5.22 Compatibility check of the transmission and reception systems

S 5.23 Selecting suitable types of dispatch for data carriers

S 5.24 Use of a suitable fax cover sheet

S 5.25 Using transmission and reception logs

S 5.26 Announcing fax messages via telephone

S 5.27 Acknowledging successful fax reception via telephone

S 5.28 Acknowledging correct fax origin via telephone

S 5.29 Periodic checks of destination addresses and logs

S 5.30 Activating an existing call-back option

S 5.31 Suitable modem configuration

S 5.32 Reliable use of communications software

S 5.33 Remote maintenance via modem

S 5.34 Use of non-recurrent passwords

S 5.35 Use of UUCP security mechanisms

S 5.36 Coding under UNIX and Windows NT

S 5.37 Restricting Peer-to-Peer functions when using WfW, Windows 95/98 or Windows NT in a s
supported network
S 5.38 Safe integration of DOS PC’s into a UNIX network

S 5.39 Safe use of protocols and services

S 5.40 Secure integration of DOS-PCs to a Windows NT network

S 5.41 Secure configuration of remote access under Windows NT

S 5.42 Secure configuration of TCP/IP network administration under Windows NT

S 5.43 Secure configuration of TCP/IP network services under Windows NT

S 5.44 One-way connection

S. 5.45 Security of WWW browsers

S 5.46 Installing stand-alone-systems for Internet use

S 5.47 Configuration of a Closed User Group

S 5.48 Authentication via CLIP/COLP

S 5.49 Callback based on CLIP/COLP

S 5.50 Authentication via PAP/CHAP

 S 5.51 Security-related requirements for communications links between remote workstations and

S 5.52 Security-related requirements for communications computers

S 5.53 Protection against mail bombs

S 5.54 Protection against mail overload and spam

S 5.55 Checking of alias files and distribution lists

S 5.56 Reliable operation of a mail server

S 5.57 Reliable configuration of a mail client

S 5.58 Installation of ODBC drivers

S 5.59 Protection against DNS spoofing

S 5.60 Selection of a suitable backbone technology

S 5.61 Suitable physical segmentation

S 5.62 Suitable logical segmentation

PLANEJAMENTO DE CONTINGÊNCIA
S 6.1 Development of a survey of availability requirements

S 6.2 Definition of "emergency", person-in-charge in an "emergency"

S 6.3 Development of an Emergency Procedure Manual

S 6.4 Documentation on the capacity requirements of IT applications

S 6.5 Definition of "restricted IT operation"

S 6.6 Study of internally and externally available alternatives

S 6.7 Responsibilities in an emergency

S 6.8 Alert plan

S 6.9 Contingency plans for selected incidents

S 6.10 Contingency plans for breakdown of data transmission

S 6.11 Development of a post-incident recovery plan

S 6.12 Emergency preparedness exercises

S 6.13 Development of a data backup plan

S 6.14 Replacement procurement plan

S 6.15 Agreements with suppliers

S 6.16 Taking out insurance

S 6.17 Alert plan and fire drills

S 6.18 Provision of redundant lines

S 6.19 Data backup on PCs

S 6.20 Appropriate storage of backup data media

S 6.21 Backup copy of the software used

S 6.22 Sporadic checks of the restorability of backups

S 6.23 Procedure in case of computer virus infection

S 6.24 PC emergency floppy disk

S 6.25 Regular backup of the server hard disk

S 6.26 Regular backup of PBX configuration data

S 6.27 Backup of the CMOS RAM

S 6.28 Agreement on the delivery deadlines for "vital" PBX units

S 6.29 PBX base line for emergency calls

S 6.30 Emergency connection

S 6.31 Procedural patterns following a loss of system integrity

S 6.32 Regular data backup

S 6.33 Development of a data protection concept

S 6.34 Determining the factors influencing data protection

S 6.35 Stipulating data protection procedures

S 6.36 Stipulating a minimal data protection concept

S 6.37 Documenting data protection procedures

S 6.38 Back-up copies of transferred data

S 6.39 Listing dealerships for re-procurement of fax products

S 6.40 Regular battery checks/replacements

S 6.41 Training data reconstruction

S 6.42 Creating start-up disks for Windows NT

S 6.43 Use of redundant Windows NT servers

S 6.44 Data back-up under Windows NT

S 6.45 Data backup under Windows 95/98

S 6.46 Creating a start-up disk for Windows 95/98

S 6.48 Procedures in case of a loss of database integrity

S 6.49 Data backup in a database

S 6.50 Archiving database

S 6.51 Restoring a database

S 6.52 Regular backup of configuration data of active network components

S 6.53 Redundant arrangement of network components

S 6.54 Procedures in case of a loss of network integrity

S 6.55 Reduction of restart times for Novell Netware servers

 Control Subject

Security Policy
Information security policy document
Review and evaluation

Organizational Security
Management information security
forum
Information security co-ordination
Allocation of information security
responsibilities
Authorisation process for information
processing facilities
Specialist information security advice
Co-operation between organizations
Independent review of information
security
Identification of risks from third party
access
Security requirements in third party
contracts
Security requirements in outsourcing
contracts

Asset Classification and Control

Inventory of assets
Classification guidelines
Information labelling and handling

Personnel Security
Including security in job responsibilities

Personnel screening and policy

Confidentiality agreements
Terms and conditions of employment
Information security education and
training
Reporting security incidents
Reporting security weaknesses
Reporting software malfunctions
Learning from incidents
Disciplinary process

Physical and Environmental

Security
Physical security perimeter
Physical entry controls
Securing offices, rooms and facilities
Working in secure areas
Isolated delivery and loading areas
Equipment siting and protection
Power supplies
Cabling security
Equipment maintenance
Security of equipment off-premises
Secure disposal or re-use of
equipment
Clear desk and clear screen policy
Removal of property

Communications and Operations

Management
Documented operating procedures
Operational change control
Incident management procedures
Segregation of duties
Separation of development and
operational facilities
External facilities management
Capacity planning
System acceptance
Controls against malicious software
Information back-up
Operator logs
Fault logging
Network controls
Management of removable computer
media
Disposal of media
Information handling procedures
Security of system documentation
Information and software exchange
agreements
Security of media in transit
Electronic commerce security
Security of electronic mail
Security of electronic office systems
Publicly available systems
Other forms of information exchange

Access Control
Access control policy
User registration
Privilege management
User password management
Review of user access rights
Password use
Unattended user equipment
Policy on use of network services
Enforced path
User authentication for external
connections
Node authentication
Remote diagnostic port protection
Segregation in networks
Network connection control
Network routing control
Security of network services
Automatic terminal identification
Terminal log-on procedures
User identification and authentication
Password management system
Use of system utilities
Duress alarm to safeguard users
Terminal time-out
Limitation of connection time
Information access restriction
Sensitive system isolation
Event logging
Monitoring system use
Clock synchronization
Mobile computing
Teleworking

System Development and

Maintenance
Security requirements analysis and
specification
Input data validation
Control of internal processing
Message authentication
Output data validation
Policy on the use of cryptographic
controls
Encryption
Digital signatures
Non-repudiation services
Key management
Control of operational software
Protection of system test data
Access control to program source
library
Change control procedures
Technical review of operating system
changes
Restrictions on changes to software
packages
Covert channels and Trojan code
Outsourced software development

Business Continuity Management

Business continuity management
process
Business continuity and impact
analysis
Writing and implementing continuity
plans
Business continuity planning
framework
Testing, maintaining and re-assessing
business continuity plans

Compliance
Identification of applicable legislation
Intellectual property rights (IPR)
Safeguarding of organisational records

Data protection and privacy of

personal information
Prevention of misuse of
information processing facilities

Regulation of cryptographic controls

Collection of evidence
Compliance with security policy
Technical compliance checking
System audit controls
Protection of system audit tools
 A.11 Con
A.11.1 Requisitos de negócio para controle de acesso
Controle Seção Descrição do Controle Relevância

A política de controle de acesso deve ser

estabelecida,
documentada e analisada criticamente,
Política de controle de
A. 11.1.1 acesso
tomando-se como base
os requisitos de acesso dos negócios e da
segurança da
informação.
A.11.2 Gerenciamento de acesso do usuário
Controle Seção Descrição do Controle

Deve existir um procedimento formal de

registro e
A. 11.2.1 Registro de usuário cancelamento de usuário para garantir e
revogar acessos em
todos os sistemas de informação e serviços.
 A concessão e o uso de privilégios devem
Gerenciamento de
A. 11.2.2 privilégios
ser restritos e
controlados.

Gerenciamento de senha A concessão de senhas deve ser controlada

A. 11.2.3 do por meio de um
usuário processo de gerenciamento formal.
 O gestor deve conduzir a intervalos
Análise crítica dos regulares a análise crítica
A. 11.2.4 direitos de dos direitos de acesso dos usuários, por
acesso de usuário meio de um processo
formal.

A.11.3 Responsabilidades dos usuários

Controle Seção Descrição do Controle

Os usuários devem ser orientados a seguir

boas práticas de
A. 11.3.1 Uso de senhas
segurança da informação na seleção e uso
de senhas.

Equipamento de usuário Os usuários devem assegurar que os

A. 11.3.2 sem equipamentos não
monitoração monitorados tenham proteção adequada.
 Equipamento de usuário Os usuários devem assegurar que os
A. 11.3.2 sem equipamentos não
monitoração monitorados tenham proteção adequada.

Deve ser adotada uma política de mesa

limpa de papéis e
Política de mesa limpa e
mídias de armazenamento removíveis e
A. 11.3.3 tela
uma política de tela
limpa
limpa para os recursos de processamento
da informação.

A.11.4 Controle de acesso à rede

Controle Seção Descrição do Controle

Os usuários devem receber acesso somente

Política de uso dos
aos serviços que
A. 11.4.1 serviços
tenham sido especificamente autorizados a
de rede
usar.
 Os usuários devem receber acesso somente
Política de uso dos
aos serviços que
A. 11.4.1 serviços
tenham sido especificamente autorizados a
de rede
usar.

Autenticação para Métodos apropriados de autenticação

A. 11.4.2 conexão devem ser usados para
externa do usuário controlar o acesso de usuários remotos.

Devem ser consideradas as identificações

Identificação de automáticas de
A. 11.4.3 equipamento equipamentos como um meio de autenticar
em redes conexões vindas de
localizações e equipamentos específicos.

Proteção e configuração
Deve ser controlado o acesso físico e lógico
de
A. 11.4.4 portas de diagnóstico
para diagnosticar
e configurar portas.
remotas

Grupos de serviços de informação, usuários

e sistemas de
A. 11.4.5 Segregação de redes
informação devem ser segregados em
 Grupos de serviços de informação, usuários
e sistemas de
A. 11.4.5 Segregação de redes
informação devem ser segregados em
redes.

Para redes compartilhadas, especialmente

as que se estendem
pelos limites da organização, a capacidade
de usuários para
Controle de conexão de
A. 11.4.6 rede
conectar-se à rede deve ser restrita, de
acordo com a política
de controle de acesso e os requisitos das
aplicações do
negócio

Deve ser implementado controle de

roteamento na rede para
Controle de roteamento assegurar que as conexões de computador
A. 11.4.7 de e fluxos de
redes informação não violem a política de controle
de acesso das
aplicações do negócio.

A.11.5 Controle de acesso ao sistema operacional

Controle Seção Descrição do Controle
 Procedimentos seguros O acesso aos sistemas operacionais deve
de ser controlado por
A. 11.5.1 entrada no sistema (log- um procedimento seguro de entrada no
on) sistema (log-on).
 Todos os usuários devem ter um
identificador único (ID de
Identificação e usuário), para uso pessoal e exclusivo, e
A. 11.5.2 autenticação uma técnica
de usuário adequada de autenticação deve ser
escolhida para validar a
identidade alegada por um usuário.

Sistema de Sistemas para gerenciamento de senhas

A. 11.5.3 gerenciamento de devem ser interativos
senha e assegurar senhas de qualidade.
 O uso de programas utilitários que podem
ser capazes de
Uso de utilitários de
A. 11.5.4 sistema
sobrepor os controles dos sistemas e
aplicações deve ser
restrito e estritamente controlado.

Desconexão de terminal Terminais inativos devem ser

A. 11.5.5 por desconectados após um período
inatividade definido de inatividade.

A. 11.5.6
Restrições nos horários de conexão devem
Limitação de horário de ser utilizadas para
conexão proporcionar segurança adicional para
aplicações de alto risco.
 A. 11.5.6
Restrições nos horários de conexão devem
Limitação de horário de ser utilizadas para
conexão proporcionar segurança adicional para
aplicações de alto risco.

A.11.6 Controle de acesso à aplicação e à informação

Controle Seção Descrição do Controle

O acesso à informação e às funções dos

sistemas de
Restrição de acesso à aplicações por usuários e pessoal de
A. 11.6.1 informação suporte deve ser restrito
de acordo com o definido na política de
controle de acesso.

Sistemas sensíveis devem ter um ambiente

Isolamento de sistemas
A. 11.6.2 sensíveis
computacional
dedicado (isolado).

A.11.7 Computação móvel e trabalho remoto

Controle Seção Descrição do Controle
Uma política formal deve ser estabelecida e
medidas de
Computação e segurança apropriadas devem ser adotadas
A. 11.7.1 comunicação para a proteção
móvel contra os riscos do uso de recursos de
computação e
 Computação e
A. 11.7.1 comunicação
móvel
computação e
comunicação móveis.

Uma política, planos operacionais e

procedimentos devem ser
A. 11.7.2 Trabalho remoto desenvolvidos e implementados para
atividades de trabalho
remoto.
Sim
Não
Parcial
NA
A.11 Controle de acessos

Questionamentos Resposta

A organização possui uma política formal documentada

1 Sim
de controle de acesso?

As regras de controle de acesso para cada usuário ou

2 grupos de usuários estão expressas claramente na Sim
política de controle de acesso?
As regras de direitos de cada usuário ou grupos de
3 usuários estão expressas claramente na política de Sim
controle de acesso?
Os controles de acesso lógico e físico são considerados
4 Sim
de forma conjunta na política?

A organização fornece aos usuários e provedores de

5 serviços uma declaração nítida dos requisitos do
negócio a serem atendidos pelos controles de acessos?

A política de controle de acesso leva em consideração

a identificação de todas as informações relacionadas às
6
aplicações de negócios e os riscos a que as
informações estão expostas?
A política de controle de acesso leva em consideração
a consistência entre controle de acesso e políticas de
7
classificação da informação em diferentes sistemas e
redes?

A política de controle de acesso leva em consideração

8 a legislação pertinente e qualquer obrigação contratual
relativa à proteção de acesso para dados ou serviços?

A política de controle de acesso leva em consideração

9 perfis de acesso de usuário-padrão para trabalhos
comuns na organização?
A política de controle de acesso leva em consideração
a administração de direitos de acesso em um ambiente
10
distribuído e conectado à rede que reconhece todos os
tipos de conexões disponíveis?
A política de controle de acesso leva em consideração
11 os requisitos para autorização formal de pedidos de
acesso?
A política de controle de acesso leva em consideração
12 os requisitos para análise crítica periódica de controles
de acesso?
A política de controle de acesso leva em consideração
13
a remoção de direitos de acesso?
 Questionamentos Resposta
Existem procedimentos formais documentados de
1 controle de acesso para registro e cancelamento de
usuários?
A organização utiliza identificador de usuário (ID de
2 usuário) único para assegurar a responsabilidade de
cada usuário por suas ações?
O uso de grupos de ID somente é permitido onde existe
3 a necessidade para o negócio ou por razões
operacionais?
O uso de grupos de ID é formalmente aprovado e
4
documentado?
Os procedimentos de controle de acesso possuem
procedimentos para verificar se o usuário tem
5
autorização do proprietário do sistema para o uso do
sistema de informação ou serviço?

Os procedimentos de controle de acesso possuem

procedimentos para verificar se o nível de acesso
6 concedido é apropriado ao propósito do negócio e é
consistente com a política de segurança da
organização?
A organnização entrega para os usuários uma
7
declaração por escrito dos seus direitos de acesso?
A organização tem procedimentos para requerer aos
8 usuários a assinatura de uma declaração indicando que
eles entendem as condições de acesso?

A organização assegura aos provedores de serviços

9 que não serão dados acessos até que os
procedimentos de autorização tenham sido concluídos?

A organização mantém registro formal de todas as

10
pessoas registradas para usar o serviço?
A organização remover imediatamente ou bloquear
11 direitos de acesso de usuários que mudaram de cargos
ou funções?
A organização remove imediatamente ou bloquear
12 direitos de acesso de usuários que deixaram a
organização?
A organização verifica periodicamente identificadores
13 (ID) e contas de usuário redundantes fazendo os
registros destas verificações?
A organização remove ou bloqueia identificadores (ID) e
14
contas de usuário redundantes?
A organização registra formalmente as remoçoes ou
15
bloqueios de acesso realizados?
A organização realiza a inclusão de cláusulas nos
contratos de usuários e de serviços que especifiquem
16
as sanções em caso de tentativa de acesso não
autorizado pelos usuários ou por terceiros?
 A organização possui procedimentos formalmente
documentados que assegurem que identificadores de
17
usuário (ID de usuário) redundantes não sejam
atribuídos para outros usuários?

Os sistemas de multiusuários que necessitam de

proteção contra acesso não autorizado tenham a
1
concessão de privilégios controlada por um processo de
autorização formal?
O privilégio de acesso de cada produto de sistema e
cada aplicação, e de categorias de usuários para os
2
quais estes necessitam ser concedido, é formalmente
identificado?
Os privilégios são concedidos a usuários conforme a
3 necessidade de uso e com base em eventos alinhados
com a política de controle de acesso?
A organização possui um processo de autorização e um
4
registro de todos os privilégios concedidos?
Os privilégios somente são fornecidos após todo o
5
processo de autorização estar finalizado?
Na organização os privilégios são atribuídos para um
identificador de usuário (ID de usuário) diferente
daqueles usados normalmente para os negócios?
Na organização o uso privilégios de administrador de
sistemas é restrito e controlada formalmente?

Existe na organização um processo de gerenciamento

1
formal e documentado de concessão de senhas?
A organização solicita aos usuários a assinatura de
uma declaração, para manter a confidencialidade de
2
sua senha pessoal e das senhas de grupos de
trabalho?
Esta declaração assinada é incluída nos termos e
3
condições da contratação?
Existem procedimentos para garantir que sejam
4 fornecidas inicialmente senhas seguras e temporárias
obrigando o usuário a alterá-la imediatamente?
A organização estabelece procedimentos para verificar
5 a identidade de um usuário antes de fornecer uma
senha temporária, de substituição ou nova?
A organização possui procedimentos para fornecer
senhas temporárias aos usuários de maneira segura?
As senhas temporárias são únicas para uma pessoa e
não são de fácil memorização?
Existem procedimentos para os usuários acusarem o
recebimento de senhas?
As senhas são armazenadas nos sistemas de um
computador de forma protegida?
As senhas padrão são alteradas logo após a instalação
6
de sistemas ou software?
 A organização realiza, através dos gestores, a
1 intervalos regulares a análise crítica dos direitos de
acesso dos usuários, por meio de um processo formal?

Os direitos de acesso de usuários são revisados em

2
intervalos regulares e depois de qualquer mudança?
Os direitos de acesso de usuários são analisados
3 criticamente e realocados quando movidos de um tipo
de atividade para outra na mesma organização?
As autorizações para direitos de acesso privilegiado
4 especial são analisadas criticamente em intervalos mais
freqüentes?
As alocações de privilégios são verificadas em intervalo
5 de tempo regular para garantir que privilégios não
autorizados não foram obtidos?
As modificações para contas de privilégios são
6 registradas e documentadas para análise crítica
periódica?

Questionamentos Resposta
A organização solicita aos usuários que sigam as boas
1 práticas de segurança da informação na seleção e uso
de senhas?
Os usuários são informados para manterem a
2
confidencialidade das senhas?
Os usuários são informados para alterar senha sempre
3 que existir qualquer indicação de possível
comprometimento do sistema ou da própria senha?
Os usuários são informados para evitar manter as
4 Parcial
senhas anotadas?
Os usuários são informados para selecionarem senhas
5
de qualidade com um tamanho mínimo?
Os usuários são informados para modificarem as
senhas regularmente ou com base no número de
acessos?

Os usuários são informados para evitarem a

6
reutilização ou reutilização do ciclo de senhas antigas?

Todos os usuários estão cientes dos requisitos de

segurança da informação e procedimentos para
1 proteger equipamentos desacompanhados, assim como
suas responsabilidades por implementar estas
proteções?
 Todos os usuários estão cientes dos requisitos de
segurança da informação e procedimentos para
2
encerrar as sessões ativas, a menos que elas possam
ser protegidas por meio de um mecanismo de bloqueio?

Todos os usuários são orientados para efetuarem a

desconexão com o computador de grande porte,
3
servidores e computadores pessoais do escritório,
quando a sessão for finalizada?
Todos os usuários são orientados para protegerem os
microcomputadores ou terminais contra uso não
4
autorizado através de tecla de bloqueio ou outro
controle equivalente?

A organização adota uma política de mesa limpa de

1
papéis e mídias de armazenamento removível?
A organização adota uma política de tela limpa para os
2
recursos de processamento da informação?
A política de mesa limpa e tela limpa leve em
consideração a classificação da informação, requisitos
3
contratuais e legais, e o risco correspondente e
aspectos culturais da organização?

A política de mesa limpa e tela limpa contempla que as

informações do negócio sensíveis ou críticas, sejam
4
guardadas em lugar seguro quando não em uso,
especialmente quando o escritório está desocupado?

A política de mesa limpa e tela limpa contempla que os

computadores e terminais sejam mantidos desligados
ou protegidos com mecanismo de travamento de tela e
5 teclados controlados por senha, token ou mecanismo
de autenticação similar quando sem monitoração e
protegidos por tecla de bloqueio, senhas ou outros
controles, quando não usados?

A política de mesa limpa e tela limpa determina que os

documentos que contêm informação sensível ou
6
classificada sejam removidos de impressoras
imediatamente?

Questionamentos Resposta
A organização possui uma política formal e
1 documentada sobre o uso de redes e dos serviços de
rede?
A política informa as redes e serviços de redes que são
2
permitidos de serem acessados?
 A organização possui procedimentos de autorização
3 para determinar quem tem permissão para acessar em
quais redes e serviços de redes?
A organização possui gerenciamento dos controles e
4 procedimentos para proteger acesso a conexões e
serviços de redes?
A política de uso descreve os meios usados para
5
acessar redes e serviços de rede?
A política de uso de serviços de rede seja consistente
6
com a política de controle de acesso do negócio?

A política informa quais métodos de autenticação deve

1 ser usados para controlar o acesso de usuários
remotos?
Os métodos documentados cumprem o nível de
2
proteção requerido pela análise/avaliação de riscos?
Os controles de acesso e procedimentos de call back,
3
se houver, foram testados?

As identificações automáticas indiquem claramente

para qual rede o equipamento possui permissão para
1 conectar-se, se existe mais de uma rede e
particularmente se estas redes são de sensibilidade
diferente?
2
3
4
5
6

Existem controles de acesso físico e lógico das portas

1
de diagnóstico e configuração?
Portas, serviços e recursos similares instalados em um
computador ou recurso de rede que não são
2
especificamente requeridos para a funcionalidade do
negócio forem desabilitados ou removidos?
3
4
5
6

Existe segregação em redes de grupos de serviços de

1
informação, usuários e sistemas de informação?
Os domínios de segregação forem definidos com base
2
na análise/avaliação de riscos?
Existe gateway seguro entre as duas redes a serem
3
interconectadas?
O gateway foi configurado para filtrar tráfego entre
estes domínios e bloquer acesso não autorizado
4
conforme a política de controle de acesso da
organização?
 Os critérios para segregação de redes em domínios são
baseados na política de controle de acesso e requisitos
de acesso, e também levem em conta os custos
5
relatívos e impactos de desempenho em incorporar
roteamento adequado à rede out tecnologia de
gateway?

A segregação de redes é baseada no valor e

classificação de informações armazenadas ou
6 processadas na rede, níveis de confiança, ou linhas de
negócio, para reduzir o impacto total de uma
interrupção de serviço?

A segregação de redes é baseada no valor e

classificação de informações armazenadas ou
7 processadas na rede, níveis de confiança, ou linhas de
negócio, para reduzir o impacto total de uma
interrupção de serviço?

No caso de uso de redes sem fios, os controles

implementados para manter a segregação de rede
8
levarem em consideração as recomendações de uma
análise/avaliação de riscos?

A capacidade dos usuários para conectar-se à rede é

1 restrita de acordo com a política de controle de acesso
o os requisitos das aplicações do negócio?
Os diretos de acesso dos usuários a rede são mantidos
2 e atualizados conforme requerido pela política de
controle de acesso?
3
4
5
6

Existe controle de roteamento na rede para assegurar

que as conexões de computador e fluxos de informação
1
não violem a política de controle de acesso das
aplicações do negócio?
Existe mecanismo de verificação positiva do endereço
2
de origem e destino?
3
4
5
6

Questionamentos Resposta
O acesso aos sistemas operacionais é controlado por
1 um procedimento seguro de entrada no sistema (log-
on)?
 O procedimento de entrada no sistema (log-on) não
2 mostre identificadores de sistema ou aplicação até que
o processo tenha sido concluido com sucesso?
O procedimento de entrada no sistema (log-on) mostre
3 um aviso geral informando que o computador seja
acessado somente por usuários autorizados?
O procedimento de entrada no sistema (log-on) valide
4 informações de entrada no sistema somente quando
todos os dados de entrada estiverem completos?
Caso que occora uma condição de erro, o
procedimento de entrada no sistema (log-on) não
5
indique qual parte do dado de entrada está correta ou
incorreta?
O procedimento de entrada no sistema (log-on) limite o
6 número permitido de tentativas de entradas no sistema
sem sucesso?

O procedimento de entrada no sistema (log-on) contém

7
um registro de tentativas com sucesso ou com falha?

O procedimento de entrada no sistema (log-on) contém

uma imposição do tempo de espera antes de permitir
8 novas tentativas de entrada no sistema ou rejeição de
qualquer tentativa posterior de acesso sem autorização
específica?

O procedimento de entrada no sistema (log-on) faz

encerramento das conexões por data link depois da
9
extrapolação do limite de tentativas de entrada sem
sucesso?
O procedimento de entrada no sistema (log-on) envie
uma mensagem de alerta para o console do sistema se
10
o número máximo de tentativas de entrada no sistema
for alcançado?

O procedimento de entrada no sistema (log-on) leva em

consideração a configuração do número de reutilização
11
de senhas alinhado com o tamanho mínimo de senha e
o valor do sistema que está sendo protegido?

O procedimento de entrada no sistema (log-on) limite o

tempo máximo e mínimo permitido para o procedimento
12
de entrada no sistema e, se excedido, o sistema
encerre o procedimento de log-on?
Quando o procedimento de entrada no sistema (log-on)
13 finalize com sucesso, mostre a data e hora da última
entrada no sistema com sucesso?
Quando o procedimento de entrada no sistema (log-on)
finalize com sucesso, mostre detalhes de qualquer
14
tentativa sem sucesso de entrada no sistema desde o
último acesso com sucesso?
O procedimento de entrada no sistema (log-on) não
15 mostre a senha que está sendo informada (e.x. oculte
os caracteres da senha por símbolos)?
O procedimento de entrada no sistema (log-on) não
16
transmita senhas em texto claro pela rede?
17

O controle de identificação e autenticação é aplicado

para todos os tipos de usuários (incluindo o pessoal de
1 suporte técnico, operadores, administradores de rede,
programadores de sistema e administradores de banco
de dados)?
Os identificadores de usuários são utilizados para
2
rastrear atividades ao indivíduo responsável?
Atividades regulares de usuários não são exectuadas
3
através de contas privilegiadas?
Em circunstânciais excpecionais, onde um identificador
de usuário é compartilhado por um grupo de usuários
4
ou para um trabalho específico, existe documentação
da aprovação do gestor responsável?

No caso de uso de identificadores de usuários

genéricos, as funções acessíveis ou as ações
executadas pelo usuário não precisam ser rastreados,
ou existem outros controles implementados (p. ex.
senha para identificador de usuário genérico somente
fornecida para um indivíduo por vez e registrada)?

No caso de uso de identificadores de usuários

genéricos, as funções acessíveis ou as ações
executadas pelo usuário não precisam ser rastreados,
5
ou existem outros controles implementados (p. ex.
senha para identificador de usuário genérico somente
fornecida para um indivíduo por vez e registrada)?

Existe controles para garantir que a força da

6 identificação e autenticação de usuário são adequada
com a sensibilidade da informação a ser acessada?

O sistema de gerenciamento de senha obrigue o uso de

1 identificador de usuário (ID de usuário) e senha
individual para manter responsabilidade final?
O sistema de gerenciamento de senha permita que os
usuários selecionem e modifiquem suas próprias
2
senhas, incluindo um procedimento de confirmação
para evitar erros?
O sistema de gerenciamento de senha obrigue a
escolha de senhas de qualidade, de acordo com a
política de senhas?
O sistema de gerenciamento de senha obrigue a troca
de senhas?
O sistema de gerenciamento de senha obrigue os
usuários a trocar a senha temporária no primeiro
acesso?
O sistema de gerenciamento de senha mantenha um
3 registro das senhas anteriores utilizadas e bloqueie a
reutilização?
O sistema de gerenciamento de senha não mostre as
4
senhas na tela quando forem digitadas?
 O sistema de gerenciamento de senha armazene os
5 arquivos de senha separadamente dos dados do
sistema da aplicação?
O sistema de gerenciamento de senha armazene e
6 transmita as senhas de forma protegida (p.ex.
criptografada ou hashed)?

Existem procedimentos de identificação, autenticação e

1
autorização para utilitários de sistema?
Existe segregação dos utilitários de sistema dos
2
softwares de aplicação?
Existe limitação do uso dos utilitários de sistema a um
número minimo de usuários confiáveis e autorizados?
Existe autorização para uso de utilitários de sistema
não previstos?
Existe limitação da disponibilidade dos utilitários de
sistema, p.ex. para a duração de uma modificação
autorizada?

3 Existe registro de todo o uso de utilitários de sistemas?

Existem definição e documentação dos níveis de

4
autorizção para os utilitários de sistema?
Existem remoção ou desabilitação de todos os
5
softwares utilitários e de sistema desnecessários?
Não foram disponibilizados utilitários de sistema para
6 usuários que têm acesso as aplicações onde
segregação de funções é requerida?

Existe uma facilidade de desconexão por tempo que

preveja a limpeza da tela do terminal e o encerramento
1
das seções do aplicativo e da rede após um periodo
definido de inatividade?

O prazo de tempo para a desconexão reflita os riscos

de segurança da área, a classificação da informação
2 que está sendo manuseada, as aplicações que estão
sendo utilizadas e os riscos relacionados para os
usuários do terminal do equipamento?

Este controle é implementado em locais de alto risco,

os quais incluem áreas públicas ou externas fora dos
3
limites do gerenciamento de segurança da
organização?
4
5
6

A organização utiliza restrições nos horários de

1 conexão como segurança adicional para aplicações de
alto risco?
A organização utiliza reautenticação em intervalos de
2
tempo?
 A organização realiza restrição dos horários de conexão
às horas normais de expediente se não houver
3
necessidades para horas extras ou trabalhos fora do
horário normal?
A organização utiliza janelas de horários
predeterminados, p.ex. para lotes de transmissão de
arquivos ou seções regulares interativas de cura
duração?

Questionamentos Resposta
As restrições para acesso são baseadas nos requisitos
1
das aplicações individuais do negócio?
A política de controle de acesso é consistente com a
2
política de acesso organizacional?
Existem menus para controlar o acesso às funções dos
3
sistemas de aplicação?
Existe controle dos direitos de acesso dos usuários,
4
p.ex. ler, escrever, excluir e executar?
Existe controle dos direitos de acesso de outras
aplicações?

Saidas dos sistemas de aplicação que tratam

informações sensíveis contenham apenas a informação
5
relevante ao uso de tais saidas e são enviadas apenas
para os terminais e locais autorizados?

É feita uma análise crítica periódica das saidas dos

6 sistemas de aplicação para assegurar que informação
desnecessária é removida?

1
2
3
4
5
6

Questionamentos Resposta
1
2
3
4
5
6

1
2
3
4
5
6
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas
Observações/Justificativas

Observações/Justificativas