Anexo I - Controles: Guia de Avaliação de Riscos de Segurança E Privacidade

28
GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE
Anexo I - Controles
29
Avaliação de Riscos de Segurança e Privacidade
CHECKLIST – <Setor Responsável pelo levantamento>
Orientações: Anexar evidências dos itens respondidos como SIM (controle aplicado). Definir prazos e
encaminhamentos para a implementação dos itens respondidos como NÃO (controle não aplicado). Justificar os itens
respondidos como N/A (não aplicável).
Plataforma: <Plataforma>
Responsável pelo preenchimento:

_____________________________________________________________________________________________________
________
Medida de Resposta
Segurança e
Privacidade Sim Não N/A
ID Dimensão Estrutura Evidências / Prazos / Encaminhamentos Referências
1 Há uma matriz de responsabilidades com Responsabilização Referências: NC nº
atribuição das responsabilidades pela segurança 03/IN01/DSIC/GSIP
da informação na organização, pela proteção de R (item 5.3.7) e
dados (encarregado), identificação dos gestores ABNT NBR ISO/IEC
de serviços com dados pessoais, operadores de 27002:2013 (item
tratamento de dados, de forma a evidenciar a 6.1.1)
segregação de funções e assegurar que
colaboradores e partes externas entendam suas
responsabilidades?
2 Há mecanismos para monitoramento do uso Gestão de Referências: NC nº
dos recursos, de forma a atender as necessidades Capacidade e 10/IN01/DSIC/GSIP
de capacidade futura e garantir o desempenho Redundância R (item 5.3.2) e
requerido das aplicações? ABNT NBR ISO/IEC
27002:2013
(12.1.3)
3 São implementados mecanismos e Continuidade de Referências: NC nº
procedimentos para mitigar ataques de Negócio 08/IN01/DSIC/GSIP
negação de serviço, tais como balanceamento R (Item 7.2) e
de carga, proxy, firewall, etc.? ABNT NBR ISO/IEC
27002:2013
(13.1.2)
30
Medida de Resposta
Segurança e
4 Existe um Plano de Continuidade de Negócio, Continuidade de Referências: NC nº
que garanta o nível adequado de continuidade Negócio 06/IN01/DSIC/GSIP
para a segurança da informação durante uma R e ABNT NBR
situação adversa? ISO/IEC
27002:2013 (item
17.1)
5 A Política de Segurança da Informação já foi Compliance com Referências: ABNT
revisada para se adequar a medidas que Privacidade NBR ISO/IEC
objetivem a proteção de dados pessoais? 27701:2019 (item
6.2) (diretrizes
adicionais para a
implementação do
controle 5.1.1,
Políticas para
segurança da
informação, da
ABNT NBR ISO/IEC
27002:2013)
6 Os dados pessoais encontram-se classificados Legitimidade e Referências: ABNT
em sensíveis e não sensíveis, incluindo especificação de NBR ISO/IEC
categorias de informações pessoais de saúde, propósito 27701:2019 (item
6.5.2) (diretrizes
informações pessoais financeiras, entre outras?
adicionais para a
implementação do
controle 8.2.1,
Classificação da
informação, da ABNT
NBR ISO/IEC
27002:2013)
7 O local que processa as informações é restrito Controles de Referências: NC nº

somente ao pessoal autorizado? Segurança em 10/IN01/DSIC/GSIPR
Redes, Proteção (item 5.5.2) e ABNT
Física e do Ambiente NBR ISO/IEC
27002:2013 (item
11.1)
31
Medida de Resposta
Segurança e
8 O trabalho nas áreas seguras é supervisionado? Controles de Referências: NC nº
Segurança em 07/IN01/DSIC/GSIP
Redes, Proteção R (item 7) e ABNT
Física e do Ambiente NBR ISO/IEC
27002:2013 (item
11.1.2)
9 A rede corporativa é segmentada em domínios Controles de Referência:
lógicos (limitando aos funcionários o acesso às Segurança em Requisitos mínimos
redes e aos serviços de rede especificamente Redes, Proteção de segurança da
autorizados a usar), de acordo com cada rede Física e do Ambiente informação aos
local, atendendo às necessidades de fornecimento órgãos da
de serviço público e proteção da rede corporativa? Administração
Pública federal
(GSI/PR, 2.2
Orientações
Técnicas, 2017) e
ABNT NBR ISO/IEC
27002:2013 (item
13.1.3)
10 O acesso externo aos sistemas é provido de Controles de Referência:
meios de segurança que protegem a Segurança em Requisitos mínimos
confidencialidade e integridade dos dados Redes, Proteção de segurança da
trafegados, tais como o uso de VPN? Física e do Ambiente informação aos
órgãos da
Administração
Pública federal
(GSI/PR, 2.2
Orientações
Técnicas, 2017) e
ABNT ISO/IEC
27002:2013 (item
13.1.1)
32
Medida de Resposta
Segurança e
11 Existem e são executados processos periódicos Controles de Referência: ABNT
de cópias de segurança das configurações e Segurança em ISO/IEC
sistemas operacionais dos switches e roteadores? Redes, Proteção 27002:2013 (item
Física e do Ambiente 14.2.4)
12 É realizado o controle de mudanças em Gestão de Mudanças Referências: NC nº

atualizações de software e outros componentes 13/IN01/DSIC/GSIP
das soluções de TIC? R (item 6) e ABNT
NBR ISO/IEC
27002:2013 (item
14.2.2)
13 Mudanças são planejadas e testadas? Gestão de Mudanças Referências: NC nº
13/IN01/DSIC/GSIP
R (item 6.3) e ABNT
NBR ISO/IEC
27002:2013 (item
14.2.2)
14 Há uma avaliação de impactos potenciais, Gestão de Mudanças Referências: NC nº
riscos e consequências, incluindo impactos de 04/IN01/DSIC/GSIP
segurança cibernética, quando da identificação de R (6.2) e ABNT NBR
necessidade de mudanças? ISO/IEC
27002:2013 (item
14.2.2)
15 As mudanças são comunicadas para todas as Gestão de Mudanças Referências: NC nº
partes interessadas? 13/IN01/DSIC/GSIP
R (item 6.3) e ABNT
NBR ISO/IEC
27002:2013 (item
14.2.2)
33
Medida de Resposta
Segurança e
16 Existe um prazo formalmente definido para o Gestão de Mudanças Referências: NC nº
tratamento de vulnerabilidades técnicas 04/IN01/DSIC/GSIP
relevantes identificadas? R (item 6.3.2) e
ABNT NBR ISO/IEC
27002:2013 (item
12.6.1)
17 Há um inventário completo e atualizado dos Gestão de Riscos Referências: NC nº
ativos de informação, contendo o fornecedor, o 10/IN01/DSIC/GSIP
número da versão, os dados pessoais R, ABNT NBR
processados, a classificação dos dados pessoais ISO/IEC
(sensíveis ou apenas dados pessoais), quais 27002:2013 (item
softwares estão instalados e em quais sistemas, e 12.6.1), ABNT NBR
a(s) pessoa(s) na organização responsável(s) ISO/IEC
pelos ativos? 27701:2019 (item
7.2.8) e ISO/IEC
29151:2017 (item
8.1.2)
18 Há um processo de análise e monitoramento Gestão de Riscos Referências: NC nº
de vulnerabilidades? 04/IN01/DSIC/GSIP
R (item 6.6.2) e
ABNT NBR ISO/IEC
27002:2013 (item
12.6.1)
19 Existe uma equipe de detecção, tratamento e Resposta a Incidente Referências: NC nº
resposta a incidentes de segurança cibernética 05/IN01/DSIC/GSIP
(CSIRT)? R, ABNT NBR
ISO/IEC 27002:2013
(item 16.1) e ABNT
NBR ISO/IEC
27701:2019 (item
6.13)
34
Medida de Resposta
Segurança e
20 Existe um canal apropriado para notificar os Resposta a Incidente Referências: NC nº
incidentes de segurança da informação de forma 05/IN01/DSIC/GSIPR,
ABNT NBR ISO/IEC
rápida?
27002:2013 (item
16.1) e ABNT NBR
ISO/IEC 27701:2019
(item 6.13)
21 Existem formalmente e são executados procedimentos Resposta a Incidente Referências: NC nº

específicos para resposta aos incidentes, 08/IN01/DSIC/GSIP
contemplando: a definição de incidente; o escopo da R (item 7), ABNT
resposta; quando e por quem as autoridades devem ser NBR ISO/IEC
contatadas; papéis, responsabilidades e autoridades;
27002:2013 (item
avaliação de impacto do incidente; medidas para reduzir
a probabilidade e mitigar o impacto do incidente;
16.1) e ABNT NBR
descrição da natureza dos dados pessoais afetados; as ISO/IEC 27701:2019
informações sobre os titulares de dados pessoais (item 6.13)
envolvidos; procedimentos para determinar se um aviso
para indivíduos afetados e outras entidades designadas
(por exemplo, órgãos reguladores) é necessário?
22 Os ativos de informação estão configurados de Resposta a Incidente Referências: NC nº

forma a registrar todos os eventos 21/IN01/DSIC/GSIP
relevantes de segurança da informação, R (item 6), ABNT
contendo, pelo menos, a identificação inequívoca NBR ISO/IEC
do usuário, a natureza do evento, a data, hora e 27002:2013 (item
fuso horário, o identificador do ativo de 12.4.1) e ABNT NBR
informação, as coordenadas geográficas, se ISO/IEC 27701:2019
disponíveis, e outras informações que possam (item 6.9.4)
identificar a possível origem do evento?
23 Há um sistema para monitoramento de Resposta a Incidente Referências: NC nº

aplicações, alertas e vulnerabilidades utilizado 08/IN01/DSIC/GSIPR
(item 7), NC nº
para auxiliar na detecção e tratamento de
21/IN01/DSIC/GSIPR
incidentes de segurança cibernética (IPS, IDS, (item 6) e ABNT NBR
etc.)? ISO/IEC 27002:2013
(item 16.1)
35
Medida de Resposta
Segurança e
24 O plano de comunicação foi atualizado para Resposta a Incidente Referências: ABNT
incluir os contatos que devem ser notificados, caso NBR ISO/IEC
haja uma violação de privacidade, ou para 27002:2013 (item
reportar detalhes de processamento, como 16.1) e ABNT NBR
contatos com a autoridade de proteção de dados ISO/IEC 27701:2019
e/ou grupos diretamente relacionados? (item 6.13.1.5)
25 Nos casos em que seja inviável preservar as Resposta a Incidente Referências: NC nº

mídias de armazenamento em razão da 21/IN01/DSIC/GSIP
necessidade de pronto restabelecimento do R (item 7) e ABNT
serviço afetado, o agente responsável pelo CSIRT NBR ISO/IEC
coleta e armazena cópia dos arquivos afetados 27002:2013 (item
pelo incidente, tais como: logs, configurações do 16.1)
sistema operacional, arquivos do sistema de
informação, e outros julgados necessários,
mantendo-se a estrutura de diretórios original,
bem como os “metadados” desses arquivos, como
data, hora de criação e permissões; registrando
em relatório a impossibilidade de preservar as
mídias afetadas e listando todos os procedimentos
adotados?
26 Os arquivos coletados como evidências são Resposta a Incidente Referências: NC nº

gravados em conjunto com o arquivo com a 21/IN01/DSIC/GSIP
lista dos resumos criptográficos? R (item 7) e ABNT
NBR ISO/IEC
27002:2013 (item
16.1)
27 Há uma política ou norma de backup que Cópia de Segurança Referências: ABNT
aborde os procedimentos operacionais que NBR ISO/IEC
padronizam os processos de geração de cópias de 27002:2013 (item
segurança e recuperação de arquivos, assim como 12.3)
os processos de controle de acesso,
armazenamento, movimentação e descarte das
mídias que contêm cópias de segurança?
36
Medida de Resposta
Segurança e
28 Está estabelecida a abrangência dos Cópia de Segurança Referências: ABNT
procedimentos de backup para cada tipo de NBR ISO/IEC
informação (por exemplo, completa ou 27002:2013 (item
diferencial)? 12.3) e ABNT NBR
ISO/IEC 27701:2019
(item 6.9.3)
29 É definido a abrangência dos testes de Cópia de Segurança Referências: ABNT
backup e sua periodicidade, de forma que os NBR ISO/IEC
testes sejam planejados observando as 27002:2013 (item
dependências e relacionamentos entre sistemas, 12.3) e ABNT NBR
considerando inclusive os ambientes de ISO/IEC
continuidade de negócios, com o objetivo de 27701:2019 (item
minimizar a possibilidade de que a ausência de 6.9.3)
sincronismo entre os dados inviabilize ou dificulte
sua recuperação?
30 As mídias que contêm cópias de segurança são Cópia de Segurança Referências: ABNT
armazenadas em uma localidade remota NBR ISO/IEC
27002:2013 (item
(“offsite”), a uma distância suficiente que garanta
12.3) e ABNT NBR
sua integridade e disponibilidade contra possíveis ISO/IEC 27701:2019
danos advindos de um desastre ocorrido no sítio (item 6.9.3)
primário?
31 O período de retenção das cópias de Cópia de Segurança Referências: ABNT
segurança e os requisitos de releitura são NBR ISO/IEC
predefinidos, levando-se em consideração os 27002:2013 (item
12.3) e ABNT NBR
requisitos de negócio, contratuais,
ISO/IEC 27701:2019
regulamentares ou legais? (item 6.9.3)
32 É exigida autorização prévia da autoridade Controles de Acesso Referências: NC nº

competente para liberação das credenciais de Lógico 07/IN01/DSIC/GSIP
acesso para o gerenciamento dos sistemas que R e ABNT NBR
suportam o serviço? ISO/IEC
27002:2013 (item
9.1.1)
37
Medida de Resposta
Segurança e
33 Existe e é executado um processo formal de Desenvolvimento Referências: NC nº
desenvolvimento de sistema seguro? Seguro 16/IN01/DSIC/GSIP
R e ABNT NBR
ISO/IEC
27002:2013 (item
14.2.1)
34 As áreas de desenvolvimento, teste, homologação Desenvolvimento Referências: NC nº

e produção são segregadas a fim de reduzir as Seguro 16/IN01/DSIC/GSIP
possibilidades de modificação ou uso indevido dos R e ABNT NBR
recursos de processamento da informação, com ISO/IEC
controles de segurança adequados para cada 27002:2013 (itens
ambiente? 12.1.4 e 14.2.1)
35 Em caso de desenvolvimento de sistemas de Desenvolvimento Referência: ABNT

informação por terceiros, o proprietário do ativo Seguro NBR ISO/IEC
da informação supervisiona o processo do 27002:2013 (item
planejamento até a implantação? 14.2.7)
36 Quando há a cópia dos dados de produção para Desenvolvimento Referências: NC nº

os ambientes de desenvolvimento, teste e Seguro 07/IN01/DSIC/GSIP
homologação, há autorização do proprietário R e ABNT NBR
do ativo de informação? ISO/IEC
27002:2013 (item
14.2.6)
Informações adicionais:
38
Medida de Resposta
Segurança e
Privacidade Sim Não N/A Evidências / Prazos / Encaminhamentos
ID Dimensão Sistema Referências
37 É realizada periodicamente uma Gestão de Riscos Referências: NC
análise/avaliação de riscos da arquitetura da nº
Solução de TIC, indicando os eventos de risco e 04/IN01/DSIC/GS
seus respectivos níveis de risco ao qual o sistema IPR e ABNT NBR
está exposto, baseada em prévia análise de ISO/IEC
vulnerabilidades dos ativos que compõem a 27005:2019
Solução de TIC?
38 Os recursos de segurança da informação e de Gestão de Riscos Referência: ABNT
tecnologia da informação encontram-se em NBR ISO/IEC
versões seguras, estáveis e atualizadas? 27002:2013 (item
12.6.1)
39 Gestão de Riscos Referência: ABNT
O responsável pelo sistema acompanha junto aos NBR ISO/IEC
fabricantes o período de obsolescência do 27002:2013 (item
produto, para evitar que os componentes tornem- 14.2)
se expostos a vulnerabilidades sem correção?
40 Há redundância dos recursos de Gestão de Capacidade Referência: ABNT
processamento da informação suficiente para e Redundância NBR ISO/IEC
atender aos requisitos de disponibilidade previstos 27002:2013 (item
em contrato? 12.1.3)
41 Foi elaborada uma política de privacidade para Compliance com a Referências: ABNT
o serviço? privacidade NBR ISO/IEC
27701:2019 (item
6.2.1.1) e ISO/IEC
29151:2017 (A2)
42 Existe Relatório de Impacto à Proteção de Compliance com a Referências: Lei nº

Dados Pessoais, conforme previsto na Lei 13.709 privacidade 13.709/2018, art.
de 14 de agosto de 2018, relacionado à solução de 10, Parágrafo 3º,
Guia de Boas
TIC?
Práticas LGPD,
seção 2.5 (CCGD,
2020) e ISO/IEC
29134:2017
39
Medida de Resposta
Segurança e
43 Há um inventário completo e atualizado dos Legitimidade e Referências:
dados pessoais, contendo os agentes de especificação de ABNT NBR
tratamento (controlador e operador), encarregado, propósito ISO/IEC
descrição do fluxo de tratamento dos dados 27701:2019 (item
pessoais (como são coletados, armazenados, 7.2.8)
processados, retidos e eliminados), abrangência da
área geográfica do tratamento (nacional, estadual,
municipal), finalidade do tratamento dos dados
pessoais, categoria dos dados pessoais
(identificação pessoal, financeiros, características
pessoais, outros), categoria de dados sensíveis,
dados pessoais compartilhados e transferência
internacional?
44 São realizados, em intervalos de tempo predefinidos, Controles de Referências: NC

simulações e/ou testes planejados, levando-se em Continuidade de nº
consideração as menores indisponibilidades e impactos Negócio 06/IN01/DSIC/GS
possíveis nos processos de negócio, de forma que seja
IPR e ABNT NBR
possível identificar falhas que venham a comprometer
qualquer parte do processo de continuidade, com vistas
ISO/IEC 22301
a promover revisões e atualizações periódicas dos Planos
relacionados?
45 Há utilização de criptografia para a proteção dos Controles Referências: ABNT

dados sensíveis ou críticos armazenados em Criptográficos NBR ISO/IEC
dispositivos móveis, mídias removíveis ou em 27002:2013 (item
10.1.1) e ABNT NBR
banco de dados?
ISO/IEC
27701:2019 (item
6.5.3 e item 6.7)
46 Existe uma frequência estabelecida para geração Cópia de Segurança Referências: ABNT
dos backups? NBR ISO/IEC
27002:2013 (item
12.3) e ABNT NBR
ISO/IEC
27701:2019 (item
6.9.3)
40
Medida de Resposta
Segurança e
47 São realizadas cópias de segurança dos logs de Cópia de Segurança Referências: NC
acordo com períodos de retenção, que consideram nº
os requisitos de negócio, contratuais, 21/IN01/DSIC/GS
regulamentares ou legais? IPR e ABNT NBR
ISO/IEC
27002:2013 (item
12.4.2)
48 O sistema em análise segue uma política de Controles de Acesso Referências: NC

senha com definição de tamanho mínimo e Lógico nº
formato? 07/IN01/DSIC/GS
IPR, Requisitos
mínimos de
segurança da
informação aos
órgãos da
Administração
Pública federal
(GSI/PR, 2.2
Orientações
Técnicas, 2017),
ABNT NBR
ISO/IEC
27002:2013 (item
9)
49 As informações das credenciais de acesso dos Controles de Acesso Referências: NC

usuários estão gravadas em recursos de tecnologia Lógico nº
da informação protegidos e sob a forma 07/IN01/DSIC/GS
criptografada? IPR, ABNT NBR
ISO/IEC
27002:2013 (item
9)
41
Medida de Resposta
Segurança e
50 As informações das credenciais de acesso dos Controles de Acesso Referências: NC
usuários são transmitidas de forma protegida? Lógico nº
07/IN01/DSIC/GS
IPR, ABNT NBR
ISO/IEC
27002:2013 (item
9)
51 Um mecanismo de recuperação de senha está Controles de Acesso Referência: ABNT

implementado de forma a assegurar a recuperação Lógico NBR ISO/IEC
da senha de maneira segura, sem fornecimento de 27002:2013 (item
senha por parte da aplicação, e que obrigue a 9)
alteração de senha do usuário no primeiro acesso?
52 Uma análise crítica de direitos de acesso é Controles de Acesso Referência: ABNT

realizada em um período de tempo previamente Lógico NBR ISO/IEC
definido ou a qualquer momento depois de 27002:2013 (item
qualquer mudança nos direitos de usuários ou para 9.2.5)
verificação de incidentes de segurança?
53 Há mecanismos para encerramento (expirar) de Controles de Acesso Referências:

qualquer sessão cuja inatividade do usuário Lógico 16/IN01/DSIC/GSIP
exceda um período de tempo predeterminado? R (item 4.2) e ABNT
NBR ISO/IEC
27002:2013 (itens
9.2.5 e 9.4.2)
54 Existem restrições de autenticação do usuário para Controles de Acesso Referência:

acesso simultâneo a serviço(s), sistema(s) e/ou Lógico OWASP - Session
rede(s)? Management
Cheat Sheet
55 O sistema implementa restrições/limitadores para Controles de Acesso Referência: ABNT

sucessivas tentativas de acesso mal sucedidas? Lógico NBR ISO/IEC
27002:2013 (item
9.4.2)
42
Medida de Resposta
Segurança e
56 As credenciais de acesso e logs são armazenadas Controles de Acesso Referência: ABNT
separadamente dos dados das aplicações e dos Lógico NBR ISO/IEC
sistemas? 27002:2013 (item
9.4.3)
57 O log registra identificação do usuário, Registro de Eventos e Referências: NC

incluindo administrador e acessos privilegiados? Rastreabilidade nº
21/IN01/DSIC/GS
IPR (6.3) e ABNT
NBR ISO/IEC
27002:2013 (item
12.4.1)
58 O log registra endereço IP ou outro atributo que Registro de Eventos e Referências: NC

permita a identificação de onde o usuário efetuou Rastreabilidade nº
o acesso? 21/IN01/DSIC/GS
IPR (6.3) e ABNT
NBR ISO/IEC
27002:2013 (item
12.4.1)
59 O log registra as ações executadas pelos Registro de Eventos e Referências: NC

usuários? Rastreabilidade nº
21/IN01/DSIC/GS
IPR (6.5) e ABNT
NBR ISO/IEC
27002:2013 (item
12.4.1)
60 O log registra data e hora do evento com alguma Registro de Eventos e Referências: NC nº
fonte de tempo sincronizada? Rastreabilidade 21/IN01/DSIC/GSIP
R (6.3) e ABNT NBR
ISO/IEC
27002:2013 (item
12.4.1)
43
Medida de Resposta
Segurança e
61 Os logs gerados são protegidos, quando da Registro de Eventos e Referências: NC
geração, contra edição e exclusão? Rastreabilidade nº
21/IN01/DSIC/GS
IPR (7.5) e ABNT
NBR ISO/IEC
27002:2013 (item
12.4.2)
62 Os logs são protegidos contra o acesso indevido? Registro de Eventos e Referências: NC

Rastreabilidade nº
21/IN01/DSIC/GS
IPR (7.5) e ABNT
NBR ISO/IEC
27002:2013 (item
12.4.2)
63 Requisitos de segurança são identificados e Desenvolvimento Referências: NC nº

considerados em todas as fases do projeto do Seguro 16/IN01/DSIC/GSIP
sistema? R e ABNT NBR
ISO/IEC
27002:2013 (item
14.2.1)
64 Existem controles de versão para garantir a Desenvolvimento Referências: NC nº

gestão dos códigos-fonte? Seguro 16/IN01/DSIC/GSIP
R e ABNT NBR
ISO/IEC
27002:2013 (item
14.2.1)
65 As mensagens de erro do sistema não revelam Desenvolvimento Referências: NC nº

detalhes da sua estrutura interna? Seguro 16/IN01/DSIC/GSIP
R (item 5) e ABNT
NBR ISO/IEC
27002:2013 (item
14.1.3)
44
Medida de Resposta
Segurança e
66 É realizada análise estática e/ou análise Desenvolvimento Referências: NC
dinâmica dos requisitos de segurança cibernética Seguro nº
do sistema? 16/IN01/DSIC/GS
IPR (item 5) e
ABNT NBR
ISO/IEC
27002:2013
(itens 14.2.8 e
14.2.9)
67 O servidor da aplicação fornece opções de Segurança Web Referência: ABNT

protocolos criptográficos para conexão em NBR ISO/IEC
versões seguras, estáveis e atualizadas? 27002:2013 (item
10.1.2)
68 O servidor da aplicação tem configurado o Segurança Web Referência: OWASP

cabeçalho HTTP com X-XSS-Protection para - Cross Site
evitar que usuários de navegadores antigos sejam Scripting Prevention
Cheat Sheet (item
vulneráveis a ataques de Cross-site Scripting
X-XSS-Protection
(XSS)? Header)
69 O servidor da aplicação tem configurado o Segurança Web Referência: OWASP

cabeçalho HTTP com X-Frame-Options para - Web Security
evitar que usuários caiam em ataques de Testing Guide v4.1
(item Server side
clickjacking?
protection: X-
Frame-Options)
70 O servidor da aplicação tem configurado o Segurança Web Referência:

cabeçalho HTTP com HTTP Strict-Transport- OWASP - Web
Security (HSTS) para garantir que todo o tráfego Security Testing
de dados ocorra criptografado? Guide v4.1 (item
Test HTTP Strict
Transport
Security)
45
Medida de Resposta
Segurança e
71 O servidor da aplicação implementa políticas Segurança Web Referência:
(Content Security Policy (CSP)) que validam a OWASP Cheat
renderização da página e protegem contra ataques Sheet Series
de injeção de conteúdo como Cross-Site Scripting (item Content
(XSS)? Security Policy
Cheat Sheet)
72 O servidor da aplicação implementa o X-Content- Segurança Web Referência:

Type-Options para evitar que navegadores como OWASP Cheat
Internet Explorer e Chrome interpretem o Sheet Series
conteúdo da página e execute o dado como (item REST
código? Security Cheat
Sheet)
73 Os cookies da aplicação são enviados para o Segurança Web Referência: OWASP

usuário apenas através de conexões criptografadas - Web Security
(flag SECURE)? Testing Guide v4.1
(item Testing for
Sensitive
Information Sent
via Unencrypted
Channels)
74 A aplicação está configurada para que os cookies Segurança Web Referência: OWASP
não possam ser acessíveis via comando JavaScript, - Web Security
evitando assim ataques cross-site scripting (XSS) Testing Guide v4.1
(item Testing for
(flag HTTPOnly)?
Cookies Attributes)
75 O servidor da aplicação está configurado com o Segurança Web Referência:

cabeçalho Subresource Integrity (SRI) para OWASP Cheat
proteger contra invasores que modifiquem o Sheet Series
conteúdo de bibliotecas JavaScript hospedadas em (item Third Party
redes de entrega de conteúdo (CDNs)? JavaScript
Management
Cheat Sheet)
46
Medida de Resposta
Segurança e
ID Dimensão Privacidade Evidências / Prazos / Encaminhamentos Referências
76 As permissões de acesso (incluir, consultar, Controles de Acesso e Referência:
alterar, excluir) dos usuários que executam a Privacidade ISO/IEC
operação de processamento de dados pessoais 29151:2017
se limitam ao mínimo necessário para realizar o (item 9.2.3)
processamento?
77 O acesso para realizar as operações de Controles de Acesso e Referência:
tratamento de dados pessoais é provido ao Privacidade ISO/IEC
número mínimo de indivíduos necessários para 29151:2017
executar as operações de tratamento? (item 9.2.3)
78 Meios de autenticação forte são providos para o Controles de Acesso e Referência:
processamento dos dados pessoais, em especial Privacidade ISO/IEC
os dados sensíveis (dados de saúde e demais 29151:2017
dados previstos pelo art.5º, II da LGPD))? (item 9.2.3)
79 A instituição controla por meio de um processo Controles de Acesso e Referência:
formal a concessão de direitos de acesso Privacidade ISO/IEC
privilegiado para o processamento de dados? 29151:2017
(item 9.2.4)
80 Os dados pessoais utilizados em ambiente de Uso, retenção e Referência:

TDH (teste, desenvolvimento e homologação) limitação de ISO/IEC
passaram por um processo de anonimização? divulgação 29151:2017
(item 12.1.5)
81 A instituição utiliza técnicas ou métodos Uso, retenção e Referência:

apropriados para garantir exclusão ou destruição limitação de ISO/IEC
segura de dados pessoais (incluindo originais, divulgação 29151:2017
cópias e registros arquivados), de modo a (item 8.3.3)
impedir sua recuperação?
82 Ao fornecer a base de informações para órgãos Uso, retenção e Referência:

de pesquisa, os dados pessoais são limitação de ISO/IEC
anonimizados ou pseudoanonimizados? divulgação 29151:2017
(item A.6)
47
Medida de Resposta
Segurança e
83 O compartilhamento ou transferência de dados Controles Referência:
pessoais é realizado por meio de um canal criptográficos ISO/IEC
criptografado e de cifra recomendada pelos sítios 29151:2017
especializados de segurança (Exemplo: (item 13.2.2)
https://www.ssllabs.com/ssltest/)?
84 No compartilhamento de dados com terceiro Responsabilização Referência:

operador ou órgãos públicos, são documentadas ISO/IEC
as informações de limitação do tratamento dos 29151:2017
dados pessoais ao mínimo necessário para (item 13.2.5)
atendimento do fornecimento do serviço e
dispositivo legal?
85 Acordos de confidencialidade, termos de Responsabilização Referência:

responsabilidade, termos de sigilo são assinados ISO/IEC
com os órgãos e operadores de dados pessoais? 29151:2017
É importante que os termos e acordos informem (item 13.2.5)
a respeito dos itens a seguir, mas a eles não se
limitem: tipos de tratamento de dados pessoais
a serem realizados por quem irá receber os
dados; ações requeridas quando do
encerramento do compartilhamento, como
destruição dos dados, responsabilidade e ações
dos signatários para evitar a divulgação não
autorizada dos dados pessoais; base legal para o
compartilhamento; direito de auditar e monitorar
as atividades que envolvem os dados pessoais;
processo para notificar ou relatar vazamentos;
violações ou divulgações não autorizadas dos
dados pessoais; ações a serem tomadas diante
da violação do acordo; e outras medidas
possíveis.
48
Medida de Resposta
Segurança e
86 Os contratos firmados com os operadores Responsabilização Referência:
contêm cláusulas que contemplam, não se ISO/IEC
limitando a: uma declaração adequada sobre a 29151:2017
escala, natureza e finalidade do processamento (item 15.1.2)
contratado; relatar casos de violação de dados,
processamento não autorizado ou outro não
cumprimento dos termos e condições
contratuais; medidas aplicáveis na rescisão do
contrato, especialmente no que diz respeito à
exclusão segura de dados pessoais;
impedimento de tratamento de dados pessoais
por subcontratados, exceto por aprovação do
controlador?
87 O compartilhamento e a transferência de dados Responsabilização Referência:

pessoais com terceiros operadores ou órgãos ISO/IEC
públicos são registrados, incluindo quais dados 29151:2017
pessoais foram divulgados, a quem, a que horas (item A.7.4)
e com que finalidade?
88 O desenvolvimento dos sistemas tem como base Compliance com a Referência:

os riscos e as medidas de segurança Privacidade ISO/IEC
identificadas no RIPD (Relatório de Impacto de 29151:2017
Proteção à Dados Pessoais)? (item 14.1.2)
89 O desenvolvimento dos sistemas é orientado à Compliance com a Referência:

proteção da privacidade dos dados pessoais Privacidade ISO/IEC
(Privacy by Design)? 29151:2017
(item 14.2.10)
90 Os contratos firmados com os operadores de Compliance com a Referência:

dados pessoais contêm cláusulas que asseguram Privacidade ISO/IEC
o tratamento de dados pessoais conforme 29151:2017
previsto pela Lei Geral de Proteção de Dados? (item 15.1.2)
49
Medida de Resposta
Segurança e
91 Há uma política ou norma de proteção de dados Compliance com a Referência:
pessoais que aborde a finalidade da instituição Privacidade ISO/IEC
perante o processamento de dados; a 29151:2017
transparência com relação à coleta e (item A.2)
processamento de dados pessoais; a estrutura
estabelecida para a proteção de dados pessoais;
regras para tomar decisões em questões de
proteção de dados pessoais; critérios de
aceitação de risco de privacidade; compromisso
de satisfazer os requisitos aplicáveis de proteção
à privacidade?
92 Os controles de proteção de dados pessoais são Compliance com a Referência:

monitorados e auditados periodicamente para Privacidade ISO/IEC
garantir que as operações que envolvam dados 29151:2017
pessoais estejam em conformidade com as leis, (item A.11.4)
regulamentos e termos contratuais aplicáveis?
93 É implementada e mantida uma estratégia Compliance com a Referência:

abrangente de treinamento e conscientização, Privacidade ISO/IEC
destinada a garantir que os envolvidos entendam 29151:2017
suas responsabilidades e os procedimentos de (item A.11.5)
proteção de dados pessoais?
94 A instituição monitora continuamente as ações Compliance com a Referência:

de proteção de dados pessoais, a fim de Privacidade ISO/IEC
determinar o progresso no cumprimento dos 29151:2017
requisitos de conformidade com a proteção de (itens A.11.1 e
dados pessoais e dos controles de proteção de A.13.1)
dados pessoais, comparar o desempenho em
toda a organização, identificar vulnerabilidades e
lacunas na política e na implementação e
identificar modelos de sucesso?
50
Medida de Resposta
Segurança e
95 O Controlador obtém consentimento (LGPD, art Consentimento e Referência:
7º, I) do titular de dados para o tratamento de Escolha ISO/IEC
dados pessoais que não se enquadre nas demais 29151:2017
hipóteses previstas pelo art. 7º e 11 da LGPD? (item A.3.1)
96 O tratamento de dados pessoais é realizado para Legitimidade e Referência:

o atendimento de sua finalidade pública, na especificação de ISO/IEC
persecução do interesse público, com o objetivo propósito 29151:2017
de executar as competências legais ou cumprir (item A.4.1)
as atribuições legais do serviço público?
(embasamento legal)
97 As transferências internacionais de dados Legitimidade e Referência:

pessoais são realizadas de acordo com o disposto especificação de ISO/IEC
pelo art. 33 da Lei 13.709/2018 (LGPD)? propósito 29151:2017
(item A.13.2)
98 Os dados coletados limitam-se ao mínimo Limitação da Coleta Referência:

necessário para atendimento da finalidade do ISO/IEC
tratamento? 29151:2017
(item A.5)
99 É realizada uma análise periódica sobre os dados Limitação da Coleta Referência:

coletados, se eles continuam limitados ao ISO/IEC
mínimo necessário para o atendimento a 29151:2017
finalidade? (item A.5)
100 A finalidade do tratamento é comunicada ao Abertura, Referência:

titular dos dados pessoais, mesmo no caso de Transparência ISO/IEC
execução de políticas públicas e competência 29151:2017
legal, antes que as informações sejam coletadas e Notificação (item A.4.2)
ou usadas?
51
Medida de Resposta
Segurança e
101 No contrato, há a obrigação do operador de Abertura, Referência:
dados pessoais notificar o Controlador em caso Transparência ISO/IEC
de ocorrência de violação de dados pessoais? 29151:2017
e Notificação (item A.7.3)
102 Os terceiros operadores de dados informaram no Abertura, Referência:

contrato sobre a utilização de subcontratos para Transparência ISO/IEC
processar dados pessoais? 29151:2017
103 Os titulares de dados pessoais são notificados de Abertura, Referência:

alterações na forma de tratamento de dados? Transparência ISO/IEC
29151:2017
104 São fornecidas aos titulares de dados pessoais Abertura, Referência:

informações claras e facilmente acessíveis sobre Transparência ISO/IEC
as políticas, procedimentos, práticas do 29151:2017
controlador de dados pessoais em relação ao e Notificação (item A.9.2)
manuseio de dados pessoais (dados coletados,
processamento efetuado, finalidade a ser
alcançada com o processamento, com quem
compartilha e a finalidade, capacidade de
consentir compartilhamento específicos), como
os dados são protegidos, dados de comunicação
com o encarregado, entre outras informações de
importância a transparência e publicidade?
52
Medida de Resposta
Segurança e
105 No processamento de dados, é utilizado o Minimização dos dados Referência:
mínimo necessário de dados pessoais para ISO/IEC
atingir a finalidade pretendida? 29151:2017
(item A.6)
106 É avaliada a necessidade de permitir que Minimização dos dados Referência:

operadores e administradores de banco de dados ISO/IEC
usem linguagens de consulta, que habilitam 29151:2017
recuperação maciça automatizada de bases de (item A.9.4.2)
dados que contêm dados pessoais?
107 A instituição revisa periodicamente as medidas Desenvolvimento Referência:

de segurança aplicadas nos ativos que realizam Seguro ISO/IEC
o tratamento de dados pessoais (coleta, 29151:2017
retenção, processamento, compartilhamento e (item A.6)
eliminação)?
108 A instituição implementa processos para que o Precisão e Qualidade Referência:

tratamento dos dados pessoais seja preciso, ISO/IEC
completo, atualizado, adequado e relevante para 29151:2017
a finalidade de uso? (item A.8)
109 A instituição implementa medidas que garantam Precisão e Qualidade Referência:

e maximizem a precisão dos dados pessoais ISO/IEC
coletados, antes de qualquer armazenamento ou 29151:2017
processamento de dados pessoais? (item A.8)
110 Os dados pessoais armazenados/retidos Cópia de Segurança Referência:

possuem controles de integridade permitindo ISO/IEC
identificar se os dados foram alterados sem 29151:2017
permissão? (item A.8)
111 As operações de processamento realizadas com Registro de Eventos e Referência:

dados pessoais são registradas de modo a Rastreabilidade ISO/IEC
identificar a operação realizada, quem realizou, 29151:2017
data e hora? (item A.8)
53
Medida de Resposta
Segurança e
112 A instituição permite aos titulares dos dados Participação Individual Referência:
pessoais, quando permitido pela legislação e Acesso ISO/IEC
aplicável, a capacidade de acessar e revisar seus 29151:2017
dados pessoais para elevar a integridade e (item A.10.1)
precisão das informações?
113 Há um canal de comunicação ativo, seguro e Participação Individual Referência:

autenticado para o recebimento de reclamações e Acesso ISO/IEC
e manter um ponto de contato para receber e 29151:2017
responder a reclamações, preocupações ou (item A.10.3)
perguntas dos titulares sobre o tratamento de
dados pessoais realizados pela instituição?
54
Anexo II.A – Dimensão Estrutura - Matriz de Pesos e tipos de

controles por risco
Legenda
Controle Prevenção
24
Risco Mitigação
Controle não ativo para Prevenção e Mitigação
o Risco
ID 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
1 1 0,5 0,5 1 1 1 1 0,5 0,5 0,5 1 0,5 1 1 1 1 1 1 1 1 1 1 0,5 0,5 0,5 0,5 0,5 1 1 1 1 1
2 1 0,5 1 1 1 1 0,5
3 1 0,5 0,5 1 1 1 1
4 1 1 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5
5 1 0,5 0,5 0,5 0,5 1 1 1 1 0,5 1 1 0,5
6 1 0,5 0,5 0,5 1 0,5 0,5
7 1 1 0,5 0,5 0,5 1 1 1 0,5 1 1 0,5 1 1 1 1 1 1 1 1 1 1 0,5 1 0,5 1 0,5 1 1 1 1 0,5

8 1 1 1 1 0,5 0,5 0,5 1 0,5 1 0,5 1 1 0,5 1 1 1 1 1 1 1 1 1 1 0,5 1 0,5 1 0,5 1 1 1 1 1 0,5
9 1 1 0,5 0,5 1 1
10 1 1 0,5 1 1 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0,5 1 0,5 1 0,5 1 1 1 1 1
11 1 1 0,5 0,5 0,5 0,5 1 1 0,5 1
12 1 1 0,5 1 1 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0,5 1 0,5 1 0,5 1 1 1 1 1 1

13 1 0,5 1 0,5 0,5 1 1 1
14 1 0,5 1 0,5 0,5 1 1 1
24
Ver Tabela 3 para identificar o risco tratado em cada linha.
55
Anexo II.B – Dimensão Sistema - Matriz de Pesos e tipos de
controles por risco
ID 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75
1 1 1 1 1 0,5 0,5 1 0,5 0,5 1 1 1 1 1 1 1 1 0,5 0,5 0,5 1 0,5 0,5 0,5 1 0,5 0,5 1 1 0,5 0,5 1 0,5 0,5 1 1 0,5
2 0,5 1 1
3 1 1
4 1 1 0,5 1 0,5 0,5 1 1 1 1 0,5 0,5 0,5 1 1 1 1 0,5 0,5 1 1 0,5
5 1 0,5 1
6 0,5 1 0,5
7 1 1 1 1 0,5 0,5 0,5 0,5 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 1 0,5 1 1 1 1 1 1 0,5 1 1 1 0,5
8 1 1 1 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 0,5 0,5 0,5 0,5 0,5 0,5 0,5 1 0,5 0,5 1 1 1 1 1 0,5 1 1 1 0,5
9 1 1 1
10 1 1 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 1 0,5 1 1 1 1 1 0,5 1 1 1 1 1 1 0,5 1 1 1 0,5
11 0,5 1 1
12 1 1 1 1 0,5 1 1 1 1 1 1 1 1 1 1 1 1 0,5 1 0,5 1 1 1 1 1 0,5 1 1 1 1 1 1 0,5 1 1 1 0,5
13 1 1 1 0,5 0,5 0,5 0,5 1 0,5
14 0,5 1 1 0,5 0,5 0,5 0,5 1 0,5

56
Anexo II.C - Dimensão Privacidade - Matriz de Pesos e tipos de
controles por risco
ID 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113
1 1 1 1 1 1 1 0,5 1 1 1 0,5 0,5 0,5 0,5 0,5 0,5 1 0,5
2 1 1 1 1 0,5 1 0,5 1 1 0,5 1 1 0,5 0,5 0,5
3 1 1 1 1 1 1 0,5 1 0,5 0,5 1 1
4 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 1 1 1 1
5 0,5 1 1 0,5 0,5 1 0,5 0,5 0,5 0,5 1 1
6 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 1 1 1
7 1 1 1 1 1 1 0,5 1 1 0,5 0,5 1 0,5 0,5 1 1 1 1
8 1 1 1 1 1 0,5 0,5 1 1 0,5 0,5 1 0,5 0,5 1 1 1
9 1 1 1 1 0,5 1 1 0,5 0,5 1 1
10 1 1 1 1 1 1 1 1 1 0,5 0,5 1 0,5 0,5 1 1 1
11 1 0,5 0,5 1 1 1 0,5 0,5 1 1 1
12 1 1 1 1 1 1 1 1 1 1 1 0,5 0,5 1 0,5 0,5 1 1 1 1
13 1 1 1 1 1 1 1 0,5 0,5 0,5 1 1 1 1 1
14 1 1 1 1 1 1 1 1 1 1 1 0,5 0,5 0,5 1 1 1 1 0,5 0,5 1 1 1 1

57

Anexo I - Controles: Guia de Avaliação de Riscos de Segurança E Privacidade

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Anexo I - Controles: Guia de Avaliação de Riscos de Segurança E Privacidade

Enviado por

Direitos autorais:

Formatos disponíveis

28

GUIA DE AVALIAÇÃO DE RISCOS DE SEGURANÇA E PRIVACIDADE

Responsável pelo preenchimento:

7 O local que processa as informações é restrito Controles de Referências: NC nº

12 É realizado o controle de mudanças em Gestão de Mudanças Referências: NC nº

21 Existem formalmente e são executados procedimentos Resposta a Incidente Referências: NC nº

22 Os ativos de informação estão configurados de Resposta a Incidente Referências: NC nº

23 Há um sistema para monitoramento de Resposta a Incidente Referências: NC nº

25 Nos casos em que seja inviável preservar as Resposta a Incidente Referências: NC nº

26 Os arquivos coletados como evidências são Resposta a Incidente Referências: NC nº

32 É exigida autorização prévia da autoridade Controles de Acesso Referências: NC nº

34 As áreas de desenvolvimento, teste, homologação Desenvolvimento Referências: NC nº

35 Em caso de desenvolvimento de sistemas de Desenvolvimento Referência: ABNT

36 Quando há a cópia dos dados de produção para Desenvolvimento Referências: NC nº

42 Existe Relatório de Impacto à Proteção de Compliance com a Referências: Lei nº

44 São realizados, em intervalos de tempo predefinidos, Controles de Referências: NC

45 Há utilização de criptografia para a proteção dos Controles Referências: ABNT

48 O sistema em análise segue uma política de Controles de Acesso Referências: NC

49 As informações das credenciais de acesso dos Controles de Acesso Referências: NC

51 Um mecanismo de recuperação de senha está Controles de Acesso Referência: ABNT

52 Uma análise crítica de direitos de acesso é Controles de Acesso Referência: ABNT

53 Há mecanismos para encerramento (expirar) de Controles de Acesso Referências:

54 Existem restrições de autenticação do usuário para Controles de Acesso Referência:

55 O sistema implementa restrições/limitadores para Controles de Acesso Referência: ABNT

57 O log registra identificação do usuário, Registro de Eventos e Referências: NC

58 O log registra endereço IP ou outro atributo que Registro de Eventos e Referências: NC

59 O log registra as ações executadas pelos Registro de Eventos e Referências: NC

62 Os logs são protegidos contra o acesso indevido? Registro de Eventos e Referências: NC

63 Requisitos de segurança são identificados e Desenvolvimento Referências: NC nº

64 Existem controles de versão para garantir a Desenvolvimento Referências: NC nº

65 As mensagens de erro do sistema não revelam Desenvolvimento Referências: NC nº

67 O servidor da aplicação fornece opções de Segurança Web Referência: ABNT

68 O servidor da aplicação tem configurado o Segurança Web Referência: OWASP

69 O servidor da aplicação tem configurado o Segurança Web Referência: OWASP

70 O servidor da aplicação tem configurado o Segurança Web Referência:

72 O servidor da aplicação implementa o X-Content- Segurança Web Referência:

73 Os cookies da aplicação são enviados para o Segurança Web Referência: OWASP

75 O servidor da aplicação está configurado com o Segurança Web Referência:

80 Os dados pessoais utilizados em ambiente de Uso, retenção e Referência:

81 A instituição utiliza técnicas ou métodos Uso, retenção e Referência:

82 Ao fornecer a base de informações para órgãos Uso, retenção e Referência:

84 No compartilhamento de dados com terceiro Responsabilização Referência:

85 Acordos de confidencialidade, termos de Responsabilização Referência:

87 O compartilhamento e a transferência de dados Responsabilização Referência:

88 O desenvolvimento dos sistemas tem como base Compliance com a Referência:

89 O desenvolvimento dos sistemas é orientado à Compliance com a Referência:

90 Os contratos firmados com os operadores de Compliance com a Referência:

92 Os controles de proteção de dados pessoais são Compliance com a Referência:

93 É implementada e mantida uma estratégia Compliance com a Referência:

94 A instituição monitora continuamente as ações Compliance com a Referência:

96 O tratamento de dados pessoais é realizado para Legitimidade e Referência:

97 As transferências internacionais de dados Legitimidade e Referência:

98 Os dados coletados limitam-se ao mínimo Limitação da Coleta Referência:

99 É realizada uma análise periódica sobre os dados Limitação da Coleta Referência:

100 A finalidade do tratamento é comunicada ao Abertura, Referência:

102 Os terceiros operadores de dados informaram no Abertura, Referência:

103 Os titulares de dados pessoais são notificados de Abertura, Referência:

104 São fornecidas aos titulares de dados pessoais Abertura, Referência:

106 É avaliada a necessidade de permitir que Minimização dos dados Referência:

107 A instituição revisa periodicamente as medidas Desenvolvimento Referência:

108 A instituição implementa processos para que o Precisão e Qualidade Referência:

109 A instituição implementa medidas que garantam Precisão e Qualidade Referência: