Perguntas Da Lista de Verificação de Auditoria Interna - Controles Do SGSI

<Nome Abreviado> Questões de Auditoria Interna – Controles de Risco do SGSI (ISO
27001:2013 Anexo A)
Pergunta de auditoria Evidência de Auditoria
A.5 Políticas de Segurança da Informação
A.5.1 Direção de gestão para segurança da informação
A.5.1.1 Políticas de segurança da informação

1. Existem políticas de segurança?
2. Todas as políticas são aprovadas pela administração?
3. As políticas são devidamente comunicadas ao
pessoal?
A.5.1.2 Revisão das políticas de segurança da informação

1. As políticas de segurança estão sujeitas a revisão?
2. As revisões são realizadas em intervalos regulares?
3. As revisões são realizadas quando as circunstâncias
mudam?
A.6 Organização da segurança da informação
A.6.1 Organização Interna
A.6.1.1 Funções e responsabilidades em segurança da

informação
As responsabilidades pela proteção do patrimônio
individual e pela execução de processos específicos de
segurança são claramente identificadas, definidas e
comunicadas às partes relevantes?
Página 1 de 30 04-11-16
27001:2013 Anexo A)
A.6.1.2 Segregação de funções

Os deveres e as responsabilidades são separados, a fim
de reduzir as oportunidades de modificação não
autorizada ou uso indevido de informações ou serviços?
A.6.1.3 Contato com autoridades

1. Existe um procedimento que documente quando e por
quem podem ser feitos contactos com as autoridades
competentes (autoridades policiais, etc.)?
2. Existe um processo que detalha como e quando o
contato é necessário?
3. Existe um processo de contato rotineiro e
compartilhamento de inteligência?
Contato com grupos de interesse especiais

As pessoas relevantes dentro da organização mantêm
A.6.1.4
uma participação ativa em grupos de interesse especiais
relevantes?
Segurança da informação no gerenciamento de projetos

A.6.1.5 Os projetos passam por alguma forma de avaliação de
segurança da informação, quando apropriado?
A.6.2 Dispositivos móveis e teletrabalho
A.6.2.1 Política de dispositivos móveis
Página 2 de 30 04-11-16
27001:2013 Anexo A)
1. Existe uma política de dispositivo móvel?

2. A política tem aprovação da alta administração?
3. O documento de política aborda os riscos adicionais
decorrentes do uso de dispositivos móveis (por
exemplo, roubo de ativos, uso de hotspots sem fio
abertos, etc.)
Teletrabalho
1. Existe uma política para o teletrabalho?
2. Isso tem aprovação da alta administração?
A.6.2.2 3. Existe um processo definido para que os
trabalhadores remotos obtenham acesso?
4. Os teletrabalhadores recebem conselhos e
equipamentos para proteger o seu património?
A.7 Segurança dos recursos humanos
A.7.1 Antes do emprego
A.7.1.1 Peneiramento
1. São realizadas verificações de antecedentes de todos
os novos empregados antes da contratação?
2. Estes controlos são aprovados pela autoridade
administrativa competente?
3. As verificações estão em conformidade com as leis,
Página 3 de 30 04-11-16
27001:2013 Anexo A)
regulamentos e ética relevantes?

4. O nível de verificações exigido é apoiado pelas
avaliações de risco do negócio?
A.7.1. Termos e condições de emprego

2 1. Todos os funcionários, contratados e usuários
terceirizados são solicitados a assinar acordos de
confidencialidade e confidencialidade?
2. Os contratos de trabalho/prestação de serviços
cobrem especificamente a necessidade de proteger
as informações empresariais?
A.7.2 Durante o emprego
A.7.2. Responsabilidades de gestão

1 1. Os gerentes (em todos os níveis) são líderes em
questões de segurança dentro da empresa?
2. O comportamento da gestão fornece liderança a
todos os funcionários, contratados e usuários
terceirizados para aplicar a segurança de acordo
com as políticas e procedimentos estabelecidos?
Conscientização, educação e treinamento em

A.7.2. segurança da informação
Página 4 de 30 04-11-16
27001:2013 Anexo A)
2 Todo o pessoal, contratantes e usuários terceirizados

passam por treinamento regular de conscientização de
segurança adequado ao seu papel e função dentro da
organização?
Processo disciplinar
A.7.2. 1. Existe um processo disciplinar formal que possa ser
3 aplicado àqueles que cometeram uma violação de
segurança da informação?
2. Isso é comunicado a todo o pessoal?
A.7.3 Rescisão e mudança de emprego
A.7.3. Rescisão ou alteração de responsabilidades laborais

1 1. Existe um processo formal documentado para
encerrar ou mudar de contrato de trabalho?
2. Algum dever de segurança da informação pós-
emprego é comunicado ao empregado ou
contratante?
3. A organização é capaz de impor o cumprimento de
quaisquer deveres pós-emprego?
A.8 Gestão de ativos
A.8.1 Responsabilidade patrimonial
A.8.1. Inventário de ativos
Página 5 de 30 04-11-16
27001:2013 Anexo A)
1 1. Existe um inventário de todos os ativos associados

ao processamento de informações e informações?
2. O inventário é preciso e mantido atualizado?
A.8.1. Propriedade de ativos

2 Todos os ativos de informação têm um proprietário
claramente definido que está ciente de suas
responsabilidades?
A.8.1. Uso aceitável de ativos

3 1. Existe uma política de uso aceitável para cada
classe/tipo de ativo de informação?
2. Os usuários são informados desta política antes de
usar?
A.8.1. Retorno de ativos

4 Existe um processo em vigor para garantir que todo o
pessoal e usuários externos devolvam os ativos da
organização após a rescisão de seu emprego, contrato
ou acordo?
A.8.2 Classificação das informações
A.8.2. Classificação das informações

1 1. Existe uma política que rege a classificação de
informações?
Página 6 de 30 04-11-16
27001:2013 Anexo A)
2. Existe um processo pelo qual todas as informações

podem ser adequadamente classificadas?
A.8.2. Rotulagem das informações

2 Existe um processo ou procedimento para garantir que
a classificação das informações seja devidamente
marcada em cada ativo?
A.8.2. Movimentação de ativos

3 1. Existe um procedimento para lidar com cada
classificação de informação?
2. Os usuários dos ativos de informação são
informados sobre esse procedimento?
A.8.3 Manuseio de mídia
A.8.3.1 Gerenciamento de mídias removíveis Actualizare S-002 pentru :

1. Existe uma política que rege a mídia removível? - e-drive, compartilhamento de arquivos
2. Existe um processo que abranja como a mídia - politici domeniu pentru blocare CD, USB
removível é gerenciada? - exceptii in AD pentru userii care au autorizatie de a folosi
3. A política e o(s) processo(s) são comunicados a todo stick-uri
o pessoal usando mídia removível?
A.8.3.2 Eliminação de suportes
Página 7 de 30 04-11-16
27001:2013 Anexo A)
Existe um procedimento formal que regule a forma

como as mídias removíveis são descartadas?
A.8.3.3 Transferência de mídia física

1. Existe uma política e um processo documentados
detalhando como a mídia física deve ser
transportada?
2. Os meios de comunicação social nos transportes
estão protegidos contra o acesso não autorizado, a
utilização indevida ou a corrupção?
A.9 Controle de acesso
A.9.1 Requisitos de negócios para controle de acesso
A.9.1.1 Política de controle de acesso

1. Existe uma política de controle de acesso
documentada?
2. A política é baseada nos requisitos de negócios?
3. A política é comunicada adequadamente?
A.9.1.2 Acesso a redes e serviços de rede User,pass pentru aplicatii

Existem controlos para garantir que os utilizadores OpenVPN pentru certificado SSL
apenas tenham acesso aos recursos de rede que foram Politici AD, compartilhamento de arquivos pentru
especialmente autorizados a utilizar e que são
necessários para as suas funções?
Página 8 de 30 04-11-16
27001:2013 Anexo A)
A.9.2 Gerenciamento de acesso de usuários
A.9.2.1 Registo e cancelamento do registo de utilizadores AD, correio, imprimanta

Existe um processo formal de registro de acesso de
usuário?
A.9.2.2 Provisionamento de acesso de usuário

Existe um processo formal de provisionamento de
acesso de usuário em vigor para atribuir direitos de
acesso para todos os tipos de usuário e serviços?
A.9.2.3 Gestão de direitos de acesso privilegiado

As contas de acesso privilegiado são gerenciadas e
controladas separadamente?
A.9.2.4 Gerenciamento de informações secretas de AD: complexe, lungime 6 caractere, se schimba la 3 luni
autenticação de usuários
Existe um processo de gerenciamento formal para
controlar a alocação de informações de autenticação
secretas?
A.9.2.5 Revisão dos direitos de acesso do usuário

1. Existe um processo para que os proprietários de
ativos revisem os direitos de acesso aos seus ativos
regularmente?
2. Esse processo de revisão é verificado?
Página 9 de 30 04-11-16
27001:2013 Anexo A)
A.9.2.6 Supressão ou ajustamento dos direitos de acesso

Existe um processo para garantir que os direitos de
acesso do usuário sejam removidos na rescisão do
contrato de trabalho ou ajustados após a mudança de
função?
A.9.3 Responsabilidades do usuário
A.9.3.1 Uso de informações de autenticação secretas

1. Existe um documento de política que abranja as
práticas das organizações sobre como as
informações de autenticação secretas devem ser
tratadas?
2. Isso é comunicado a todos os usuários?
A.9.4 Controle de acesso a sistemas e aplicativos
A.9.4.1 Restrição de acesso às informações

O acesso às informações e às funções do sistema de
aplicação é restrito de acordo com a política de
controle de acesso?
A.9.4.2 Procedimentos de logon seguros

Quando a política de controle de acesso exigir, o
acesso é controlado por um procedimento de logon
seguro?
Página 10 de 30 04-11-16
27001:2013 Anexo A)
A.9.4.3 Sistema de gerenciamento de senhas

1. Os sistemas de senhas são interativos?
2. São necessárias senhas complexas?
A.9.4.4 Uso de programas utilitários privilegiados

Os programas utilitários de privilégios são restritos e
monitorados?
A.9.4.5 Controle de acesso ao código-fonte do programa

O acesso ao código-fonte do Sistema de Controle de
Acesso está protegido?
A.10 Criptografia
A.10.1 Controles criptográficos
A.10.1. Política sobre o uso de controles criptográficos VPN, site-uri: certificado SSL
1 Existe uma política sobre o uso de controles Bitlocker pe toate statiile de lucru
criptográficos?
A.10.1. Gerenciamento de chaves

2 Existe uma política que rege todo o ciclo de vida das
chaves criptográficas?
A.11 Segurança física e ambiental
Página 11 de 30 04-11-16
27001:2013 Anexo A)
A.11.1 Áreas seguras
A.11.1. Perímetro de segurança física

1 1. Existe um perímetro de segurança designado?
2. As áreas de informação sensíveis ou críticas são
segregadas e adequadamente controladas?
A.11.1. Controles físicos de entrada

2 As áreas seguras têm sistemas de controlo de entrada
adequados para garantir que apenas o pessoal
autorizado tenha acesso?
A.11.1. Protegendo escritórios, salas e instalações

3 1. Escritórios, salas e instalações foram projetados e
configurados com a segurança em mente?
2. Existem processos para manter a segurança (por
exemplo, travamento, limpar mesas etc.)?
A.11.1. Proteção contra ameaças externas e ambientais

4 Foram concebidas medidas de protecção física para
prevenir catástrofes naturais, ataques maliciosos ou
acidentes?
A.11.1. Trabalhar em áreas seguras

5 1. Existem áreas seguras?
2. Onde eles existem, as áreas seguras têm políticas e
Página 12 de 30 04-11-16
27001:2013 Anexo A)
processos adequados?
3. As políticas e os processos são aplicados e
monitorados?
A.11.1. Áreas de entrega e carregamento

6 1. Existem áreas de entrega/carregamento separadas?
2. O acesso a essas áreas é controlado?
3. O acesso a partir de áreas de carregamento é
isolado das instalações de processamento de
informações?
A.11.2 Equipamento
A.11.2. Localização e proteção de equipamentos

1 1. Os riscos ambientais são identificados e
considerados quando os locais dos equipamentos
são selecionados?
2. Os riscos de acesso/transeuntes não autorizados
são considerados na localização do equipamento?
A.11.2. Utilitários de suporte

2 1. Existe um sistema UPS ou gerador de backup?
2. Estes foram testados dentro de um prazo adequado?
A.11.2. Segurança de cabeamento

3 1. Foram realizadas avaliações de risco sobre a
Página 13 de 30 04-11-16
27001:2013 Anexo A)
localização de cabos de energia e

telecomunicações?
2. Eles estão localizados para proteger de
interferência, interceptação ou danos?
A.11.2. Manutenção de equipamentos Nu exista dovezi

4 Existe um cronograma rigoroso de manutenção dos
equipamentos?
A.11.2. Remoção de ativos

5 1. Existe um processo que controla como os ativos são
removidos do site?
2. Esse processo é cumprido?
3. São efectuados controlos por amostragem?
A.11.2. Segurança de equipamentos e ativos fora das

6 instalações
1. Existe uma política que cubra a segurança de ativos
fora do local?
2. Essa política é amplamente divulgada?
A.11.2. Descarte seguro ou reutilização de equipamentos

7 1. Existe uma política que cubra como os ativos de
informação podem ser reutilizados?
2. Quando os dados são apagados, isso é devidamente
Página 14 de 30 04-11-16
27001:2013 Anexo A)
verificado antes da reutilização/eliminação?
A.11.2. Equipamento de usuário autônomo

8 1. A organização tem uma política sobre como os
equipamentos autônomos devem ser protegidos?
2. Existem controlos técnicos para proteger os
equipamentos que foram inadvertidamente deixados
sem vigilância?
A.11.2. Política de mesa clara e tela clara

9 1. Existe uma política de mesa clara / tela clara?
2. Isso é bem aplicado?
A.12 Segurança das operações
A.12.1 Procedimentos operacionais e responsabilidades
A.12.1. Procedimentos operacionais documentados

1 1. Os procedimentos operacionais estão bem
documentados?
2. Os procedimentos são disponibilizados a todos os
usuários que deles necessitam?
A.12.1. Gestão de mudanças

2 Existe um processo controlado de gestão de
mudanças?
Página 15 de 30 04-11-16
27001:2013 Anexo A)
A.12.1. Gerenciamento de capacidade

3 Existe um processo de gerenciamento de capacidade
em vigor?
A.12.1. Separação dos ambientes de desenvolvimento, teste e

4 operação
A organização impõe a segregação dos ambientes de
desenvolvimento, teste e operação?
A.12.2 Proteção contra malware
A.12.2. Controles contra malware

1 1. Existem processos para detectar malware?
2. Os processos para evitar a propagação de malware
estão em vigor?
3. A organização tem um processo e capacidade de
recuperação de uma infecção por malware?
A.12.3 Backup
A.12.3. Backup de informações

1 1. Existe uma política de backup acordada?
2. A política de backup da organização está em
conformidade com os marcos legais relevantes?
3. Os backups são feitos de acordo com a política?
Página 16 de 30 04-11-16
27001:2013 Anexo A)
4. Os backups são testados?
A.12.4 Registro e monitoramento
A.12.4. Log de eventos

1 Os logs de eventos apropriados são mantidos e
revisados regularmente?
A.12.4. Proteção das informações de registro

2 As instalações de registro estão protegidas contra
adulteração e acesso não autorizado?
A.12.4. Logs do administrador e do operador

3 Os logs sysadmin/sysop são mantidos, protegidos e
revisados regularmente?
A.12.4. Sincronização de relógio Ntp

4 São todos os relógios dentro da organização
A.12.5 Controle de software operacional
A.12.5. Instalação de software em sistemas operacionais

1 Existe um processo para controlar a instalação de
software em sistemas operacionais?
A.12.6 Gerenciamento técnico de vulnerabilidades
A.12.6. Gestão de vulnerabilidades técnicas
Página 17 de 30 04-11-16
27001:2013 Anexo A)
1 1. A organização tem acesso a informações

atualizadas e oportunas sobre vulnerabilidades
técnicas?
2. Existe um processo para avaliar os riscos e reagir a
quaisquer novas vulnerabilidades à medida que são
descobertas?
A.12.6. Restrições à instalação de soft-ware

2 Existem processos em vigor para restringir a forma
como os usuários instalam o software?
A.12.7 Considerações sobre auditoria de sistemas de informação
Controles de auditoria de sistemas de informação

A.12.7. 1. Os sistemas IS estão sujeitos a auditoria?
1 2. O processo de auditoria garante que a interrupção
dos negócios seja minimizada?
A.13 Segurança das comunicações
A.13.1 Gerenciamento de segurança de rede
Controles de rede Linux firewall, pe NAT

A.13.1. Existe um processo de gerenciamento de rede em Switch-uri, VLAN-uri
1 vigor? icinga
Segurança dos serviços de rede Autentificare pe servere, fiecare user personal
Página 18 de 30 04-11-16
27001:2013 Anexo A)
A.13.1. 1. A organização implementa uma abordagem de La bazele de date, se poate conecta doar pe de un IP anume
2 gestão de riscos que identifica todos os serviços de
rede e acordos de serviços?
2. É a segurança obrigatória em convênios e contratos
com prestadores de serviços (internos e
terceirizados).
3. Os SLAs relacionados à segurança são obrigatórios?
Segregação nas redes VLAN-uri configurate pe switch-uri

A.13.1. A topologia de rede impõe a segregação de redes para
3 tarefas diferentes?
A.13.2 Transferência de informações
A.13.2. Políticas e procedimentos de transferência de

1 informações
1. As políticas organizacionais regem a forma como as
informações são transferidas?
2. Os procedimentos relativos à forma como os dados
devem ser transferidos são disponibilizados a todo o
pessoal? 3. Existem controlos técnicos relevantes
para impedir formas não autorizadas de
transferência de dados?
A.13.2. Acordos sobre a transferência de informações

2 Os contratos com partes externas e os acordos dentro
Página 19 de 30 04-11-16
27001:2013 Anexo A)
da organização detalham os requisitos para proteger as

informações comerciais na transferência?
A.13.2. Mensagens eletrônicas Zimbra C

3 As políticas de segurança cobrem o uso de
transferência de informações durante o uso de
sistemas de mensagens eletrônicas?
A.13.2. Acordos de confidencialidade ou confidencialidade

4 1. Funcionários, contratados e agentes assinam
acordos de confidencialidade ou confidencialidade?
2. Estes acordos estão sujeitos a revisão periódica?
3. Os registros dos acordos são mantidos?
A.14 Aquisição, desenvolvimento e manutenção de sistemas
A.14.1 Requisitos de segurança dos sistemas de informação
A.14.1. Análise e especificação de requisitos de segurança da

1 informação
1. Os requisitos de segurança da informação são
especificados quando novos sistemas são
introduzidos?
2. Quando os sistemas estão sendo aprimorados ou
atualizados, os requisitos de segurança são
especificados e atendidos?
Página 20 de 30 04-11-16
27001:2013 Anexo A)
A.14.1. Protegendo serviços de aplicativos em redes públicas

2 As aplicações que enviam informações através de
redes públicas protegem adequadamente as
informações contra atividades fraudulentas, litígios
contratuais, divulgação não autorizada e alterações
não autorizadas?
A.14.1. Protegendo transações de serviços de aplicativos

3 Existem controlos para evitar a transmissão
incompleta, o encaminhamento incorreto, a alteração
não autorizada de mensagens, a divulgação não
autorizada, a duplicação não autorizada de mensagens
ou ataques de repetição?
A.14.2 Segurança nos processos de desenvolvimento e suporte
A.14.2. Política de desenvolvimento seguro

1 1. A organização desenvolve software ou sistemas?
2. Em caso afirmativo, existem políticas que obrigam à
implementação e avaliação de controlos de
segurança?
A.14.2. Procedimentos de controle de alterações do sistema

2 Existe um processo formal de controle de mudanças?
A.14.2. Revisão técnica de aplicações após mudanças na

3 plataforma operacional
Página 21 de 30 04-11-16
27001:2013 Anexo A)
Existe um processo para garantir que uma revisão

técnica seja realizada quando as plataformas
operacionais são alteradas?
A.14.2. Restrições sobre alterações em pacotes de software

4 Existe uma política em vigor que determina quando e
como os pacotes de software podem ser alterados ou
modificados?
A.14.2. Princípios de engenharia de sistemas seguros

5 A organização tem princípios documentados sobre
como os sistemas devem ser projetados para garantir a
segurança?
A.14.2. Ambiente de desenvolvimento seguro

6 1. Foi estabelecido um ambiente de desenvolvimento
seguro?
2. Todos os projetos utilizam o ambiente de
desenvolvimento seguro adequadamente durante o
ciclo de vida de desenvolvimento do sistema?
A.14.2. Desenvolvimento terceirizado

7 1. Onde o desenvolvimento foi terceirizado isso é
fiscalizado?
2. O código desenvolvido externamente está sujeito a
uma revisão de segurança antes da implantação?
Página 22 de 30 04-11-16
27001:2013 Anexo A)
A.14.2. Teste de segurança do sistema

8 Onde os sistemas ou aplicativos são desenvolvidos,
eles são testados como parte do processo de
desenvolvimento?
A.14.2. Teste de aceitação do sistema

9 Existe um processo estabelecido para aceitar novos
sistemas/aplicativos, ou upgrades, em uso em
produção?
A.14.3 Dados de teste
A.14.3. Protecção dos dados de ensaio

1 1. Existe um processo para selecionar dados de teste?
2. Os dados de teste estão adequadamente
protegidos?
A.15 Relacionamento com fornecedores
A.15.1 Segurança da informação no relacionamento com fornecedores
A.15.1. Política de segurança da informação para

1 relacionamento com fornecedores
1. A segurança da informação está incluída nos
contratos estabelecidos com fornecedores e
prestadores de serviços?
2. Existe uma abordagem de gestão de riscos em toda
Página 23 de 30 04-11-16
27001:2013 Anexo A)
a organização para o relacionamento com

fornecedores?
A.15.1. Abordando a segurança nos contratos com

2 fornecedores
1. Os fornecedores recebem requisitos de segurança
documentados?
2. O acesso do fornecedor aos ativos de informação e
à infraestrutura é controlado e monitorado?
A.15.1. Cadeia de suprimentos de tecnologia da informação e

3 comunicação
Os contratos com fornecedores incluem requisitos para
abordar a segurança da informação dentro da cadeia de
suprimentos de serviços e produtos?
A.15.2 Gestão da prestação de serviços de fornecedores
A.15.2. Acompanhamento e revisão de serviços prestados a

1 fornecedores
Os fornecedores estão sujeitos a revisão e auditoria
regulares?
A.15.2. Gerenciando alterações nos serviços do fornecedor

2 As alterações à prestação de serviços estão sujeitas a
um processo de gestão que inclui a segurança e a
Página 24 de 30 04-11-16
27001:2013 Anexo A)
avaliação dos riscos?
A.16 Gestão de incidentes de segurança da informação
A.16.1 Gestão de incidentes e melhorias de segurança da informação
A.16.1. Responsabilidades e procedimentos

1 As responsabilidades de gestão estão claramente
identificadas e documentadas nos processos de gestão
de incidentes?
A.16.1. Relatando eventos de segurança da informação

2 1. Existe um processo para reporte oportuno de
eventos de segurança da informação?
2. Existe um processo para revisar e agir sobre os
eventos de segurança da informação relatados?
A.16.1. Relatar fraquezas de segurança da informação

3 1. Existe um processo de reporte de fragilidades de
segurança da informação identificadas?
2. Esse processo é amplamente divulgado?
3. Existe um processo para revisar e tratar relatórios
em tempo hábil?
A.16.1. Avaliação e decisão sobre eventos de segurança da
Página 25 de 30 04-11-16
27001:2013 Anexo A)
4 informação
Existe um processo para garantir que os eventos de
segurança da informação sejam devidamente avaliados
e classificados?
A.16.1. Resposta a incidentes de segurança da informação

5 Existe um processo de resposta a incidentes que reflita
a classificação e a gravidade dos incidentes de
segurança da informação?
A.16.1. Aprendendo com incidentes de segurança da

6 informação
Existe um processo ou estrutura que permita à
organização aprender com incidentes de segurança da
informação e reduzir o impacto/probabilidade de
eventos futuros?
A.16.1. Recolha de provas

7 1. Existe uma política de prontidão forense?
2. No caso de um incidente de segurança da
informação, os dados relevantes são coletados de
forma a permitir que sejam usados como prova?
A.17 Aspectos de segurança da informação no gerenciamento de continuidade de negócios
A.17.1 Continuidade da segurança da informação
Página 26 de 30 04-11-16
27001:2013 Anexo A)
A.17.1. Planejando a continuidade da segurança das

1 informações
A segurança da informação está incluída nos planos de
continuidade da organização?
A.17.1. Implementando a continuidade da segurança da

2 informação
A função de segurança da informação da organização
tem processos documentados, implementados e
mantidos para manter a continuidade do serviço
durante uma situação adversa?
A.17.1. Verificar, revisar e avaliar a continuidade da segurança

3 da informação
Os planos de continuidade são validados e verificados
em intervalos regulares?
A.17.2 Despedimentos
A.17.2.1 Disponibilidade de instalações de processamento de

informações
As instalações de processamento de informações têm
redundância suficiente para atender aos requisitos de
disponibilidade das organizações?
Página 27 de 30 04-11-16
27001:2013 Anexo A)
A.18 Conformidade
A.18.1 Atendimento aos requisitos legais e contratuais
A.18.1.1 Identificação da legislação aplicável e requisitos

contratuais
1. A organização identificou e documentou todos os
requisitos legislativos, regulamentares ou
contratuais relevantes relacionados com a
segurança?
2. A conformidade está documentada?
A.18.1.2 Direitos de propriedade intelectual

1. A organização mantém um registo de todos os
direitos de propriedade intelectual e da utilização de
produtos de software proprietários?
2. A organização monitora o uso de software não
licenciado?
A.18.1.3 Protecção dos registos

Os registros estão protegidos contra perda, destruição,
falsificação e acesso ou liberação não autorizados de
acordo com requisitos legislativos, regulatórios,
contratuais e comerciais?
A.18.1.4 Privacidade e proteção de informações de identificação
Página 28 de 30 04-11-16
27001:2013 Anexo A)
pessoal
1. Os dados pessoais são identificados e devidamente
classificados?
2. Os dados pessoais são protegidos de acordo com a
legislação pertinente?
A.18.1.5 Regulação dos controles criptográficos

Os controles criptográficos são protegidos de acordo
com todos os acordos, legislação e regulamentos
relevantes?
A.18.2 Análises de segurança da informação
A.18.2.1 Revisão independente da segurança da informação

1. A abordagem das organizações para a gestão da
segurança da informação está sujeita a uma revisão
independente regular?
2. A implementação de controles de segurança está
sujeita a revisão independente regular?
A.18.2.2 Conformidade com políticas e padrões de segurança

1. A organização instrui os gestores a rever
regularmente o cumprimento das políticas e
procedimentos na sua área de responsabilidade?
2. Os registros dessas revisões são mantidos?
Página 29 de 30 04-11-16
27001:2013 Anexo A)
A.18.2.3 Revisão de conformidade técnica

A organização realiza regularmente análises de
conformidade técnica dos seus sistemas de
informação?
Página 30 de 30 04-11-16

Perguntas Da Lista de Verificação de Auditoria Interna - Controles Do SGSI

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Perguntas Da Lista de Verificação de Auditoria Interna - Controles Do SGSI

Enviado por

Direitos autorais:

Formatos disponíveis

<Nome Abreviado> Questões de Auditoria Interna – Controles de Risco do SGSI (ISO

A.5 Políticas de Segurança da Informação

A.5.1 Direção de gestão para segurança da informação

A.5.1.1 Políticas de segurança da informação

A.5.1.2 Revisão das políticas de segurança da informação

A.6 Organização da segurança da informação

A.6.1 Organização Interna

A.6.1.1 Funções e responsabilidades em segurança da

A.6.1.2 Segregação de funções

A.6.1.3 Contato com autoridades

Contato com grupos de interesse especiais

Segurança da informação no gerenciamento de projetos

A.6.2 Dispositivos móveis e teletrabalho

A.6.2.1 Política de dispositivos móveis

1. Existe uma política de dispositivo móvel?

A.7 Segurança dos recursos humanos

A.7.1 Antes do emprego

regulamentos e ética relevantes?

A.7.1. Termos e condições de emprego

A.7.2 Durante o emprego

A.7.2. Responsabilidades de gestão

Conscientização, educação e treinamento em

2 Todo o pessoal, contratantes e usuários terceirizados

A.7.3 Rescisão e mudança de emprego

A.7.3. Rescisão ou alteração de responsabilidades laborais

A.8 Gestão de ativos

A.8.1 Responsabilidade patrimonial

A.8.1. Inventário de ativos

1 1. Existe um inventário de todos os ativos associados

A.8.1. Propriedade de ativos

A.8.1. Uso aceitável de ativos

A.8.1. Retorno de ativos

A.8.2 Classificação das informações

A.8.2. Classificação das informações

2. Existe um processo pelo qual todas as informações

A.8.2. Rotulagem das informações

A.8.2. Movimentação de ativos

A.8.3 Manuseio de mídia

A.8.3.1 Gerenciamento de mídias removíveis Actualizare S-002 pentru :

A.8.3.2 Eliminação de suportes

Existe um procedimento formal que regule a forma

A.8.3.3 Transferência de mídia física

A.9 Controle de acesso

A.9.1 Requisitos de negócios para controle de acesso

A.9.1.1 Política de controle de acesso

A.9.1.2 Acesso a redes e serviços de rede User,pass pentru aplicatii

A.9.2 Gerenciamento de acesso de usuários

A.9.2.1 Registo e cancelamento do registo de utilizadores AD, correio, imprimanta

A.9.2.2 Provisionamento de acesso de usuário

A.9.2.3 Gestão de direitos de acesso privilegiado

A.9.2.5 Revisão dos direitos de acesso do usuário

A.9.2.6 Supressão ou ajustamento dos direitos de acesso

A.9.3 Responsabilidades do usuário

A.9.3.1 Uso de informações de autenticação secretas

A.9.4 Controle de acesso a sistemas e aplicativos

A.9.4.1 Restrição de acesso às informações

A.9.4.2 Procedimentos de logon seguros

A.9.4.3 Sistema de gerenciamento de senhas

A.9.4.4 Uso de programas utilitários privilegiados

A.9.4.5 Controle de acesso ao código-fonte do programa

A.10.1 Controles criptográficos

A.10.1. Gerenciamento de chaves

A.11 Segurança física e ambiental