Status de

D
folha de statu

Introdução
Este modelo de folha ou planilha é usado para registrar e monitorar o status de sua organização à medida que i

O corpo principal da ISO/IEC 27001 especifica formalmente uma série de requisitos obrigatórios que devem ser
relacionados ao sistema de gestão e não aos riscos de informação e aos controles de segurança que são aplica
serão tratados, trate-os e supervisione-os, usando as políticas e procedimentos definidos no SGSI. A norma não
De qualquer forma, o Anexo A de 27001 fornece diretrizes para um conjunto de controles de segurança da infor
uma vez que são de fato aplicáveis ​à organização (que depende de seus riscos de segurança da informação). Os

Instruções
1. Projetar e implementar um SGSI em conformidade com todos os elementos obrigatórios especificados no cor
base em cada um dos requisitos.
2. Identifique e faça uma avaliação dos riscos de segurança da informação enfrentados pelas partes da organiza
opções na coluna de status na folha "Controles do Anexo A". Nota: não se sinta limitado pelo Anexo A! Adapte
segurança da informação. (e.g. ISO 22301, leis de privacidade, PCI-DSS etc.) O Anexo A é apenas um guia, um p
3. Sistematicamente revise e registre o status de seus riscos e controles de segurança, atualizando a coluna de
4. Quando seu SGSI estiver operando normalmente, as métricas parecerem boas e você tiver acumulado evidê
Certification Body em inglês). Eles verificarão se o seu SGSI está em conformidade com os requisitos obrigatório
disso, as folhas deste documento de trabalho devem ser mantidas, ou seja, atualizados quando os riscos ou con

Histórico da documentação e agradecimentos

Bala Ramanan doou a versão original ISO/IEC 27001:2005 do modelo de requisitos 27001. Joel Cort adicionou o
Ed Hodgson atualizou o documento de trabalho para ISO/IEC 27001:2013. Gary Hinson se inspirou no texto e na
Christian Breitenstrom atualizou o documento para refletir a ISO/IEC 27001:2022 e a ISO/IEC 27002:2022. Gary
Cristian Celdeiro ajudou na tradução para o português brasileiro.

Copyright (Direito Autoral)

Este trabalho é copyright © 2022, ISO27k Forum, todos os direitos reservados. Está licenciado sob a licença Com
incorporado a um produto comercial, (b) seja apropriadamente atribuível dando crédito ao Fórum ISO27k em w
Nota: você precisará de cópias compradas legalmente com licenças correspondentes da ISO/IEC 27001 e 2700
parafraseamos e resumimos o texto das normas de maneiras que podem não satisfazer ou cumprir totalmente
Por favor visite a página ISO27001security.com para obter mais dicas e diretrizes sobre os padrões ISO27k, inclu
 ORIGIN

St
Con

Introduction
This spreadsheet is used to record and track the status of your organization as you implement the mandatory an
The main body of ISO/IEC 27001 formally specifies a number of mandatory requirements that must be fulfilled i
rather than the information risks and the security controls being managed. For example, the standard require
and procedures defined in the ISMS. The standard does not mandate specific information security controls: the
However, Annex A to '27001 outlines a suite of information security controls that the management system wou
much more detail in ISO/IEC 27002:2022, and in various other standards, laws, regulations etc.

Instructions

1. Design and implement an ISMS complying with all the mandatory elements specified in the main body of ISO
2. Identify and assess the information security risks facing those parts of the organization that are declared in s
constrained by Annex A! Adapt the sheet, modifying the wording and adding-in additional rows if you determin
point.
3. Systematically check and record the status of your security risks and controls, updating the status column of
4. Once your ISMS is operating normally, the metrics are looking good and you have amassed sufficient evidenc
requirements, and that your in-scope information security risks are being identified, treated and monitored acc
periodically reviewed/audited.

Document history and acknowledgements

Bala Ramanan donated the original ISO/IEC 27001:2005 version of the 27001 requirements worksheet. Joel Co
Ed Hodgson updated the workbook for ISO/IEC 27001:2013. Gary Hinson fiddled with the wording and formatti
Christian Breitenstrom updated the workbook to reflect ISO/IEC 27001:2022 and ISO/IEC 27002:2022. Gary tidi

Copyright
This work is copyright © 2022, ISO27k Forum, some rights reserved.  It is licensed under the Creative Commons
incorporated into a commercial product, (b) it is properly attributed to the ISO27k Forum at www.ISO27001secu
Note: you need licensed copies of both ISO/IEC 27001 and 27002 to make much sense of this, and other ISO27
may not entirely fulfill their meaning or intent. The definitive references are the ISO27k standards, not this wor
Please visit ISO27001security.com for further advice and guidance on the ISO27k standards, including the ISO27
 Status de implementação da Norma ISO/IEC 27001
Seção Requisito ISO/IEC 27001 Status Notas

4 Contexto da organização
4.1 Contexto organizacional
Determinar os objetivos do SGSI da organização e quaisquer problemas que possam comprometer sua
4.1
eficácia. Inicial

4.2 Partes interessadas

Identificar as partes interessadas incluindo requisitos legais e regulamentares,
4.2 (a)
obrigações contratuais, etc Limitado
4.2 (b) Determinar seus requisitos e obrigações relevantes de segurança da informação Inicial

4.3 Escopo do SGSI

4.3 Determinar e documentar o escopo do SGSI Limitado

4.4 SGSI
Estabelecer, implementar, manter e continuamente melhorar um SGSI de acordo com os requisitos
desta Norma! Inexistente
4.4

5 Liderança
5.1 Liderança e comprometimento
5.1 A Alta Direção deve demostrar sua liderança e comprometimento em relação ao SGSI Definido

5.2 Política
5.2 Estabelecer a política de segurança da informação Inexistente

5.3 Autoridades, responsabilidades e papéis organizacionais

5.3 Atribuir e comunicar os papéis e responsabilidades da segurança da informação Não se aplica

6 Planejamento
6.1 Ações para contemplar riscos e oportunidades
6.1.1 Projetar / planejar o SGSI para atender aos requisitos, lidando os riscos e oportunidades Inicial

6.1.2 Definir e aplicar um processo de avaliação de riscos de segurança da informação Inicial

6.1.3 Documentar e aplicar um processo de tratamento de riscos de segurança da informação. Inicial

6.2 Objetivo de segurança da informação e planos para alcançá-los

6.2 Estabelecer e documentar os objetivos e planos de segurança da informação Inicial

6.3 Planejamento de mudanças

6.3 As mudanças substanciais no SGSI devem ser realizadas de maneira planejada Inicial Novo para a versão 2022

7 Apoio
7.1 Recursos
7.1 Determinar e prover recursos necessários para o SGSI Inicial

7.2 Competências
7.2 Determinar, documentar e deixar disponível as competências necessárias Inicial

7.3 Conscientização
7.3 Estabelecer um programa de conscientização de segurança Inicial

7.4 Comunicação
7.4 Determinar as necessidades para as comunicações internas e externas relevantes ao SGSI Inicial

7.5 Informação documentada

7.5.1 Prover a informação documentada requerida por esta norma bem como a requerida pela organização Inicial
Prover títulos, autores, etc para a informação documentada, assegurar o formato de forma
7.5.2
apropriada, análise crítica e aprovação Inicial

7.5.3 Controlar a informação documentada, adequadamente Inicial

8 Operação
8.1 Planejamento operacional e controle
Planejar, implementar, controlar e manter a informação documentada do processo do SGSI para
8.1
gerenciar os riscos (i.e. o plano de tratamento de riscos) Inicial

8.2 Avaliação de riscos de segurança da informação

(Re)fazer a avaliação e documentar os riscos de segurança da informação a intervalos regulares e
8.2
quando mudanças ou modificações ocurrem Inicial

8.3 Tratamento de riscos de segurança da informação

8.3 Implementar o plano de tratamento de riesgos (trate os riscos!) e documentar os resultados Inicial

9 Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
9.1 Monitorar, medir, analisar e avaliar o SGSI e os controles Inicial

9.2 Auditoria interna

9.2 Planejar e conduzir auditorias internas do SGSI Inicial

9.3 Análise crítica pela direção

9.3 A Alta Direção deve analisar criticamente ao SGSI a intervalos regulares Inicial

10 Melhoria
10.1 Melhoria contínua
10.1 Melhorar continuamente o SGSI Inicial

10.2 Não conformidade e ação corretiva

Identificar, corrigir e tomar ações para prevenir repetição ou ocorrência de não conformidades,
10.2
evidenciando as ações com com documentação comprobatória Inicial
28 Número de requisitos

06/16/2023 Page4 of 7
 Declaração de Aplicabilidade (SoA) e status dos controles de segurança da informação
Seção Control de segurança da informação Status Notas
A5 Controles organizacionais
A.5.1 Políticas para segurança da informação ? Desconhecido
A.5.2 Responsabilidades e papéis pela segurança da informação ? Desconhecido
A.5.3 Segregação de funções ? Desconhecido
A.5.4 Responsabilidades da direção ? Desconhecido
A.5.5 Contato com autoridades ? Desconhecido
A.5.6 Contato com grupos especiais ? Desconhecido
A.5.7 Inteligência de ameaças ? Desconhecido
A.5.8 Segurança da informação no gerenciamento de projetos ? Desconhecido
A.5.9 Inventário de ativos de informação e outros ativos associados ? Desconhecido
A.5.10 Uso aceitável dos ativos de informação e outros ativos associados ? Desconhecido
A.5.11 Devolução de ativos ? Desconhecido
A.5.12 Classificação da informação ? Desconhecido
A.5.13 Rótulos e tratamento da informação ? Desconhecido
A.5.14 Transferência de informação ? Desconhecido
A.5.15 Controle de acesso ? Desconhecido
A.5.16 Gestão da identidade ? Desconhecido
A.5.17 Informação de autenticação ? Desconhecido
A.5.18 Direitos de acesso ? Desconhecido
A.5.19 Segurança da informação no relacionamento com os fornecedores ? Desconhecido
A.5.20 Requisitos de segurança da informação nos acordos com fornecedores ? Desconhecido

A.5.21 Gerenciamento da segurança da informação na cadeia de suprimento das ? Desconhecido

TICs (Tecnologias da Informação e Comunicação)
Gerenciamento de mudanças, análise crítica e monitoramento para
A.5.22 serviços com fornecedores ? Desconhecido
A.5.23 Segurança da informação para o uso de serviços em nuvem (cloud) ? Desconhecido
Planejamento e adequação da gestão de incidentes de segurança da
A.5.24 informação ? Desconhecido
A.5.25 Avaliação e decisão dos eventos de segurança da informação ? Desconhecido
A.5.26 Resposta aos incidentes de segurança da informação ? Desconhecido
A.5.27 Aprendendo com os incidentes de segurança da informação ? Desconhecido
A.5.28 Coleta de evidências ? Desconhecido
A.5.29 Segurança da informação durante interrupções ? Desconhecido
A.5.30 Prontidão das TIC para continuidade do negócio ? Desconhecido
A.5.31 Requisitos legislativos estatutários, regulamentares e contratuais relevantes ? Desconhecido
A.5.32 Direitos de propriedade intelectual ? Desconhecido
A.5.33 Proteção de registros ? Desconhecido
A.5.34 Privacidade e proteção de PII (informações que permitem identificação pessoal) ? Desconhecido

A.5.35 Análise crítica independente da segurança da informação ? Desconhecido

A.5.36 Conformidade com as políticas e normas de segurança da informação ? Desconhecido

A.5.37 Documentação dos procedimentos de operação ? Desconhecido

A6 Controles pessoais
A.6.1 Verificação de historico ? Desconhecido
A.6.2 Termos e condições de contratação Inexistente

A.6.3 Conscientização, educação e treinamento em segurança da informação Inicial

A.6.4 Processo disciplinar Limitado

A.6.5 Responsabilidades pelo encerramento ou mudança da contratação Definido
A.6.6 Acordos de confidencialidade e não divulgação Gerenciado
A.6.7 Trabalho remoto Otimizado
A.6.8 Notificação de eventos de segurança da informação Não se aplica

A7 Controles físicos
A.7.1 Perímetros de segurança física ? Desconhecido
A.7.2 Entrada física ? Desconhecido
A.7.3 Segurança em escritórios, salas e instalações ? Desconhecido
A.7.4 Monitoramento de segurança física ? Desconhecido
A.7.5 Proteção contra ameaças físicas e do meioambiente ? Desconhecido

06/16/2023 Page 5 of 7
 Declaração de Aplicabilidade (SoA) e status dos controles de segurança da informação
Seção Control de segurança da informação Status Notas
A.7.6 Trabalhando em áreas seguras ? Desconhecido
A.7.7 Mesa limpa e tela limpa ? Desconhecido
A.7.8 Escolha de local e proteção do equipamento ? Desconhecido
A.7.9 Segurança de equipamentos e ativos fora das dependências da organização ? Desconhecido
A.7.10 Mídias de armazenamento ? Desconhecido
A.7.11 Utilidades (serviços) ? Desconhecido
A.7.12 Segurança do cabeamento ? Desconhecido
A.7.13 Manutenção dos equipamentos ? Desconhecido
A.7.14 Alienação e reutilização seguras de equipamentos ? Desconhecido

A8 Controles tecnológicos
A.8.1 Dispositivos finais (endpoint) do usuário ? Desconhecido
A.8.2 Direitos de acesso privilégiados ? Desconhecido
A.8.3 Restrição de acesso à informação ? Desconhecido
A.8.4 Acesso ao código-fonte ? Desconhecido
A.8.5 Autenticação segura ? Desconhecido
A.8.6 Gestão de capacidade ? Desconhecido
A.8.7 Proteção contra malware ? Desconhecido
A.8.8 Gestão de vulnerabilidades técnicas ? Desconhecido
A.8.9 Gerência de configuração ? Desconhecido
A.8.10 Supressão de informação ? Desconhecido
A.8.11 Mascaramento de dados ? Desconhecido
A.8.12 Prevenção de fugas de dados ? Desconhecido
A.8.13 Cópias de segurança das informações ? Desconhecido
A.8.14 Redundância dos recursos de processamento da informação ? Desconhecido
A.8.15 Registros (logs) ? Desconhecido
A.8.16 Atividades de monitoramento ? Desconhecido
A.8.17 Sincronização dos relógios ? Desconhecido
A.8.18 Uso de programas utilitários privilegiados ? Desconhecido
A.8.19 Instalação de software nos sistemas operacionais ? Desconhecido
A.8.20 Segurança em redes ? Desconhecido
A.8.21 Segurança dos serviços de rede ? Desconhecido
A.8.22 Segregação de redes ? Desconhecido
A.8.23 Filtragem da web ? Desconhecido
A.8.24 Uso da criptografia ? Desconhecido
A.8.25 Desenvolvimento seguro do ciclo de vida ? Desconhecido
A.8.26 Requisitos de segurança nas aplicações ? Desconhecido
A.8.27 Princípios seguros de engenharia e arquitetura de sistemas ? Desconhecido
A.8.28 Codificação segura ? Desconhecido
A.8.29 Testes de segurança em desenvolvimento e aceitação ? Desconhecido
A.8.30 Desenvolvimento terceirizado ? Desconhecido
A.8.31 Separação dos ambientes de desenvolvimento, teste e de produção ? Desconhecido
A.8.32 Gestão de mudanças ? Desconhecido
A.8.33 Informações de teste ? Desconhecido
A.8.34 Proteção de sistemas de informação durante testes da auditoria ? Desconhecido
93 Número de controles

06/16/2023 Page 6 of 7
 Relação de
Relação de
controles para
segurança da
Status implementação SGSI
Status Significado Requisitos SGSI informação

? Desconhecido Ainda não foi revisto 0% 92%

Inexistente Ausência completa de uma política,

procedimento, controle, etc. 7% 1% ? Desconhecido
Inexistente
Inicial
O desenvolvimento está apenas começando e Limitado
Inicial exigirá um trabalho significativo para 79% 1%
conformar aos requisitos Definido
Gerenciado
Otimizado
Limitado Progredindo bem, mas ainda não concluído 7% 1% Não se aplica

O desenvolvimento é mais ou menos completo,

Definido embora faltem detalhes e/ou ainda não
implementados, atualmente em conformidade 4% 1%
ou ativamente apoiados pela Alta Direção.

O desenvolvimento está completo, o

Gerenciado processo/controle foi implementado e iniciou
suas operações recentemente
0% 1%

O requisito está totalmente em conformidade,

está totalmente operacional conforme o
Otimizado esperado, está sendo monitorado e melhorado
ativamente e há evidências substanciais para
demonstrar todos os itens acima aos auditores
0% 1%
Status controles Infosec
TODOS os requisitos do corpo principal da
Não se aplica ISO/IEC 27001 são obrigatórios SE seu SGSI for
certificado. Caso contrário, a gestão 4% 1%
responsável pode ignorá-los.

Total 100% 100%

? Desconhecido
Inexistente
Inicial
Limitado
Definido
Gerenciado
Otimizado
Não se aplica