Segurança da Informação

Exercício de Cenas de Auditoria Interna

Uma empresa de hosting, que foi fundada há 5 anos por dois ex-alunos formados da faculdade e se expandiu ao longo do tempo, está buscando a
conformidade para o seu Sistema de Gestão de Segurança da Informação. Neste exato momento, está ocorrendo uma Auditoria Interna. Você é um
auditor, e deverá indicar qual o requisito da norma ISO/IEC 27001:2013 está relacionando com a respectiva ocorrência relatada. Preencha o
formulário a seguir da seguinte maneira: marque “Sim” se o relato apresentado possuir evidências suficientes para ser considerado uma Não
Conformidade, indicando os itens da norma que deveriam ser seguidos junto com a descrição; marque “Simples Observação” se o relato somente
justificar uma cena/ocorrência. Caso faltem informações para o julgamento, marque “Falta informação”, e indique o que falta ser informado.

Cenas / Ocorrência Registro da Não conformidade (NC)

Req. ISO/IEC Existe NC? Descrição da NC e da Evidência Objetiva
27001 ou indicação do que fazer a seguir
1- Não existe uma metodologia escrita para análise/avaliação de 6.1.2 ( ) Sim Existe documentação sobre o processo
riscos dos equipamentos. Os riscos são identificados nos 8.2 ( ) Não de avaliação de risco?
momentos necessários pelo pessoal especializado com base ( ) Simples Obs.
em seus conhecimentos, e repassados para avaliação. (X) Falta Informação
2- A organização não fornece treinamento referente às tarefas 7.2 ( ) Sim Quais as outras ações efetuadas pela
requeridas pelo SGSI, pelo fato da equipe ser pequena, ( ) Não direção para garantir as competências?
altamente qualificada e ciente da importância e relevância das ( ) Simples Obs.
atividades de segurança. (X) Falta Informação
3- Um dos auditores internos é responsável pela administração 9.2 ( ) Sim Esse acontecimento está previsto no
do banco de dados. Como na auditoria metade da equipe da ( ) Não programa de auditoria? Estava previsto
empresa viajou para treinamento do novo sistema, ele acabou ( ) Simples Obs. nos critérios dessa auditoria? A
auditando também a área desse sistema, incluindo BD. (X) Falta Informação imparcialidade foi assegurada?
4- O estagiário responsável por guardar os registros de controles 7.5 ( ) Sim Esse meio de armazenamento foi
optou por armazenar temporariamente em um HD externo ( ) Não analisado criticamente e aprovado para
criptografado. Somente ele possui a senha para acesso. ( ) Simples Obs. pertinência e adequação? Os registros
(X) Falta Informação são disponíveis e adequados ao uso
 quando e quando necessário, bem como
estarão íntegros? A senha de acesso
garante a confidencialidade?
5- Os objetivos de controle e os controles foram incrementados 6.1.3 ( ) Sim
e reescritos em um documento interno que foi decidido em (X) Não
reunião, aprovado pela direção, documentado e divulgado ( ) Simples Obs.
para a equipe. ( ) Falta Informação
6- Não constam na Declaração de Aplicabilidade, a exclusão e 6.1.3d (X) Sim O item é claro quando diz “...bem como
nem a justificativa de exclusão dos objetivos de controle e ( ) Não a justificativa para a exclusão do
controles constantes na norma, pois como eles foram ( ) Simples Obs. controles...”
reescritos em um documento interno, não há a necessidade ( ) Falta Informação
de referenciar os que constam na norma.
7- A medição da eficácia dos controles é feita em prazos 9.1 ( ) Sim Está documentado?
relativamente longos, pois a direção entende que com uma ( ) Não
equipe pequena não é viável ficar deslocando funcionários ( ) Simples Obs.
frequentemente para isso. (X) Falta Informação
8- Os critérios para aceitação de riscos e os níveis aceitáveis são 6.1.2a ( ) Sim
documentados em tópicos sem distinção entre um e outro, (X) Não
mas em cada tópico ambos estão presentes. ( ) Simples Obs.
( ) Falta Informação
9- Os treinamentos de equipe não são registrados, mas é 7.2, 7.5 ( ) Sim A criação e a atualização desse tipo de
possível fazer um rastreamento nos e-mails corporativos dos ( ) Não informação foram analisadas quanto à
funcionários. ( ) Simples Obs. pertinência e adequação? Esse tipo de
(X) Falta Informação documentação é controlado conforme
item 7.5.3?
10- De tempos em tempos a direção convoca uma breve reunião 9.3, 10.2 ( ) Sim
com a equipe técnica e pergunta a todos, um por um, quais as ( ) Não
sugestões para a melhoria da política de segurança. (X) Simples Obs.
( ) Falta Informação