Como usar esta ferramenta de Folha de Cálculo

Esta folha de Excel é um auxiliar na determinação e medida da maturidade/capacidade e Perfis d

NIST Cybersecurity Framework (CSF) versão 2018, com a adição de níveis de maturidade/capacid
1. Maturidade de uma política que defina um “Perfil Desejado” de uma Organização: Até que p
das Categorias e Sub-Categorias do NIST CSF?
2. Maturidade de uma Prática ou “Perfil Atual”: Quão bem as práticas operacionais reais, satisfa
dizem as políticas e standards?
O objetivo das descrições do Nível de Maturidade/Capacidade e asua equiparação a Perfis, suste
é fornecer alguma orientação sobre como devem ser as boas práticas atuais e como se podem m
muito alta para alcançar um Nível 3 para o Perfil Alvo, devemos sentir-nos à vontade para alterá-
Isto não tem a intenção de infringir qualquer trabalho que o pessoal do NIST tenha feito. De qua
todas as questões e referencias de informações associadas na folha 'Núcleo do NIST CSF', as res

Após inúmeras solicitações, também se pode adicionar à ferramenta o NIST Privacy Framework
mais, importante medir o que você faz (suas práticas) em relação ao que você diz que faz (suas p

Instruções:
1) Veja a folha 'Níveis de maturidade' para entender como classificar cada um dos cont
maturidade/Capacidade entre a coluna de Descrição e a coluna de práticas ou Evidências nos Pro

2) Na folha 'Núcleo do NIST CSF' já foram previamente inseridas na Coluna F, as evidências suge
Perfil Atual/Corrente. Para um “Perfil/Estado Desejado” optou-se por supor que se deveria alcan
O Aluno terá de preencher a Coluna E Perfil Atual/ correspondentes ao “Estado Atual” da Organ
Mais adiante o Aluno deverá preencher na Coluna K, o tipo de Solução/Controlo a utilizar, que
Sub-Categoria. (Ver exemplo para a Categoria Asset Management)
3) Na folha 'Resumo do CSF', revêm-se as as pontuações do “Perfil Atual" e “PerfilPerfil dese
coluna E, que para efeitos de Estudo pode corresonder à média dos valores registados para “Pe

O Gráfico “Radar” é desenhado automáticamente e corresponderá no final, aos valores das Tab
uridade/capacidade e Perfis de Estado de implementação de vários programas de cibersegurança, em esp
níveis de maturidade/capacidade para políticas e práticas.
uma Organização: Até que ponto as políticas, procedimentos, standards e diretrizes corporativas atende

cas operacionais reais, satisfazem os requisitos das Categorias e Sub-Categorias do NIST CSF, independen

a equiparação a Perfis, sustentados através do conceito de evidências verfificaveis, conforme quadrodea

as atuais e como se podem melhorar no futuro. Se, por exemplo, se acredita que uma percentagem de ex
tir-nos à vontade para alterá-la para melhor atender às necessidades (e notificar o CNCS).
l do NIST tenha feito. De qualquer modo o proprio NIST está aberto a receber sugestões e propostas de a
a 'Núcleo do NIST CSF', as respeitam a presente versão original 1.1 do NIST.

a o NIST Privacy Framework à ferramenta. A mesma lógica foi aplicada aqui quanto ao lado do CSF - é tão
o que você diz que faz (suas políticas) quando se trata de Cibersegurança e também de privacidade, pois é

assificar cada um dos controlos na folha 'Núcleo do NIST CSF'. Existem diferentes significados pa
ráticas ou Evidências nos Processos dos Níveis de Maturidade.

Coluna F, as evidências sugeridas no documento de certificação do CNCS cncs_quadrodeavaliacao_5.pdf

or supor que se deveria alcançar para esta Organização o nível 3 para todas as Sub-Categorias do NIST CSF
s ao “Estado Atual” da Organização, com base nas Evidencias indicadas no quadrodeavaliacao do CNCS.
lução/Controlo a utilizar, que como é sabido pode ser aplicável através de Pessoas, Processos e/ou Tecn

fil Atual" e “PerfilPerfil desejado” inseridas conforme 2) e o aluno terá de preencher a Coluna do “Obje
valores registados para “Perfil Atual” e o “Perfil Desejado”.

no final, aos valores das Tabelas “Perfil Atual”, “Perfil Desejado” e “Objetivo Intermédio”,

s de cibersegurança, em especial baseada no
retrizes corporativas atendem aos requisitos
Change Log
* Feb/28/2022 - Release 2.1 - Corrected
cell reference in Privacy Summary tab
(E5-E6) which resulted in incorrect
calculations and cleaned up references
in NIST Summary for consistency.

rias do NIST CSF, independentemente do que * Feb/18/2022 - Release 2.0. Added

caveis, conforme quadrodeavaliacao do CNCS,
que uma percentagem de exceção de 5% é
car o CNCS).
Privacy Framework. Reworked formulas
to support easier future updates.
* Jan/19/2019 - Release 1.0. Original
Release.

r sugestões e propostas de adequação para

quanto ao lado do CSF - é tão, ou talvez até

ambém de privacidade, pois é Segurança.

m diferentes significados para cada nível de

cs_quadrodeavaliacao_5.pdf para um potencial

s Sub-Categorias do NIST CSF.
uadrodeavaliacao do CNCS.
Pessoas, Processos e/ou Tecnologias, para cada

preencher a Coluna do “Objetivo Intermédio”,

o Intermédio”,
e Log
ase 2.1 - Corrected
cy Summary tab
d in incorrect
ed up references
onsistency.
ase 2.0. Added
eworked formulas
re updates.
se 1.0. Original
 Nível Maturidade Descrição

Nível 0 - NA Medidas não se aplicam, de todo

Medidas aplicam-se por iniciativas isoladas e pouco

Nível 1 - Básico
formais, de forma ‘ad hoc’, e apenas se obrigado

Nível 2 - Intermédio Medidas formais para atender à maioria dos casos,

mas não de forma consistente ou estruturada

Isto faz-se de forma consistente e estruturada ...

Nível 3 - Avançado mas, mesmo assim, não é a “melhor prática do
Mundo” e poderá ser melhoradoIsto
Evidências nos Processos dos Níveis de Maturidade

Não existem nem se observam tecnologias e

processos ou procedimentos Standard.

Existem processos Ad-hoc realizados

informalmente

O processo formal existe e está documentado.

Evidências podem ser fornecidas para a maioria
das atividades. Menos de 10% de exceções.

O processo formal existe e está documentado.

Podem ser fornecidas evidências para todas as
atividades e são capturadas e relatadas métricas
detalhadas do processo. Meta mínima para
métricas foi estabelecida. Ocorrem menos de 5%
das exceções do processo com o mínimo de
exceções recorrentes.
 2022

Estado Estado Objetivo

Categoras do NIST CSF Atual Desejado Intermédio (média
dos dois)
Média de Métrica Geral 0.00 3.00 1.50
Asset Management (ID.AM) 0.00 3.00 1.50
Business Environment (ID.BE) 0.00 3.00 1.50
IDENTIFY (ID)

Governance (ID.GV) 0.00 3.00 1.50

Risk Assessment (ID.RA) 0.00 3.00 1.50
Risk Management Strategy (ID.RM) 0.00 3.00 1.50
Supply Chain Risk Management (ID.SC) 0.00 3.00 1.50
Identity Management, Authentication and Access Control (P 0.00 3.00 1.50
Awareness and Training (PR.AT) 0.00 3.00 1.50
PROTECT (PR)

Data Security (PR.DS) 0.00 3.00 1.50

Information Protection Processes and Procedures (PR.IP) 0.00 3.00 1.50
Maintenance (PR.MA) 0.00 3.00 1.50
Protective Technology (PR.PT) 0.00 3.00 1.50
Anomalies and Events (DE.AE) 0.00 3.00 1.50
DETECT (DE)

Security Continuous Monitoring (DE.CM) 0.00 3.00 1.50

Detection Processes (DE.DP) 0.00 3.00 1.50
Response Planning (RS.RP) 0.00 3.00 1.50
Communications (RS.CO)
RESPOND (RS)

0.00 3.00 1.50

Analysis (RS.AN) 0.00 3.00 1.50
Mitigation (RS.MI) 0.00 3.00 1.50
Improvements (RS.IM) 0.00 3.00 1.50
Recovery Planning (RC.RP)
RECOVER (RC)

0.00 3.00 1.50

Improvements (RC.IM) 0.00 3.00 1.50
Communications (RC.CO) 0.00 3.00 1.50
GAP Média de Métrica Geral
Communications (RC.CO) Asset Management (ID.A

Improvements (RC.IM) 3.0 Bu

SIM

SIM

SIM Recovery Planning (RC.RP)

SIM

SIM

SIM Improvements (RS.IM)

SIM 1.0

SIM

SIM
Mitigation (RS.MI)
SIM

SIM

SIM

SIM
Analysis (RS.AN) -1.0
SIM

SIM

SIM

SIM Communications (RS.CO)

SIM

SIM

SIM
Response Planning (RS.RP)
SIM

SIM

SIM
Detection Processes (DE.DP)

Security Continuous Monitoring (DE.CM) Inf

Anomalies and Events (DE.AE) Maintenance (PR.MA)

Protective Technology (PR.PT)
a Geral
Asset Management (ID.AM) NIST Cyber Security Framework
Business Environment (ID.BE)
Níveis de Maturidade

Governance (ID.GV) 3 - Avançado

2 - Intermédio
1 - Básico
0 - Não Aplicável
Risk Assessment (ID.RA)

Risk Management Strategy (ID.RM)

0 Supply Chain Risk Management (ID.SC)

Identity Management, Authentication and Access Control (PR.AC)

Awareness and Training (PR.AT)

Data Security (PR.DS) Objetivo Intermédio (média dos dois)

Estado Atual
Estado Desejado
Information Protection Processes and Procedures (PR.IP)

Maintenance (PR.MA)
gy (PR.PT)
Função Categoria Subcategoria

ID.AM-1: Physical
devices and systems
within the organization
are inventoried

ID.AM-2: Software
platforms and
applications within the
organization are
inventoried

Asset Management ID.AM-3:

(ID.AM): The data, Organizational
personnel, devices, systems, communication and
and facilities that enable the data flows are mapped
organization to achieve
business purposes are
identified and managed
consistent with their relative
ID.AM-4: External
importance to organizational
information systems
objectives and the
are catalogued
organization’s risk strategy.

ID.AM-5: Resources
(e.g., hardware,
devices, data, time,
personnel, and
software) are
prioritized based on
their classification,
criticality, and business
value
ID.AM-6:
Cybersecurity roles
and responsibilities for
the entire workforce
and third-party
stakeholders (e.g.,
suppliers, customers,
partners) are
established
ID.BE-1: The
organization’s role in
the supply chain is
identified and
communicated
ID.BE-2: The
organization’s place in
critical infrastructure
and its industry sector

Business Environment
(ID.BE): The organization’s
mission, objectives,
stakeholders, and activities
 and its industry sector
is identified and
ID.BE-3: Priorities for
Business Environment communicated
(ID.BE): The organization’s organizational mission,
mission, objectives, objectives, and
stakeholders, and activities activities are
are understood and established and
prioritized; this information communicated
is used to inform ID.BE-4:
cybersecurity roles, Dependencies and
responsibilities, and risk critical functions for
management decisions. delivery of critical
services are established
ID.BE-5: Resilience
requirements to
support delivery of
critical services are
established for all
operating states (e.g.
under duress/attack,
during recovery,
normal operations)

ID.GV-1:
Organizational
cybersecurity policy is
established and
communicated

ID.GV-2:
Cybersecurity roles
and responsibilities are
Governance (ID.GV): The coordinated and
policies, procedures, and aligned with internal
processes to manage and roles and external
monitor the organization’s partners
regulatory, legal, risk,
environmental, and
ID.GV-3: Legal and
operational requirements are
regulatory
understood and inform the
requirements regarding
management of cybersecurity
cybersecurity,
risk.
including privacy and
civil liberties
obligations, are
understood and
managed

ID.GV-4: Governance
and risk management
processes address
cybersecurity risks

IDENTIFY
ID.RA-1: Asset
(ID)
vulnerabilities are
identified and
documented
IDENTIFY
ID.RA-1: Asset
(ID)
vulnerabilities are
identified and
documented

ID.RA-2: Cyber threat

intelligence is received
from information
sharing forums and
sources

Risk Assessment (ID.RA): ID.RA-3: Threats,

The organization understands both internal and
the cybersecurity risk to external, are identified
organizational operations and documented
(including mission, functions,
image, or reputation),
organizational assets, and
individuals.

ID.RA-4: Potential
business impacts and
likelihoods are
identified

ID.RA-5: Threats,
vulnerabilities,
likelihoods, and
impacts are used to
determine risk

ID.RA-6: Risk
responses are identified
and prioritized

ID.RM-1: Risk
management processes
are established,
managed, and agreed
to by organizational
stakeholders
Risk Management Strategy
(ID.RM): The organization’s
priorities, constraints, risk
tolerances, and assumptions ID.RM-2:
are established and used to Organizational risk
support operational risk tolerance is determined
decisions. and clearly expressed
Risk Management Strategy
(ID.RM): The organization’s
priorities, constraints, risk
tolerances, and assumptions ID.RM-2:
are established and used to Organizational risk
support operational risk tolerance is determined
decisions.
Supply Chain Risk
Management (ID.SC):
The organization’s priorities,
constraints, risk tolerances,
and assumptions are
established and used to
support risk decisions
associated with managing
supply chain risk. The
organization has established
and implemented the
processes to identify, assess
and manage supply chain
risks.
and clearly expressed
ID.RM-3: The
organization’s
determination of risk
tolerance is informed
by its role in critical
infrastructure and
sector specific risk
analysis
ID.SC-1: Cyber supply
chain risk management
processes are
identified, established,
assessed, managed, and
agreed to by
organizational
stakeholders
ID.SC-2: Suppliers
and third party partners
of information
systems, components,
and services are
identified, prioritized,
and assessed using a
cyber supply chain risk
assessment process
with suppliers and
third-party partners are
used to implement
appropriate measures
designed to meet the
objectives of an
organization’s
cybersecurity program
and Cyber Supply
Chain Risk
ID.SC-4: Suppliers
and third-party partners
are routinely assessed
using audits, test
results, or other forms
of evaluations to
confirm they are
meeting their
contractual obligations.
ID.SC-5: Response
and recovery planning
and testing are
conducted with
suppliers and third-
party providers
 PR.AC-1: Identities
and credentials are
issued, managed,
verified, revoked, and
audited for authorized
devices, users and
processes

PR.AC-2: Physical
access to assets is
managed and protected

PR.AC-3: Remote
access is managed

PR.AC-4: Access
Identity Management, permissions and
Authentication and Access authorizations are
Control (PR.AC): Access to managed,
physical and logical assets incorporating the
and associated facilities is principles of least
limited to authorized users, privilege and
processes, and devices, and is separation of duties
managed consistent with the
assessed risk of unauthorized
access to authorized activities
and transactions.
PR.AC-5: Network
integrity is protected
(e.g., network
segregation, network
segmentation)

PR.AC-6: Identities
are proofed and bound
to credentials and
asserted in interactions
 PR.AC-6: Identities
are proofed and bound
to credentials and
asserted in interactions

PR.AC-7: Users,
devices, and other
assets are authenticated
(e.g., single-factor,
multi-factor)
commensurate with the
risk of the transaction
(e.g., individuals’
security and privacy
risks and other
organizational risks)

PR.AT-1: All users are

informed and trained

PR.AT-2: Privileged
users understand their
roles and
responsibilities

Awareness and Training

(PR.AT): The organization’s
personnel and partners are
provided cybersecurity PR.AT-3: Third-party
awareness education and are stakeholders (e.g.,
trained to perform their suppliers, customers,
cybersecurity-related duties partners) understand
and responsibilities their roles and
consistent with related responsibilities
policies, procedures, and
agreements.

PR.AT-4: Senior
executives understand
their roles and
responsibilities

PR.AT-5: Physical
and cybersecurity
personnel understand
their roles and
responsibilities
 PR.DS-1: Data-at-rest
is protected

PR.DS-2: Data-in-
transit is protected

PR.DS-3: Assets are

formally managed
throughout removal,
transfers, and
disposition

PR.DS-4: Adequate
capacity to ensure
Data Security (PR.DS): availability is
Information and records maintained
(data) are managed consistent
with the organization’s risk
strategy to protect the
confidentiality, integrity, and
availability of information.

PR.DS-5: Protections
against data leaks are
implemented

PR.DS-6: Integrity
checking mechanisms
are used to verify
software, firmware,
and information
integrity

PR.DS-7: The
development and
 development and
testing environment(s)
are separate from the
production
environment
PR.DS-8: Integrity
checking mechanisms
PROTECT are used to verify
(PR) hardware integrity

PR.IP-1: A baseline
configuration of
information
technology/industrial
control systems is
created and maintained
incorporating security
principles (e.g. concept
of least functionality)

PR.IP-2: A System
Development Life
Cycle to manage
systems is
implemented

PR.IP-3:
Configuration change
control processes are in
place

PR.IP-4: Backups of
information are
conducted, maintained,
and tested

PR.IP-5: Policy and

regulations regarding
the physical operating
environment for
Information Protection organizational assets
Processes and Procedures are met
(PR.IP): Security policies
(that address purpose, scope,
roles, responsibilities,
management commitment,
and coordination among
organizational entities),
processes, and procedures are
 Information Protection
Processes and Procedures
(PR.IP): Security policies
(that address purpose, scope,
roles, responsibilities,
management commitment,
and coordination among PR.IP-6: Data is
organizational entities), destroyed according to
processes, and procedures are policy
maintained and used to
manage protection of
information systems and
assets.

PR.IP-7: Protection
processes are improved

PR.IP-8: Effectiveness
of protection
technologies is shared

PR.IP-9: Response
plans (Incident
Response and Business
Continuity) and
recovery plans
(Incident Recovery and
Disaster Recovery) are
in place and managed

PR.IP-10: Response
and recovery plans are
tested

PR.IP-11:
Cybersecurity is
included in human
resources practices
(e.g., deprovisioning,
personnel screening)

PR.IP-12: A
vulnerability
management plan is
developed and
implemented

PR.MA-1:
Maintenance and repair
of organizational assets
are performed and
Maintenance (PR.MA): logged, with approved
Maintenance and repairs of and controlled tools
industrial control and
information system
 PR.MA-1:
Maintenance and repair
of organizational assets
are performed and
Maintenance (PR.MA): logged, with approved
Maintenance and repairs of and controlled tools
industrial control and
information system
components are performed PR.MA-2: Remote
consistent with policies and maintenance of
procedures. organizational assets is
approved, logged, and
performed in a manner
that prevents
unauthorized access

PR.PT-1: Audit/log
records are determined,
documented,
implemented, and
reviewed in accordance
with policy

PR.PT-2: Removable
media is protected and
its use restricted
according to policy

Protective Technology PR.PT-3: The

(PR.PT): Technical security principle of least
solutions are managed to functionality is
ensure the security and incorporated by
resilience of systems and configuring systems to
assets, consistent with related provide only essential
policies, procedures, and capabilities
agreements.

PR.PT-4:
Communications and
control networks are
protected
 PR.PT-4:
Communications and
control networks are
protected

PR.PT-5: Mechanisms
(e.g., failsafe, load
balancing, hot swap)
are implemented to
achieve resilience
requirements in normal
and adverse situations

DE.AE-1: A baseline
of network operations
and expected data
flows for users and
systems is established
and managed

DE.AE-2: Detected
events are analyzed to
understand attack
targets and methods

Anomalies and Events

(DE.AE): Anomalous
activity is detected and the
potential impact of events is
understood.
DE.AE-3: Event data
are collected and
correlated from
multiple sources and
sensors

DE.AE-4: Impact of
events is determined

DE.AE-5: Incident
alert thresholds are
established

DE.CM-1: The
network is monitored
to detect potential
cybersecurity events
 DE.CM-1: The
network is monitored
to detect potential
cybersecurity events

DE.CM-2: The
physical environment
is monitored to detect
potential cybersecurity
events

DE.CM-3: Personnel
activity is monitored to
detect potential
cybersecurity events

Security Continuous DE.CM-4: Malicious

Monitoring (DE.CM): The code is detected
DETECT information system and
(DE) assets are monitored to
identify cybersecurity events
and verify the effectiveness
of protective measures.
DE.CM-5:
Unauthorized mobile
code is detected

DE.CM-6: External
service provider
activity is monitored to
detect potential
cybersecurity events

DE.CM-7: Monitoring
for unauthorized
personnel, connections,
devices, and software
is performed

DE.CM-8:
Vulnerability scans are
performed

DE.DP-1: Roles and

responsibilities for
detection are well
defined to ensure
accountability
 DE.DP-2: Detection
activities comply with
all applicable
requirements

Detection Processes
(DE.DP): Detection
processes and procedures are DE.DP-3: Detection
maintained and tested to processes are tested
ensure awareness of
anomalous events.

DE.DP-4: Event
detection information
is communicated

DE.DP-5: Detection
processes are
continuously improved

Response Planning
(RS.RP): Response RS.RP-1: Response
processes and procedures are plan is executed during
executed and maintained, to or after an incident
ensure response to detected
cybersecurity incidents.

RS.CO-1: Personnel
know their roles and
order of operations
when a response is
needed

RS.CO-2: Incidents
are reported consistent
with established
criteria
Communications (RS.CO):
Response activities are
coordinated with internal and
external stakeholders (e.g.
external support from law RS.CO-3: Information
enforcement agencies). is shared consistent
with response plans
 Communications (RS.CO):
Response activities are
coordinated with internal and
external stakeholders (e.g.
external support from law RS.CO-3: Information
enforcement agencies). is shared consistent
with response plans

RS.CO-4:
Coordination with
stakeholders occurs
consistent with
response plans
RS.CO-5: Voluntary
information sharing
occurs with external
stakeholders to achieve
broader cybersecurity
situational awareness

RS.AN-1:
Notifications from
detection systems are
investigated 

RESPOND
(RS) RS.AN-2: The impact
of the incident is
understood

Analysis (RS.AN): Analysis

is conducted to ensure
effective response and
support recovery activities.
RS.AN-3: Forensics
are performed

RS.AN-4: Incidents
are categorized
consistent with
response plans
receive, analyze and
respond to
vulnerabilities
disclosed to the
organization from
internal and external
sources (e.g. internal
testing, security

RS.MI-1: Incidents are

contained

Mitigation (RS.MI):
Activities are performed to
 RS.MI-1: Incidents are
contained

Mitigation (RS.MI):
Activities are performed to
prevent expansion of an
event, mitigate its effects, RS.MI-2: Incidents are
and resolve the incident. mitigated

RS.MI-3: Newly
identified
vulnerabilities are
mitigated or
documented as
accepted risks

RS.IM-1: Response
Improvements (RS.IM): plans incorporate
Organizational response lessons learned
activities are improved by
incorporating lessons learned
from current and previous
detection/response activities.
RS.IM-2: Response
strategies are updated

Recovery Planning
(RC.RP): Recovery
RC.RP-1: Recovery
processes and procedures are
plan is executed during
executed and maintained to
or after a cybersecurity
ensure restoration of systems
incident
or assets affected by
cybersecurity incidents.

RC.IM-1: Recovery
plans incorporate
Improvements (RC.IM):
lessons learned
Recovery planning and
processes are improved by
incorporating lessons learned
into future activities. RC.IM-2: Recovery
RECOVER strategies are updated
(RC)

Communications (RC.CO):
Restoration activities are
coordinated with internal and
external parties (e.g.
coordinating centers, Internet
Service Providers, owners of
attacking systems, victims,
other CSIRTs, and vendors).
RC.CO-1: Public
relations are managed
RC.CO-2: Reputation
is repaired after an
incident
RC.CO-3: Recovery
activities are
communicated to
internal and external
 external parties (e.g.
coordinating centers, Internet
Service Providers, owners of
attacking systems, victims,
other CSIRTs, and vendors).
internal and external
stakeholders as well as
executive and
management teams

Referências Informativas
·       CIS CSC 1
·       COBIT 5 BAI09.01, BAI09.02
·       ISA 62443-2-1:2009 4.2.3.4
·       ISA 62443-3-3:2013 SR 7.8
·       ISO/IEC 27001:2013 A.8.1.1, A.8.1.2
·       NIST SP 800-53 Rev. 4 CM-8, PM-5
·       CIS CSC 2
·       COBIT 5 BAI09.01, BAI09.02, BAI09.05
·       ISA 62443-2-1:2009 4.2.3.4
·       ISA 62443-3-3:2013 SR 7.8
·       ISO/IEC 27001:2013 A.8.1.1, A.8.1.2, A.12.5.1
·       NIST SP 800-53 Rev. 4 CM-8, PM-5
·       CIS CSC 12
·       COBIT 5 DSS05.02
·       ISA 62443-2-1:2009 4.2.3.4
·       ISO/IEC 27001:2013 A.13.2.1, A.13.2.2
·       NIST SP 800-53 Rev. 4 AC-4, CA-3, CA-9, PL-8
·       CIS CSC 12
·       COBIT 5 APO02.02, APO10.04, DSS01.02
·       ISO/IEC 27001:2013 A.11.2.6
·       NIST SP 800-53 Rev. 4 AC-20, SA-9
·       CIS CSC 13, 14
·       COBIT 5 APO03.03, APO03.04, APO12.01,
BAI04.02, BAI09.02
·       ISA 62443-2-1:2009 4.2.3.6
·       ISO/IEC 27001:2013 A.8.2.1
·       NIST SP 800-53 Rev. 4 CP-2, RA-2, SA-14, SC-6
·       CIS CSC 17, 19
·       COBIT 5 APO01.02, APO07.06, APO13.01,
DSS06.03
·       ISA 62443-2-1:2009 4.3.2.3.3  incidentes pelo menos anualmente)
·       ISO/IEC 27001:2013 A.6.1.1
·       NIST SP 800-53 Rev. 4 CP-2, PS-7, PM-11
·       COBIT 5 APO08.01, APO08.04, APO08.05,
APO10.03, APO10.04, APO10.05
·       ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3,
A.15.2.1, A.15.2.2
·       NIST SP 800-53 Rev. 4 CP-2, SA-12
·       COBIT 5 APO02.06, APO03.01
·       ISO/IEC 27001:2013 Clause 4.1
Perfil
Atual Evidências
. Ferramentas/aplicações de gestão integrada de
ativos;
• Políticas de inventário de ativos;
• Registos de endereços IP, número de inventário,
dados do equipamento, etc.;
• Associação de nome e contacto do colaborador
responsável pelos ativos;
• Classificação dos ativos quanto à sua criticidade
. Ficheiros isolados de registo dos sistemas com
alguma informação;
• Alguma identificação de responsáveis pelos
sistemas utilizados na organização.
• Registo dos ativos de redes;
• Esquema da rede com identificação das zonas
• Registo do ativo contendo endereço IP,
inventário, tipologia do ativo, responsável,
geolocalização, etc.;
• Política de segurança para ativos em ambientes
externos.
• Registo atualizado da classificação dos ativos;
• Mapa de tipos de controlos de
segurança por níveis de classificação dos ativos;
• Relatório de avaliação dos critérios de
classificação.
As funções e responsabilidades são formalmente
documentadas num plano de resposta a incidentes.
O plano de resposta a incidentes especifica o seu exercício
regular (p. ex., executar simulações e exercicios de resposta a
Ainda mais relevanmte quando do funcionamneto em acesso
remoto,onde é importante o acesso desse controlo remoto,
estipulando-se de como qualquer acesso remoto de terceiros é
gerido, configurado e protegido
• Registo formal de fornecedores por subgrupo da
organização.
• Referência à missão e objetivos da
organização na política de segurança;
• Registos comprovativos da divulgação
da política de segurança pelas partes
 da política de segurança pelas partes
interessadas;
·       NIST SP 800-53 Rev. 4 PM-8 • Relatório da análise SWOT da
•organização.
Contrato ou estatuto de formação da
·       COBIT 5 APO02.01, APO02.06, APO03.01 organização;
• Relação de fornecedores, parceiros e demais
·       ISA 62443-2-1:2009 4.2.2.1, 4.2.3.6 interessados.
• Plano de negócio ou equivalente que indique as
·       NIST SP 800-53 Rev. 4 PM-11, SA-14 estratégias da organização.
·       COBIT 5 APO10.01, BAI04.02, BAI09.02
• Sistema de descoberta automática de ativos;
·       ISO/IEC 27001:2013 A.11.2.2, A.11.2.3, A.12.1.3 • Registo de manutenções preventivas aos
equipamentos de infraestrutura;
• Planeamento da redundância e
·       NIST SP 800-53 Rev. 4 CP-8, PE-9, PE-11, PM-8, estratégias de recuperação e restauro de
SA-14 desastres.

·       COBIT 5 BAI03.02, DSS04.02

• Documentação com os requisitos
·       ISO/IEC 27001:2013 A.11.1.4, A.17.1.1, A.17.1.2, mínimos de infraestrutura para
suportar os serviços críticos;
A.17.2.1 • Fornecedores críticos identificados.
·       NIST SP 800-53 Rev. 4 CP-2, CP-11, SA-13, SA-14

·       CIS CSC 19

·       COBIT 5 APO01.03, APO13.01, EDM01.01,
EDM01.02 • Documento com a política da
informação;
·       ISA 62443-2-1:2009 4.3.2.6 • Comunicação interna para disseminação da
·       ISO/IEC 27001:2013 A.5.1.1 política de informação.
·       NIST SP 800-53 Rev. 4 -1 controls from all security
control families
·       CIS CSC 19
·       COBIT 5 APO01.02, APO10.03, APO13.02,
DSS05.04
·       ISA 62443-2-1:2009 4.3.2.3.3

·       ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.15.1.1

·       NIST SP 800-53 Rev. 4 PS-7, PM-1, PM-2

·       CIS CSC 19

·       COBIT 5 BAI02.01, MEA03.01, MEA03.04

• Secção na política de segurança que
·       ISA 62443-2-1:2009 4.4.3.7 faz referência a leis e regulamentações
pertinentes;
·       ISO/IEC 27001:2013 A.18.1.1, A.18.1.2, A.18.1.3, • Divulgação e consciencialização sobre
A.18.1.4, A.18.1.5 a política de privacidade.
·       NIST SP 800-53 Rev. 4 -1 controls from all security
control families
·       COBIT 5 EDM03.02, APO12.02, APO12.05,
DSS04.02
·       ISA 62443-2-1:2009 4.2.3.1, 4.2.3.3, 4.2.3.8, 4.2.3.9,
4.2.3.11, 4.3.2.4.3, 4.3.2.6.3
·       ISO/IEC 27001:2013 Clause 6
·       NIST SP 800-53 Rev. 4 SA-2, PM-3, PM-7, PM-9,
PM-10, PM-11
·       CIS CSC 4

• Relatórios de pesquisa de
vulnerabilidades;
• Classificação das vulnerabilidades
por “facilidade de exploração” ou
qualquer outro critério definido pela
organização.
·       COBIT 5 APO12.01, APO12.02, APO12.03,
• Relatórios de pesquisa de
APO12.04, DSS05.01, DSS05.02 vulnerabilidades;
• Classificação das vulnerabilidades
·       ISA 62443-2-1:2009 4.2.3, 4.2.3.7, 4.2.3.9, 4.2.3.12 por “facilidade de exploração” ou
qualquer outro critério definido pela
·       ISO/IEC 27001:2013 A.12.6.1, A.18.2.3 organização.
·       NIST SP 800-53 Rev. 4 CA-2, CA-7, CA-8, RA-3,
RA-5, SA-5, SA-11, SI-2, SI-4, SI-5
·       CIS CSC 4
·       COBIT 5 BAI08.01

·       ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 Não são estabelecidos contactos informais com
grupos de interesse.
·       ISO/IEC 27001:2013 A.6.1.4

·       NIST SP 800-53 Rev. 4 SI-5, PM-15, PM-16

·       CIS CSC 4

·       COBIT 5 APO12.01, APO12.02, APO12.03,
APO12.04
• Mapa de ameaças por vulnerabilidade,
por ativo;
·       ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12 • Estratégias de tratamento dos riscos
estabelecidas
·       ISO/IEC 27001:2013 Clause 6.1.2

·       NIST SP 800-53 Rev. 4 RA-3, SI-5, PM-12, PM-16

·       CIS CSC 4

·       COBIT 5 DSS04.02

·       ISA 62443-2-1:2009 4.2.3, 4.2.3.9, 4.2.3.12

·       ISO/IEC 27001:2013 A.16.1.6, Clause 6.1.2

·       NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-14, PM-9,

PM-11
·       CIS CSC 4
·       COBIT 5 APO12.02 • Documento com a metodologia de
·       ISO/IEC 27001:2013 A.12.6.1 gestão do risco.
·       NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16
·       CIS CSC 4 • Formalização em documentação interna de
·       COBIT 5 APO12.05, APO13.02 riscos sobre a metodologia de tratamento de
riscos;
·       ISO/IEC 27001:2013 Clause 6.1.3 • Critérios formais e aceites pela gestão de topo
para definição dos critérios de tratamento dos
·       NIST SP 800-53 Rev. 4 PM-4, PM-9 riscos, conforme a importância dos ativos para a
organização.
·       CIS CSC 4
·       COBIT 5 APO12.04, APO12.05, APO13.02,
BAI02.03, BAI04.02 não estão definidas quaisquer estratégias para a
·       ISA 62443-2-1:2009 4.3.4.2 gestão de risco ou não são consistentes em toda a
organização
·       ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3,
Clause 9.3
·       NIST SP 800-53 Rev. 4 PM-9
·       COBIT 5 APO12.06
·       ISA 62443-2-1:2009 4.3.2.6.5
A tolerância ao risco é decidida
arbitrariamente e/ou de forma ad hoc
 A tolerância ao risco é decidida
·       ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3 arbitrariamente e/ou de forma ad hoc

·       NIST SP 800-53 Rev. 4 PM-9

·       COBIT 5 APO12.02

·       ISO/IEC 27001:2013 Clause 6.1.3, Clause 8.3 • O tratamento dos riscos é feito de forma ad hoc
e não sistematizada.
·       NIST SP 800-53 Rev. 4 SA-14, PM-8, PM-9, PM-11

·       CIS CSC 4

·       COBIT 5 APO10.01, APO10.04, APO12.04,

APO12.05, APO13.02, BAI01.03, BAI02.03, BAI04.02 • A política de gestão de fornecedores indica a
necessidade de tratamento da gestão de riscos nas
·       ISA 62443-2-1:2009 4.3.4.2 atividades da organização, dos seus responsáveis e
uma periodicidade de análise.
·       ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3,
A.15.2.1, A.15.2.2
·       NIST SP 800-53 Rev. 4 SA-9, SA-12, PM-9

·       COBIT 5 APO10.01, APO10.02, APO10.04,

APO10.05, APO12.01, APO12.02, APO12.03, APO12.04,
APO12.05, APO12.06, APO13.02, BAI02.03
• Documento com listagem de fornecedores
·       ISA 62443-2-1:2009 4.2.3.1, 4.2.3.2, 4.2.3.3, 4.2.3.4, envolvidos na cadeia de logística de
4.2.3.6, 4.2.3.8, 4.2.3.9, 4.2.3.10, 4.2.3.12, 4.2.3.13, cibersegurança.
4.2.3.14
·       ISO/IEC 27001:2013 A.15.2.1, A.15.2.2
·       NIST SP 800-53 Rev. 4 RA-2, RA-3, SA-12, SA-14,
SA-15, PM-9
·       COBIT 5 APO10.01, APO10.02, APO10.03,
APO10.04, APO10.05
·       ISA 62443-2-1:2009 4.3.2.6.4, 4.3.2.6.7
• Existem contratos formais com os fornecedores
·       ISO/IEC 27001:2013 A.15.1.1, A.15.1.2, A.15.1.3 relevantes para a cadeia de logística.

·       NIST SP 800-53 Rev. 4 SA-9, SA-11, SA-12, PM-9

·       COBIT 5 APO10.01, APO10.03, APO10.04,

APO10.05, MEA01.01, MEA01.02, MEA01.03,
MEA01.04, MEA01.05
·       ISA 62443-2-1:2009 4.3.2.6.7
·       ISA 62443-3-3:2013 SR 6.1
·       ISO/IEC 27001:2013 A.15.2.1, A.15.2.2
·       NIST SP 800-53 Rev. 4 AU-2, AU-6, AU-12, AU-
16, PS-7, SA-9, SA-12
·       CIS CSC 19, 20
·       COBIT 5 DSS04.04
·       ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11
·       ISA 62443-3-3:2013 SR 2.8, SR 3.3, SR.6.1, SR 7.3,
SR 7.4
·       ISO/IEC 27001:2013 A.17.1.3
·       NIST SP 800-53 Rev. 4 CP-2, CP-4, IR-3, IR-4, IR-
6, IR-8, IR-9
• Referência nas políticas e contratos com
fornecedores, sobre a possibilidade de auditorias
por parte da organização;
• Plano anual de auditoria de segurança
da informação com a cadeia de fornecedores no
âmbito, listados pelo nível de exposição ao risco.
• Identificação de dependências a fornecedores
externos na cadeia crítica da organização;
• Os planos de resposta a incidentes e
recuperação de desastres fazem referência aos
fornecedores.
·       CIS CSC 1, 5, 15, 16
·       COBIT 5 DSS05.04, DSS06.03
·       ISA 62443-2-1:2009 4.3.3.5.1
·       ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4,
SR 1.5, SR 1.7, SR 1.8, SR 1.9
·       ISO/IEC 27001:2013 A.9.2.1, A.9.2.2, A.9.2.3,
A.9.2.4, A.9.2.6, A.9.3.1, A.9.4.2, A.9.4.3
·       NIST SP 800-53 Rev. 4 AC-1, AC-2, IA-1, IA-2,
IA-3, IA-4, IA-5, IA-6, IA-7, IA-8, IA-9, IA-10, IA-11
• Políticas destinadas à gestão das identidades e
dos acessos nos sistemas e acessos em geral;
• Os procedimentos relativos à gestão de acessos
são definidos minimamente para as etapas de
emissão, gestão, verificação e revogação dos
acessos;
• Existe um diretório centralizado, pelo qual as
identidades e os acessos são geridos.

·       COBIT 5 DSS01.04, DSS05.05

·       ISA 62443-2-1:2009 4.3.3.3.2, 4.3.3.3.8
·       ISO/IEC 27001:2013 A.11.1.1, A.11.1.2, A.11.1.3, • Os acessos físicos são associados a um sistema
A.11.1.4, A.11.1.5, A.11.1.6, A.11.2.1, A.11.2.3, A.11.2.5, integrado de identidades e acessos, pelo que as
A.11.2.6, A.11.2.7, A.11.2.8 permissões são geridas de forma centralizada.
·       NIST SP 800-53 Rev. 4 PE-2, PE-3, PE-4, PE-5, PE-
6, PE-8
·       CIS CSC 12

·       COBIT 5 APO13.01, DSS01.04, DSS05.03

·       ISA 62443-2-1:2009 4.3.3.6.6

• Existem soluções de acesso remoto, como por
·       ISA 62443-3-3:2013 SR 1.13, SR 2.6 exemplo VPNs, Citrix e Jumpservers.
·       ISO/IEC 27001:2013 A.6.2.1, A.6.2.2, A.11.2.6,
A.13.1.1, A.13.2.1
·       NIST SP 800-53 Rev. 4 AC-1, AC-17, AC-19, AC-
20, SC-15
·       CIS CSC 3, 5, 12, 14, 15, 16, 18
·       COBIT 5 DSS05.04
·       ISA 62443-2-1:2009 4.3.3.7.3 • Registos de pedidos de acesso por perfil
·       ISA 62443-3-3:2013 SR 2.1 funcional;
• Registos de pedidos e aprovações apropriadas
·       ISO/IEC 27001:2013 A.6.1.2, A.9.1.2, A.9.2.3, para acessos privilegiados
A.9.4.1, A.9.4.4, A.9.4.5
·       NIST SP 800-53 Rev. 4 AC-1, AC-2, AC-3, AC-5,
AC-6, AC-14, AC-16, AC-24
·       CIS CSC 9, 14, 15, 18
·       COBIT 5 DSS01.05, DSS05.02
·       ISA 62443-2-1:2009 4.3.3.4 • Existem routers, firewalls e demais tecnologias
de redes de comunicações, que possibilitam a
·       ISA 62443-3-3:2013 SR 3.1, SR 3.8 segmentação da rede;
·       ISO/IEC 27001:2013 A.13.1.1, A.13.1.3, A.13.2.1, • Impossibilidade de aceder a qualquer sistema a
A.14.1.2, A.14.1.3 partir de qualquer zona.

·       NIST SP 800-53 Rev. 4 AC-4, AC-10, SC-7

·       CIS CSC, 16

·       COBIT 5 DSS05.04, DSS05.05, DSS05.07,
DSS06.03
·       ISA 62443-2-1:2009 4.3.3.2.2, 4.3.3.5.2, 4.3.3.7.2,
4.3.3.7.4 • Documentos com a política e procedimentos que
·       ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.4, SR 1.5, suportam o processo de gestão de identidades e
SR 1.9, SR 2.1 acessos.
 • Documentos com a política e procedimentos que
suportam o processo de gestão de identidades e
acessos.
·       ISO/IEC 27001:2013, A.7.1.1, A.9.2.1

·       NIST SP 800-53 Rev. 4 AC-1, AC-2, AC-3, AC-16,

AC-19, AC-24, IA-1, IA-2, IA-4, IA-5, IA-8, PE-2, PS-3

·       CIS CSC 1, 12, 15, 16

·       COBIT 5 DSS05.04, DSS05.10, DSS06.10

·       ISA 62443-2-1:2009 4.3.3.6.1, 4.3.3.6.2, 4.3.3.6.3,

4.3.3.6.4, 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8, 4.3.3.6.9 • Os acessos são concedidos conforme o registo
em sistema de autenticação transversal aos
·       ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.5, SR 1.7, sistemas;
SR 1.8, SR 1.9, SR 1.10 • Os acessos são autenticados consoante a
identificação e autorização independente de
·       ISO/IEC 27001:2013 A.9.2.1, A.9.2.4, A.9.3.1, utilizadores e dispositivos.
A.9.4.2, A.9.4.3, A.18.1.4
·       NIST SP 800-53 Rev. 4 AC-7, AC-8, AC-9, AC-11,
AC-12, AC-14, IA-1, IA-2, IA-3, IA-4, IA-5, IA-8, IA-9,
IA-10, IA-11
·       CIS CSC 17, 18
• Observação do comportamento dos
·       COBIT 5 APO07.03, BAI05.07 colaboradores perante a temática da segurança da
·       ISA 62443-2-1:2009 4.3.2.4.2 informação;
• Registos de sessões de formação e
·       ISO/IEC 27001:2013 A.7.2.2, A.12.2.1 consciencialização dos colaboradores sobre o
·       NIST SP 800-53 Rev. 4 AT-2, PM-13 tema.

·       CIS CSC 5, 17, 18

·       COBIT 5 APO07.02, DSS05.04, DSS06.03
·       ISA 62443-2-1:2009 4.3.2.4.2, 4.3.2.4.3
·       ISO/IEC 27001:2013 A.6.1.1, A.7.2.2
·       NIST SP 800-53 Rev. 4 AT-3, PM-13
• Plano de formação específico para os
utilizadores com acessos privilegiados;
• Conteúdo programático da formação específica
para utilizadores com acessos privilegiados;
• Registo das presenças de utilizadores com
acessos privilegiados em ações de formação;
• Registo do termo de responsabilização sobre a
utilização de si

·       CIS CSC 17

·       COBIT 5 APO07.03, APO07.06, APO10.04,
APO10.05
·       ISA 62443-2-1:2009 4.3.2.4.2
·       ISO/IEC 27001:2013 A.6.1.1, A.7.2.1, A.7.2.2
• Registo de formação para os agentes externos;
• Material de divulgação dos requisitos de
segurança a serem seguidos (p. ex. folhetos,
termos em contratos, etc.).

·       NIST SP 800-53 Rev. 4 PS-7, SA-9, SA-16

·       CIS CSC 17, 19
• Matriz “RASCI” (Responsible, Accountable,
·       COBIT 5 EDM01.01, APO01.02, APO07.03 Supports, Consulted e Informed) – da segurança da
informação, onde se inclua a gestão de topo;
·       ISA 62443-2-1:2009 4.3.2.4.2 • Registo de papéis e responsabilidades dos
membros da gestão de topo no tema da segurança
·       ISO/IEC 27001:2013 A.6.1.1, A.7.2.2 da informação.
·       NIST SP 800-53 Rev. 4 AT-3, PM-13
·       CIS CSC 17
·       COBIT 5 APO07.03
·       ISA 62443-2-1:2009 4.3.2.4.2
·       ISO/IEC 27001:2013 A.6.1.1, A.7.2.2

·       NIST SP 800-53 Rev. 4 AT-3, IR-2, PM-13

·       CIS CSC 13, 14
·       COBIT 5 APO01.06, BAI02.01, BAI06.01,
DSS04.07, DSS05.03, DSS06.06
·       ISA 62443-3-3:2013 SR 3.4, SR 4.1
·       ISO/IEC 27001:2013 A.8.2.3
• Políticas de cifras;
• Evidências de regras para a salvaguarda de
ficheiros, consoante o nível de segurança
necessário.

·       NIST SP 800-53 Rev. 4 MP-8, SC-12, SC-28

·       CIS CSC 13, 14

·       COBIT 5 APO01.06, DSS05.02, DSS06.06

·       ISA 62443-3-3:2013 SR 3.1, SR 3.8, SR 4.1, SR 4.2
·       ISO/IEC 27001:2013 A.8.2.3, A.13.1.1, A.13.2.1,
A.13.2.3, A.14.1.2, A.14.1.3
• Evidências de que existe uma perceção de risco
sobre alguns tipos de dados mais críticos ao
negócio;
• Utilização da criptografia em casos comuns (p.
ex. sítios de internet, formulários de páginas de
internet, bancos de dados, etc.).

·       NIST SP 800-53 Rev. 4 SC-8, SC-11, SC-12

·       CIS CSC 1

·       COBIT 5 BAI09.03
·       ISA 62443-2-1:2009 4.3.3.3.9, 4.3.4.4.1 • Utilização de software de cifra para
componentes amovíveis de forma não
·       ISA 62443-3-3:2013 SR 4.2 padronizada (por exemplo, departamentos
·       ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2, diferentes usam ferramentas diferentes).
A.8.3.3, A.11.2.5, A.11.2.7
·       NIST SP 800-53 Rev. 4 CM-8, MP-6, PE-16
·       CIS CSC 1, 2, 13
• Procedimentos e documentos de suporte à
·       COBIT 5 APO13.01, BAI04.04 gestão de capacidades;
·       ISA 62443-3-3:2013 SR 7.1, SR 7.2 • Sistemas de monitorização das capacidades
primárias (armazenamento, memória e
·       ISO/IEC 27001:2013 A.12.1.3, A.17.2.1 processamento e conectividade).
·       NIST SP 800-53 Rev. 4 AU-4, CP-2, SC-5
·       CIS CSC 13
·       COBIT 5 APO01.06, DSS05.04, DSS05.07,
DSS06.02
·       ISA 62443-3-3:2013 SR 5.2

·       ISO/IEC 27001:2013 A.6.1.2, A.7.1.1, A.7.1.2, • Classificação de informação em sistemas de

A.7.3.1, A.8.2.2, A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.3, mensagens e troca de emails;
A.9.4.1, A.9.4.4, A.9.4.5, A.10.1.1, A.11.1.4, A.11.1.5, • Bloqueios preventivos a sistemas não
A.11.2.1, A.13.1.1, A.13.1.3, A.13.2.1, A.13.2.3, A.13.2.4, autorizados de partilha de ficheiros
A.14.1.2, A.14.1.3

·       NIST SP 800-53 Rev. 4 AC-4, AC-5, AC-6, PE-19,

PS-3, PS-6, SC-7, SC-8, SC-13, SC-31, SI-4

·       CIS CSC 2, 3

·       COBIT 5 APO01.06, BAI06.01, DSS06.02
·       ISA 62443-3-3:2013 SR 3.1, SR 3.3, SR 3.4, SR 3.8
·       ISO/IEC 27001:2013 A.12.2.1, A.12.5.1, A.14.1.2,
A.14.1.3, A.14.2.4
·       NIST SP 800-53 Rev. 4 SC-16, SI-7
·       CIS CSC 18, 20
• Documentos de suporte a processos/
procedimentos de verificação da integridade;
• Resultados dos testes estáticos, dinâmicos e
interativos de segurança dos sistemas e
infraestrutura.
• Registo de alguns sistemas com ambientes de
desenvolvimento segregados dos ambientes de
produção.
·       COBIT 5 BAI03.08, BAI07.04 • Registo de alguns sistemas com ambientes de
desenvolvimento segregados dos ambientes de
·       ISO/IEC 27001:2013 A.12.1.4 produção.
·       NIST SP 800-53 Rev. 4 CM-2
·       COBIT 5 BAI03.05
·       ISA 62443-2-1:2009 4.3.4.4.4 A integridade do hardware é verificada de forma
·       ISO/IEC 27001:2013 A.11.2.4 manual e não sistematizada
·       NIST SP 800-53 Rev. 4 SA-10, SI-7
·       CIS CSC 3, 9, 11
·       COBIT 5 BAI10.01, BAI10.02, BAI10.03,
BAI10.05 • Criar políticas que definam as configurações
·       ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3 base;
• Estabelecer procedimentos de configurações
·       ISA 62443-3-3:2013 SR 7.6 dos equipamentos conforme requisitos base;
·       ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2, • Registo da especificação de configurações base
A.14.2.2, A.14.2.3, A.14.2.4 para as tecnologias utilizadas.
·       NIST SP 800-53 Rev. 4 CM-2, CM-3, CM-4, CM-5,
CM-6, CM-7, CM-9, SA-10
·       CIS CSC 18
·       COBIT 5 APO13.01, BAI03.01, BAI03.02,
BAI03.03
·       ISA 62443-2-1:2009 4.3.4.3.3
• Conjunto rudimentar de medidas de segurança a
·       ISO/IEC 27001:2013 A.6.1.5, A.14.1.1, A.14.2.1, aplicar para projetos de desenvolvimento.
A.14.2.5
·       NIST SP 800-53 Rev. 4 PL-8, SA-3, SA-4, SA-8,
SA-10, SA-11, SA-12, SA-15, SA-17, SI-12, SI-13, SI-14,
SI-16, SI-17
·       CIS CSC 3, 11
·       COBIT 5 BAI01.06, BAI06.01
·       ISA 62443-2-1:2009 4.3.4.3.2, 4.3.4.3.3
·       ISA 62443-3-3:2013 SR 7.6 • Apenas Evidências ad hoc de alterações
passadas
·       ISO/IEC 27001:2013 A.12.1.2, A.12.5.1, A.12.6.2,
A.14.2.2, A.14.2.3, A.14.2.4

·       NIST SP 800-53 Rev. 4 CM-3, CM-4, SA-10

·       CIS CSC 10

·       COBIT 5 APO13.01, DSS01.01, DSS04.07

·       ISA 62443-2-1:2009 4.3.4.3.9 • Algumas evidências da cópia de segurança de

·       ISA 62443-3-3:2013 SR 7.3, SR 7.4 sistemas e ficheiros importantes
·       ISO/IEC 27001:2013 A.12.3.1, A.17.1.2, A.17.1.3,
A.18.1.3
·       NIST SP 800-53 Rev. 4 CP-4, CP-6, CP-9
·       COBIT 5 DSS01.04, DSS05.05
·       ISA 62443-2-1:2009 4.3.3.3.1 4.3.3.3.2, 4.3.3.3.3,
4.3.3.3.5, 4.3.3.3.6 • Existência de sistemas de gestão automática do
fornecimento de eletricidade;
·       ISO/IEC 27001:2013 A.11.1.4, A.11.2.1, A.11.2.2, • Utilização de fontes alternativas de eletricidade
A.11.2.3 (ex.: geradores);
• Registo de testes do plano de continuidade,
·       NIST SP 800-53 Rev. 4 PE-10, PE-12, PE-13, PE- considerando controlos físicos
14, PE-15, PE-18
·       COBIT 5 BAI09.03, DSS05.06
·       ISA 62443-2-1:2009 4.3.4.4.4 • Destruidor de papel;
·       ISA 62443-3-3:2013 SR 4.2 • Procedimentos e políticas que tratem da
·       ISO/IEC 27001:2013 A.8.2.3, A.8.3.1, A.8.3.2, higienização de ficheiros;
• Sistemas de higienização de ficheiros.
A.11.2.7
·       NIST SP 800-53 Rev. 4 MP-6

·       COBIT 5 APO11.06, APO12.06, DSS04.05

·       ISA 62443-2-1:2009 4.4.3.1, 4.4.3.2, 4.4.3.3, 4.4.3.4,
4.4.3.5, 4.4.3.6, 4.4.3.7, 4.4.3.8
·       ISO/IEC 27001:2013 A.16.1.6, Clause 9, Clause 10
·       NIST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR-8,
PL-2, PM-6
·       COBIT 5 BAI08.04, DSS03.04
·       ISO/IEC 27001:2013 A.16.1.6
·       NIST SP 800-53 Rev. 4 AC-21, CA-7, SI-4
• Registos de atualizações dos procedimentos e
controlos;
• Planeamento de auditoria interna;
• Registo de auditorias internas, realizadas no
âmbito da segurança da informação;
• Planos de ação para tratamento de resultados de
auditoria
• Registo de lições aprendidas com eventos de
segurança;
• Registo de revisões e/ou auditorias nos
processos de tratamento de incidentes

·       CIS CSC 19

·       COBIT 5 APO12.06, DSS04.03
·       ISA 62443-2-1:2009 4.3.2.5.3, 4.3.4.5.1 • Registo de revisão dos planos de continuidade
de negócio;
·       ISO/IEC 27001:2013 A.16.1.1, A.17.1.1, A.17.1.2, • Registo de ações para o tratamento de
A.17.1.3 incidentes.
·       NIST SP 800-53 Rev. 4 CP-2, CP-7, CP-12, CP-13,
IR-7, IR-8, IR-9, PE-17
·       CIS CSC 19, 20
·       COBIT 5 DSS04.04
·       ISA 62443-2-1:2009 4.3.2.5.7, 4.3.4.5.11 • Registo de exercícios sistematizado (ex.:
·       ISA 62443-3-3:2013 SR 3.3 restauro de ambientes, “exercicios table
top”, etc.).
·       ISO/IEC 27001:2013 A.17.1.3

·       NIST SP 800-53 Rev. 4 CP-4, IR-3, PM-14

·       CIS CSC 5, 16

·       COBIT 5 APO07.01, APO07.02, APO07.03,
APO07.04, APO07.05

·       ISA 62443-2-1:2009 4.3.3.2.1, 4.3.3.2.2, 4.3.3.2.3 • Existem procedimentos e políticas de

contratação, mobilidade e cessação de funções de
colaboradores.
·       ISO/IEC 27001:2013 A.7.1.1, A.7.1.2, A.7.2.1,
A.7.2.2, A.7.2.3, A.7.3.1, A.8.1.4
·       NIST SP 800-53 Rev. 4 PS-1, PS-2, PS-3, PS-4, PS-
5, PS-6, PS-7, PS-8, SA-21
·       CIS CSC 4, 18, 20
·       COBIT 5 BAI03.10, DSS05.01, DSS05.02 • Plano de avaliação das vulnerabilidades;
·       ISO/IEC 27001:2013 A.12.6.1, A.14.2.3, A.16.1.3, • Relatório de ferramentas automáticas de
A.18.2.2, A.18.2.3 pesquisa de vulnerabilidades.
·       NIST SP 800-53 Rev. 4 RA-3, RA-5, SI-2
·       COBIT 5 BAI03.10, BAI09.02, BAI09.03,
DSS01.05
·       ISA 62443-2-1:2009 4.3.3.3.7
Há registos ocasionais de manutenções
efetuadas.
 Há registos ocasionais de manutenções
·       ISO/IEC 27001:2013 A.11.1.2, A.11.2.4, A.11.2.5, efetuadas.
A.11.2.6

·       NIST SP 800-53 Rev. 4 MA-2, MA-3, MA-5, MA-6

·       CIS CSC 3, 5

·       COBIT 5 DSS05.04
·       ISA 62443-2-1:2009 4.3.3.6.5, 4.3.3.6.6, 4.3.3.6.7,
4.3.3.6.8
·       ISO/IEC 27001:2013 A.11.2.4, A.15.1.1, A.15.2.1
• Registo dos fluxos de avaliação e aprovação das
manutenções remotas, conforme procedimentos
definidos;
• Infraestrutura de conexão e autenticação forte
com agentes externos para as manutenções.

·       NIST SP 800-53 Rev. 4 MA-4

·       CIS CSC 1, 3, 5, 6, 14, 15, 16
·       COBIT 5 APO11.04, BAI03.05, DSS05.04,
DSS05.07, MEA02.01
·       ISA 62443-2-1:2009 4.3.3.3.9, 4.3.3.5.8, 4.3.4.4.7,
4.4.2.1, 4.4.2.2, 4.4.2.4 Existência ocasional de registos de
·       ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR auditoria.
2.11, SR 2.12
·       ISO/IEC 27001:2013 A.12.4.1, A.12.4.2, A.12.4.3,
A.12.4.4, A.12.7.1
·       NIST SP 800-53 Rev. 4 AU Family
·       CIS CSC 8, 13

·       COBIT 5 APO13.01, DSS05.02, DSS05.06

·       ISA 62443-3-3:2013 SR 2.3 • Bitlocker ativo em discos amovíveis;

• Políticas de domínio aplicadas para restrição de
·       ISO/IEC 27001:2013 A.8.2.1, A.8.2.2, A.8.2.3, acesso a discos amovíveis.
A.8.3.1, A.8.3.3, A.11.2.9
·       NIST SP 800-53 Rev. 4 MP-2, MP-3, MP-4, MP-5,
MP-7, MP-8
·       CIS CSC 3, 11, 14
·       COBIT 5 DSS05.02, DSS05.05, DSS06.06

·       ISA 62443-2-1:2009 4.3.3.5.1, 4.3.3.5.2, 4.3.3.5.3,

4.3.3.5.4, 4.3.3.5.5, 4.3.3.5.6, 4.3.3.5.7, 4.3.3.5.8,
4.3.3.6.1, 4.3.3.6.2, 4.3.3.6.3, 4.3.3.6.4, 4.3.3.6.5,
4.3.3.6.6, 4.3.3.6.7, 4.3.3.6.8, 4.3.3.6.9, 4.3.3.7.1, • Registos ocasionais e isolados de sistemas
4.3.3.7.2, 4.3.3.7.3, 4.3.3.7.4 configurados apenas com as funcionalidades
mínimas necessárias
·       ISA 62443-3-3:2013 SR 1.1, SR 1.2, SR 1.3, SR 1.4,
SR 1.5, SR 1.6, SR 1.7, SR 1.8, SR 1.9, SR 1.10, SR 1.11,
SR 1.12, SR 1.13, SR 2.1, SR 2.2, SR 2.3, SR 2.4, SR 2.5,
SR 2.6, SR 2.7
·       ISO/IEC 27001:2013 A.9.1.2
·       NIST SP 800-53 Rev. 4 AC-3, CM-7
·       CIS CSC 8, 12, 15
·       COBIT 5 DSS05.02, APO13.01

·       ISA 62443-3-3:2013 SR 3.1, SR 3.5, SR 3.8, SR 4.1,
SR 4.3, SR 5.1, SR 5.2, SR 5.3, SR 7.1, SR 7.6
·       ISO/IEC 27001:2013 A.13.1.1, A.13.2.1, A.14.1.3
• Diagrama de redes a indicar a segmentação por
zonas;
• Utilização de IDS/IPS, firewalls, proxies, WAFs
(firewall de aplicações web),e outras soluções
tecnológicas para filtro e bloqueio de dados em
transmissão.
 • Diagrama de redes a indicar a segmentação por
zonas;
• Utilização de IDS/IPS, firewalls, proxies, WAFs
(firewall de aplicações web),e outras soluções
tecnológicas para filtro e bloqueio de dados em
transmissão.
·       NIST SP 800-53 Rev. 4 AC-4, AC-17, AC-18, CP-8,
SC-7, SC-19, SC-20, SC-21, SC-22, SC-23, SC-24, SC-
25, SC-29, SC-32, SC-36, SC-37, SC-38, SC-39, SC-40,
SC-41, SC-43
·       COBIT 5 BAI04.01, BAI04.02, BAI04.03,
BAI04.04, BAI04.05, DSS01.05
·       ISA 62443-2-1:2009 4.3.2.5.2
• Redundância dos sistemas críticos;
·       ISA 62443-3-3:2013 SR 7.1, SR 7.2 • Adoção de soluções de balanceamento de carga
·       ISO/IEC 27001:2013 A.17.1.2, A.17.2.1
·       NIST SP 800-53 Rev. 4 CP-7, CP-8, CP-11, CP-13,
PL-8, SA-14, SC-6
·       CIS CSC 1, 4, 6, 12, 13, 15, 16
·       COBIT 5 DSS03.01 • Utilização de tecnologias de filtro e deteção de
·       ISA 62443-2-1:2009 4.4.3.3 requisições anómalas (ex.: firewall, proxy, IDS/IPS);
• Registo de formação/consciencialização dos
·       ISO/IEC 27001:2013 A.12.1.1, A.12.1.2, A.13.1.1, colaboradores no tema de deteção de anomalias e
A.13.1.2 eventos de segurança;
• Registo de padrões e procedimentos padrão
para modelos de referências internas
·       NIST SP 800-53 Rev. 4 AC-4, CA-3, CM-2, SI-4

·       CIS CSC 3, 6, 13, 15

·       COBIT 5 DSS05.07

·       ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8
·       ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR
2.11, SR 2.12, SR 3.9, SR 6.1, SR 6.2
·       ISO/IEC 27001:2013 A.12.4.1, A.16.1.1, A.16.1.4
• Registo de incidentes de segurança, originados
pela deteção e monitorização de eventos;
• Registo de incidentes de segurança, de forma
suficiente à sua análise e tratamento;
• Registo de incidentes a informar as partes
interessadas relevantes.

·       NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, SI-4

·       CIS CSC 1, 3, 4, 5, 6, 7, 8, 11, 12, 13, 14, 15, 16

·       COBIT 5 BAI08.02

• Registo de eventos coletados a partir de um
·       ISA 62443-3-3:2013 SR 6.1 sistema central.
·       ISO/IEC 27001:2013 A.12.4.1, A.16.1.7
·       NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5, IR-
8, SI-4
·       CIS CSC 4, 6
·       COBIT 5 APO12.06, DSS03.01 • Documentos de apoio ao processo de gestão de
eventos;
·       ISO/IEC 27001:2013 A.16.1.4 • Metodologias de avaliação do impacto de um
evento
·       NIST SP 800-53 Rev. 4 CP-2, IR-4, RA-3, SI-4

·       CIS CSC 6, 19

·       COBIT 5 APO12.06, DSS03.01 • Registos ocasionais de incidentes de segurança,
·       ISA 62443-2-1:2009 4.2.3.10 sem consistência no número de eventos
necessários à constituição formal de incidente.
·       ISO/IEC 27001:2013 A.16.1.4
·       NIST SP 800-53 Rev. 4 IR-4, IR-5, IR-8
·       CIS CSC 1, 7, 8, 12, 13, 15, 16
·       COBIT 5 DSS01.03, DSS03.05, DSS05.07
• Implementação de sistemas de monitorização e
·       ISA 62443-3-3:2013 SR 6.2 proteção da rede (ex.: WAF, IDS/IPS, etc.).

·       NIST SP 800-53 Rev. 4 AC-2, AU-12, CA-7, CM-3,
SC-5, SC-7, SI-4
·       COBIT 5 DSS01.04, DSS01.05
·       ISA 62443-2-1:2009 4.3.3.3.8
·       ISO/IEC 27001:2013 A.11.1.1, A.11.1.2
·       NIST SP 800-53 Rev. 4 CA-7, PE-3, PE-6, PE-20
·       CIS CSC 5, 7, 14, 16
·       COBIT 5 DSS05.07
·       ISA 62443-3-3:2013 SR 6.2
·       ISO/IEC 27001:2013 A.12.4.1, A.12.4.3
·       NIST SP 800-53 Rev. 4 AC-2, AU-12, AU-13, CA-
7, CM-10, CM-11
·       CIS CSC 4, 7, 8, 12
·       COBIT 5 DSS05.01
·       ISA 62443-2-1:2009 4.3.4.3.8
·       ISA 62443-3-3:2013 SR 3.2
·       ISO/IEC 27001:2013 A.12.2.1
·       NIST SP 800-53 Rev. 4 SI-3, SI-8
·       CIS CSC 7, 8
·       COBIT 5 DSS05.01
·       ISA 62443-3-3:2013 SR 2.4
·       ISO/IEC 27001:2013 A.12.5.1, A.12.6.2
·       NIST SP 800-53 Rev. 4 SC-18, SI-4, SC-44
·       COBIT 5 APO07.06, APO10.05
·       ISO/IEC 27001:2013 A.14.2.7, A.15.2.1
·       NIST SP 800-53 Rev. 4 CA-7, PS-7, SA-4, SA-9,
SI-4
·       CIS CSC 1, 2, 3, 5, 9, 12, 13, 15, 16
·       COBIT 5 DSS05.02, DSS05.05
·       ISO/IEC 27001:2013 A.12.4.1, A.14.2.7, A.15.2.1
·       NIST SP 800-53 Rev. 4 AU-12, CA-7, CM-3, CM-8,
PE-3, PE-6, PE-20, SI-4
·       CIS CSC 4, 20
·       COBIT 5 BAI03.10, DSS05.01
·       ISA 62443-2-1:2009 4.2.3.1, 4.2.3.7
·       ISO/IEC 27001:2013 A.12.6.1
·       NIST SP 800-53 Rev. 4 RA-5
·       CIS CSC 19
·       COBIT 5 APO01.02, DSS05.01, DSS06.03
·       ISA 62443-2-1:2009 4.4.3.1
·       ISO/IEC 27001:2013 A.6.1.1, A.7.2.2
·       NIST SP 800-53 Rev. 4 CA-2, CA-7, PM-14
• Implementação de sistemas de monitorização e
proteção da rede (ex.: WAF, IDS/IPS, etc.).
• Suporte da gestão de acessos para segurança
física;
• Instalação de sistemas de CCTV;
• Suporte de sistemas de monitorização para
alarmísticas.
• Suporte dos registos de eventos que identificam
o responsável;
• Formalizar padrões e métricas que sirvam de
referencial para a monitorização das atividades dos
colaboradores;
• Sistema central de armazenamento e gestão de
eventos.
• Implementar ferramentas de antivírus nas
estações de trabalho e servidores.
• Estabelecimento de whitelists e/ou blacklists de
aplicações e sistemas;
• Termo de responsabilidade dos utilizadores
sobre a utilização dos equipamentos.
• Registos ocasionais de incidentes de segurança,
com origem em atividades suspeitas, por
prestadores de serviços externos, detetadas
manualmente.
• Implementação de sistemas de deteção e
prevenção de intrusões;
• Registos de eventos de acesso aos servidores e
sistemas.
• Estabelecer um plano de análise de
vulnerabilidades;
• Implementar uma ferramenta de análise de
vulnerabilidades;
• Registos de suporte à análise e avaliação das
vulnerabilidades.
• Documentação de suporte ao estabelecimento
de responsabilidades (ex.: RASCI, definições de
perfis funcionais, etc.);
• Acordos de prestação de serviços que
apresentam termos sobre a responsabilização na
deteção de eventos anómalos.
·       COBIT 5 DSS06.01, MEA03.03, MEA03.04

·       ISA 62443-2-1:2009 4.4.3.2 • Relatórios ou indicadores de utilização de

sistema de correlação de eventos;
·       ISO/IEC 27001:2013 A.18.1.4, A.18.2.2, A.18.2.3 • Matriz RASCI dos envolvidos nas atividades de
deteção.
·       NIST SP 800-53 Rev. 4 AC-25, CA-2, CA-7, SA-18,
SI-4, PM-14
·       COBIT 5 APO13.02, DSS05.02
·       ISA 62443-2-1:2009 4.4.3.2
·       ISA 62443-3-3:2013 SR 3.3 • Registos ocasionais de testes aos serviços de
·       ISO/IEC 27001:2013 A.14.2.8 deteção
·       NIST SP 800-53 Rev. 4 CA-2, CA-7, PE-3, SI-3, SI-
4, PM-14
·       CIS CSC 19

·       COBIT 5 APO08.04, APO12.06, DSS02.05

·       ISA 62443-2-1:2009 4.3.4.5.9 • Documentos de suporte à gestão de incidentes;

• Registo de eventos detetados que resultam em
·       ISA 62443-3-3:2013 SR 6.1 incidentes.
·       ISO/IEC 27001:2013 A.16.1.2, A.16.1.3
·       NIST SP 800-53 Rev. 4 AU-6, CA-2, CA-7, RA-5,
SI-4

·       COBIT 5 APO11.06, APO12.06, DSS04.05

·       ISA 62443-2-1:2009 4.4.3.4 • Resultados da avaliação dos processos de

·       ISO/IEC 27001:2013 A.16.1.6 deteção quanto à eficiência.
·       NIST SP 800-53 Rev. 4, CA-2, CA-7, PL-2, RA-5,
SI-4, PM-14
·       CIS CSC 19
·       COBIT 5 APO12.06, BAI01.10
·       ISA 62443-2-1:2009 4.3.4.5.1 • Há registos de execução de atividades
·       ISO/IEC 27001:2013 A.16.1.5 relacionadas com resposta a incidentes.

·       NIST SP 800-53 Rev. 4 CP-2, CP-10, IR-4, IR-8

·       CIS CSC 19

·       COBIT 5 EDM03.02, APO01.02, APO12.03

·       ISA 62443-2-1:2009 4.3.4.5.2, 4.3.4.5.3, 4.3.4.5.4 • Há conhecimento informal evidenciado (p. ex.
por realização de entrevistas aos colaboradores)
·       ISO/IEC 27001:2013 A.6.1.1, A.7.2.2, A.16.1.1

·       NIST SP 800-53 Rev. 4 CP-2, CP-3, IR-3, IR-8

·       CIS CSC 19

·       COBIT 5 DSS01.03
• Há conhecimento informal evidenciado (p. ex.
·       ISA 62443-2-1:2009 4.3.4.5.5 por realização de entrevistas aos colaboradores)
·       ISO/IEC 27001:2013 A.6.1.3, A.16.1.2
·       NIST SP 800-53 Rev. 4 AU-6, IR-6, IR-8
·       CIS CSC 19
·       COBIT 5 DSS03.04
• Plano de comunicação de incidentes;
• Registos de formação en consciencialização
sobre a partilha de informação no plano de
resposta a incidentes.
·       ISA 62443-2-1:2009 4.3.4.5.2
·       ISO/IEC 27001:2013 A.16.1.2, Clause 7.4, Clause
16.1.2
·       NIST SP 800-53 Rev. 4 CA-2, CA-7, CP-2, IR-4,
IR-8, PE-6, RA-5, SI-4
·       CIS CSC 19
·       COBIT 5 DSS03.04
·       ISA 62443-2-1:2009 4.3.4.5.5
·       ISO/IEC 27001:2013 Clause 7.4
·       NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
·       CIS CSC 19
·       COBIT 5 BAI08.04
·       ISO/IEC 27001:2013 A.6.1.4
·       NIST SP 800-53 Rev. 4 SI-5, PM-15
·       CIS CSC 4, 6, 8, 19
·       COBIT 5 DSS02.04, DSS02.07
·       ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8
·       ISA 62443-3-3:2013 SR 6.1
·       ISO/IEC 27001:2013 A.12.4.1, A.12.4.3, A.16.1.5
·       NIST SP 800-53 Rev. 4 AU-6, CA-7, IR-4, IR-5,
PE-6, SI-4
·       COBIT 5 DSS02.02
·       ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.7, 4.3.4.5.8
·       ISO/IEC 27001:2013 A.16.1.4, A.16.1.6
·       NIST SP 800-53 Rev. 4 CP-2, IR-4
·       COBIT 5 APO12.06, DSS03.02, DSS05.07
·       ISA 62443-3-3:2013 SR 2.8, SR 2.9, SR 2.10, SR
2.11, SR 2.12, SR 3.9, SR 6.1
·       ISO/IEC 27001:2013 A.16.1.7
·       NIST SP 800-53 Rev. 4 AU-7, IR-4
·       CIS CSC 19
·       COBIT 5 DSS02.02
·       ISA 62443-2-1:2009 4.3.4.5.6
·       ISO/IEC 27001:2013 A.16.1.4
·       NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-5, IR-8
·       CIS CSC 4, 19
·       COBIT 5 EDM03.02, DSS05.07
·       NIST SP 800-53 Rev. 4 SI-5, PM-15
·       CIS CSC 19
·       COBIT 5 APO12.06
·       ISA 62443-2-1:2009 4.3.4.5.6
• Plano de comunicação de incidentes;
• Registos de formação en consciencialização
sobre a partilha de informação no plano de
resposta a incidentes.
• Registo da definição de responsabilidades no
âmbito da resposta a incidentes;
• Análise e avaliação dos registos de comunicação
quanto aos critérios estabelecidos.
• Registo atualizado de parceiros, fornecedores e
demais partes externas relevantes.
• Há registos das orientações para a ativação da
gestão de incidentes;
• Há registos de notificações elevadas a
incidentes.
• Registos da avaliação de riscos de incidentes;
• Documentação de apoio ao processo de gestão
e correlação de eventos;
• Métricas relativas a tempos de resposta,
resolução, níveis de alertas e prioridades de
incidentes
• Adoção de software de captura de dados para
fins forenses;
• Sistema de integração da coleta de dados
forenses com a gestão e correlação de eventos.
• Documentação de apoio na taxonomia de
categorização de incidentes;
• Inclusão da categorização de incidentes nos
planos de resposta.
• Documentos de suporte aos procedimentos de
análise e avaliação de vulnerabilidades;
• Registos do controlo e acompanhamento das
análises das vulnerabilidades identificadas
• Registos de investigação e análises forenses
sobre as causas dos incidentes;
• Indicação de melhorias para a mitigação dos
incidentes conhecidos.

·       ISA 62443-3-3:2013 SR 5.1, SR 5.2, SR 5.4
·       ISO/IEC 27001:2013 A.12.2.1, A.16.1.5
·       NIST SP 800-53 Rev. 4 IR-4
·       CIS CSC 4, 19
·       COBIT 5 APO12.06
·       ISA 62443-2-1:2009 4.3.4.5.6, 4.3.4.5.10
·       ISO/IEC 27001:2013 A.12.2.1, A.16.1.5
·       NIST SP 800-53 Rev. 4 IR-4
·       CIS CSC 4
·       COBIT 5 APO12.06
·       ISO/IEC 27001:2013 A.12.6.1
·       NIST SP 800-53 Rev. 4 CA-7, RA-3, RA-5
·       COBIT 5 BAI01.13
·       ISA 62443-2-1:2009 4.3.4.5.10, 4.4.3.4
·       ISO/IEC 27001:2013 A.16.1.6, Clause 10
·       NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
·       COBIT 5 BAI01.13, DSS04.08
·       ISO/IEC 27001:2013 A.16.1.6, Clause 10
·       NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
·       CIS CSC 10
·       COBIT 5 APO12.06, DSS02.05, DSS03.04
·       ISO/IEC 27001:2013 A.16.1.5
·       NIST SP 800-53 Rev. 4 CP-10, IR-4, IR-8
·       COBIT 5 APO12.06, BAI05.07, DSS04.08
·       ISA 62443-2-1:2009 4.4.3.4
·       ISO/IEC 27001:2013 A.16.1.6, Clause 10
·       NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
·       COBIT 5 APO12.06, BAI07.08
·       ISO/IEC 27001:2013 A.16.1.6, Clause 10
·       NIST SP 800-53 Rev. 4 CP-2, IR-4, IR-8
·       COBIT 5 EDM03.02
·       ISO/IEC 27001:2013 A.6.1.4, Clause 7.4
·       COBIT 5 MEA03.02
·       ISO/IEC 27001:2013 Clause 7.4
·       COBIT 5 APO12.06
·       ISO/IEC 27001:2013 Clause 7.4
• Registos de investigação e análises forenses
sobre as causas dos incidentes;
• Indicação de melhorias para a mitigação dos
incidentes conhecidos.
• Remoção de ameaças nas infraestruturas;
• Uso ou melhoria dos sistemas de proteção (p.
ex. antivírus);
• Repositório de incidentes anteriores com os
respetivos planos de ação corretivos.
• Registo de execução do processo de gestão das
vulnerabilidades.
• Documentos de suporte ao plano de resposta a
incidentes;
• Registos de reuniões e demais interações, no
contexto da melhoria contínua;
• Registo do tratamento de vulnerabilidades
resultantes de incidentes ocorridos.
• Registo de atualização de procedimentos para a
reposta a incidentes, num determinado período
de análise.
• Registo documental de procedimentos, políticas
e padrões dedicados ao tema da recuperação de
incidentes;
• Relatórios de utilização de plataforma de cópias
de segurança e restauro.
• Registos dos indicadores e resultados analíticos
de avaliação de resultados de ações, relativas aos
planos de recuperação.
• Há registo de revisão de estratégias de
recuperação e estratégias complementares (p. ex.
gestão de incidentes, plano de continuidade de
negócio, gestão das vulnerabilidades, etc.)
• Documento de suporte ao plano de
comunicação;
• Registo de partes interessadas conforme o tema
a ser comunicado.
• Há registos das comunicações efetuadas
 • Há registos das comunicações efetuadas
·       NIST SP 800-53 Rev. 4 CP-2, IR-4
 Perfil Dimensão das Novas
Desejado Novas Evidências/Controlos Evidências/Controlos por categoria:
Pessoas, Processos ou Tecnologia

3.0

3.0

3.0

Aplicam-se os 3:pessoas,
processos e tecnologias

3.0

3.0

organização entendam suas

funções e responsabilidades na
prevenção de eventos de e, se
aplicável, na resposta e
recuperação de eventos. Essas
funções e responsabilidades
devem ser formalmente
3.0 documentadas em um plano de
resposta a incidentes. O plano de
resposta a incidentes deve
especificar o exercício regular do
plano (por exemplo, executar
simulações de mesa de resposta a
incidentes pelo menos

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0

3.0
3.0
 Document
NIST 800-53
CIS CSC
COBIT 5
ISA 62443 (All)
ISO/IEC 27001
 Link
https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final
https://www.cisecurity.org/controls/
http://www.isaca.org/cobit/pages/default.aspx
https://www.isa.org/standards-and-publications/isa-standards/find-isa-standards-in-numerical-order/
https://www.iso.org/isoiec-27001-information-security.html
 A tabela abaixo mostra as 10 principais áreas que a Fitch identificou juntamente com as suas categorias NIST
Key Cyber Insurance Carrier
NIST CSF
Policy Requirements
Reference
Relatorio da Fitch Set22

Use of multifactor authentication

1 (MFA) PR.AC-7

ID.RA
2 IT Security strength and vulnerabilities
DE.CM-8

Employee training on phishing and

3 PR.AT
other cyber attacks

4 Strength of password requirements PR.AC

Third-party vendor exposure

5 ID.SC
management

6 Regulatory reporting obligations ID.GV-3

RS.RP
7 Quality of incident response plan PR.IP-9
PR.IP-10

Implement endpoint detection and

DE.CM-3
8 response (EDR) DE.CM-4
H/NIDS/IPS ?
9 Creation of system backups PR.IP-4

ID.RA-1
Penetration testing results and
10 PR.IP-7
remediation success details
PR.IP-12

Esta 'mini-avaliação' pode ajudar a empresa a identificar uma pré-aquisição de risco, bem como fornecer uma pon
em todas as empresas do portfólio para começar a atender às necessidades dos reguladores, no entanto, deve s
preliminar resultado pendente de uma avaliação completa do NIST CSF.
eas que a Fitch identificou juntamente com as suas categorias NIST CSF.

Good Practice (GP) / Best Practice (BP) NIST SP 800-53 Rev 5

GP: All critical devices, remote access & SaaS access is protected AC - ACCESS CONTROL
by MFA. AC-7 UNSUCCESSFUL LOGON ATTEMPTS
––– . Enforce a limit of [Assignment: organization-defin
BP: All user access, regardless of origin or destination, is defined time period]; and
protected by MFA b. Automatically [Selection (one or more): lock the a
until released by an administrator; delay next logon pr
other [Assignment: organization-defined action]] whe
GP: Vulnerability scans are performed with ‘best effort’
mitigation.
–––
BP: Vulnerabilities are evaluated based on internal risk
assessments, and mitigation is prioritized and within expected
timelines.

GP: Users are trained on general phishing/cyber attacks annually.

–––
BP: Customized quarterly training based on job function.
GP: Common password requirements across all users.
–––
BP: Risk-based password requirements customized based on the
sensitivity of data being accessed or the criticality of services
being supplied.

GP: Standard cybersecurity clauses included in contracts.

–––
BP: Full inventory of third-party assets within the infrastructure.
User access is managed similarly to employee access. Compliance
& technical audits are performed annually.
GP: Legal reporting has been formalized by policies and
approved by executive management.
–––
BP: Privacy, Regulatory, and Law Enforcement notification and
reporting have been defined and are included as part of Incident
Response tabletop exercises.
GP: Incident Response and Business Continuity plans are in place
and reviewed/tested annually.
–––

BP: Incident Response and Business Continuity plans are in place

with formal semi-annual tabletop exercises for all functions.

GP: Endpoint detection solutions are installed on all user devices,

with regular updates.
–––
BP: Endpoint detection solutions are installed on all user and
infrastructure devices, with regular updates, with centralized
event/incident reporting to the Security Operations Center.
 GP: Backups are performed daily, validated, and tested annually.
–––
BP: Backups are performed consistently, recovery is tested semi-
annually, and systems can be returned to an operational state
within an acceptable RTO timeframe.
GP: Annual third-party penetration test against external-facing
infrastructure.
–––
BP: Continual penetration testing of all internal & external
environments. Results fed into the development lifecycle and
risk assessment process. Vulnerabilities resolved prior to
production deployment.

identificar uma pré-aquisição de risco, bem como fornecer uma pontuação de maturidade básica
eçar a atender às necessidades dos reguladores, no entanto, deve ser considerada uma avaliação
r resultado pendente de uma avaliação completa do NIST CSF.
NIST SP 800-53 Rev 5

OL
L LOGON ATTEMPTS
f [Assignment: organization-defined number] consecutive invalid logon attempts by a user during a [Assignment: organization-
; and
election (one or more): lock the account or node for an [Assignment: organization-defined time period]; lock the account or node
administrator; delay next logon prompt per [Assignment: organization-defined delay algorithm]; notify system administrator; take
organization-defined action]] when the maximum number of unsuccessful attempts is exceeded.
gnment: organization-

k the account or node

m administrator; take