Relatório de Auditoria

Para
R2D2 Security

QMS Reference No. XYZ499

Tipo (Assessment Type) Inicial /Manutenção / Transfência / AC / Recertificação

Data/s Auditoria 09 a 13/01/2023

(Assessment Date/s)

Endereços no Certificado Rua dos Morros, Nr. 0

(Certificate Location/s)

Endereços Auditados Rua dos Morros, Nr. 0

(Assessment Location/s)

Critério ISO/IEC 27001:2022

(Assessment Criteria)

Código Técnico IAF --

(IAF Tech Code)

Escopo em Português Gestão do ciclo devida dos serviços:

(Assessment Scope in Portuguese)
- NOC terceirizado para clientes (gerenciamento
remoto de redes e ativos de redes);

- Suporte técnico para gerenciamento de redes e

ativos de redes.

Escopo em Inglês --
(Assessment Scope in English)

Equipe de Auditores Meici Windu (auditor líder)

(Assessment Team)

Relatório encaminhado para Sr. Luke Silveira

(Report Provided to)
Sra. Léia Silveira

Há mudança no Detalhes do Sim / Sim ( ) Não / No ( X )

cliente? Se sim, favor informar
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

adequadamente o escritório regional

(Are there any changes in the client's Details

If Sim, please inform your regional office
accordingly)

Próxima visita prevista para (Next A ser determinada

visit planned for)

Manutenção
Tipo da Próxima Auditoria
(Next visit type) Recertificação
Ação Corretiva

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 2 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

SEÇÃO 1 Notas integrantes do relatório de auditoria

1. Declaração de cumprimento

A empresa deve observar que este relatório é resultado das observações de auditoria e as informações fornecidas pelas pessoas
entrevistadas durante a auditoria. Deve ser visto como um "resumo" da operação, como observado e relatado pelo auditor nos dias de
auditoria, uma vez que este é um processo amostral. Como resultado, as informações documentadas neste relatório podem não ser
necessariamente totalmente representativas das práticas e procedimentos implementados pela empresa. O auditor não garante que o
relatório identifica todos os riscos potenciais e todas as medidas que podem ser necessárias para eliminar ou controlar esses riscos no
contexto de sistemas de gestão da empresa.

2. Confidencialidade

A QMS Certification concorda em manter normas rigorosas para salvaguardar a confidencialidade das informações obtidas ou criadas
durante a execução das atividades de certificação em todos os níveis da sua estrutura, incluindo todos agindo em seu nome. Informações
sobre qualquer cliente ou pessoa não será divulgada a terceiros sem o consentimento por escrito do cliente ou pessoa em causa. Quando
a QMS Certification é obrigada por lei a divulgar informações confidenciais a um terceiro, o cliente deverá ser notificado previamente
das informações fornecidas. A QMS Certification mantém uma política de confidencialidade e procedimentos adequados para garantir
a confidencialidade de todas as informações do cliente.
3. Avaliação

Para avaliação do sistema de gestão, os resultados de situações de não atendimento são classificados como:

Não conformidade Maior: Uma ruptura na integridade do sistema de gestão e sua conformidade com os requisitos dos das normas,
deficiências que representam uma ameaça para atender às exigências dos clientes. Mau uso intencional de certificados ou logomarcas
ou não atendimento a outros requisitos contratuais também serão motivo para uma não-conformidade. Ações: QMS Certification irá
fornecer um relatório com a Não Conformidade Maior detalhada e solicitar à Organização que complete uma correção detalhada e um
plano de ação corretiva, incluindo prazos e propostas para a implementação efetiva das ações. A QMS Certification irá notificar a
Organização, por escrito, de que a certificação está suspensa até que todas as não conformidades possam ser fechadas. A Organização
deve apresentar a análise de causa e proposta de ação corretiva no prazo de 14 dias após a conclusão da auditoria. Estas ações devem
ser implementadas e verificadas.

A organização tem um máximo de 28 dias a partir do último dia da auditoria para fornecer evidência da efetiva correção. O cliente será
informado se uma auditoria adicional completa, uma auditoria adicional parcial ou evidência documentada (a ser confirmada durante
futuras auditorias) será necessária para verificar se as correções e ações corretivas adotadas foram eficazes, a depender da gravidade
da não conformidade. Até que a verificação seja realizada e as ações corretiva sejam consideradas eficazes, o status de certificação da
Organização permanecerá como suspensa. As evidências obtidas para apoiar a solução das não conformidades serão registradas. O
cliente será informado sobre o resultado desta análise crítica e verificação. Se não for possível a verificação das ações dentro do prazo
estabelecido, a certificação será retirada. Durante a certificação inicial, o não fechamento de uma não conformidade maior dentro dos
prazos acordados irá desencadear uma repetição da auditoria Fase 2. Para qualquer certificação existente, a incapacidade de fechar uma
não conformidade resultará suspensão, cancelamento ou redução do escopo de certificação, conforme aplicável. *Todas as atividades
de acompanhamento (auditoria de ação corretiva; ou follow-up) para fechamento de NCs Maiores podem incorrer em taxas adicionais,
conforme contrato.

Não conformidade Menor: A conformidade com os requisitos dos critérios de avaliação pode estar em risco, e a Organização está
obrigada a investigar as causas da não conformidade e implementar ações preventivas. Ações: a Organização deve elaborar um plano
de ação imediata, analisar as causas e propor ações corretivas no prazo de 14 dias. A QMS Certification, através de um membro da
equipe auditora, irá verificar a eficácia das correções, causas definidas e ações corretivas apresentadas na próxima auditoria do ciclo de
certificação.

Observação: Identificação de uma potencial melhoria para o sistema de gestão da Organização, sem fazer recomendações específicas.

4. Reclamações e apelações

A QMS Certification possui processo de reclamação e apelação. Se houver qualquer discordância com o conteúdo do relatório de
auditoria, a conduta do auditor ou, ainda, a respeito do próprio processo de auditoria e certificação em geral, o cliente deve contatar
imediatamente a gerência da QMS Certification através do email excellence@qmsbrasil.com.br.
5. Conflito de interesses

Na preparação deste relatório, o auditor líder confirma que ele (e os outros membros da equipe de auditoria) não tem nenhum tipo de
conflito de interesses com a Organização a ser auditada. Um termo de garantia de isenção de conflito de interesse é assinado por todos
os auditores da QMS Certification.
6. Aviso de mudanças
A QMS Certification requer que o cliente a informe imediatamente a respeito de quaisquer alterações significativas, ou eventos que afetem
a sua Organização com impacto ao sistema de gestão, incluindo, quando aplicável: acidentes fatais, acidentes de trabalho graves, doenças
ocupacionais, etc., em especial a respeito da ocorrência de um incidente grave ou violação de regulamentação que requeira o envolvimento
da autoridade reguladora competente, como o Ministério da Saúde, do Trabalho, do Meio Ambiente, além de Órgãos ou Agências
Reguladoras relacionadas à disciplina da certificação adotada pela empresa e objeto desse contrato.

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 3 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

SEÇÃO 2 - Sumário Executivo

A auditoria foi realizada usando em as tecnologias de ICT e auditoria remota e em parte presencial.

O auditor recebeu acesso ao sistema e evidências da implementação do sistema através do seguinte:

• Email
• CFTV, imagens de vídeo
• Compartilhamento de telas nos aplicativos de videoconferência
• Compartilhamento de mensagens, imagens e videos em aplicativos de mensagens (whatsapp)
• Exame de evidências “in loco”.

Este Relatório de Auditoria indica claramente as atividades de ICT externas e atividades de auditoria no
local e a eficácia na consecução dos objetivos da auditoria. Consulte a SEÇÃO 4: Planejamento do Ciclo de
Auditoria . Os riscos e oportunidades aplicáveis foram avaliados para garantir que a eficácia da auditoria
não seja afetada pelo uso das TIC.

O Sistema de gestão do cliente assegura que a organização atende os requisitos legais, regulamentares e
contratuais aplicáveis. Os requisitos do plano de auditoria foram concluídos e os objetivos da auditoria
definidos foram atingidos.

Como não há Não Conformidades Maiores pendentes neste momento, recomenda-se que a certificação seja
concedida durante o cumprimento dos critérios dentro do escopo da certificação detalhados na página 1 do
presente relatório.

A próxima auditoria será realizada em conformidade com o Plano de revisão do sistema previsto no presente
relatório, ou, para auditoria de recertificação, um programa de auditoria será apresentado antes da auditoria.

As Não Conformidades Menores foram detalhadas no documento Improvement Log fornecido com este
relatório. É mandatório que estas sejam tratadas antes da próxima auditoria programada.

As Observações feitas, se aplicável, estão relatadas no corpo do presente relatório.

A R2D2 Security teve seu sistema de gestão de serviço (SGS) avaliado por amostragem em todos os requisitos
da Norma ISO/ IEC 27001:2022.

Pontos Positivos: Como pontos positivos foram evidenciados processos robustos e suficientemente
documentados para demonstrar a conformidade dos serviços e do SGS; pessoal engajado e comprimetido com
as atividades da Organização, a qualidade dos serviços e o atendimento aos clientes e outras partes
interessadas.

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 4 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

SEÇÃO 3 Relatório de Auditoria

REUNIÃO DE ABERTURA

1. AGENDA
INTRODUÇÃO
Todos os representantes da organização receberam uma introdução, explicação sobre a auditoria e
apresentação da QMS Certification Services.

ESCOPO DA CERTIFICAÇÃO
O escopo da organização foi verificado e confirmado como detalhado na página 1 do presente relatório.

CONFIRMAÇÃO DE DADOS DE AUDITORIA E QUESTÕES, INCLUINDO:

- A confirmação do plano de auditoria (incluindo tipo e âmbito da auditoria, objetivos e critérios), todas as
alterações, e outros arranjos pertinentes ao cliente, tais como a data e hora para a reunião de
encerramento, reuniões intercalares entre a equipe de auditoria e representante da direção;
- Confirmação de canais formais de comunicação entre a equipe de auditoria eo cliente;
- Confirmação de que os recursos e instalações necessários à equipe de auditoria estão disponíveis;
- Confirmação das questões relativas à confidencialidade (consulte a Seção 1, item 2 deste relatório);
- Confirmação dos procedimentos de trabalho relevantes de emergência e segurança para a equipe de
auditoria;
- A confirmação da disponibilidade, os papéis e identidades de quaisquer guias e observadores;
- O método de comunicação, incluindo qualquer classificação de resultados da auditoria;
- Informações sobre as condições em que a auditoria pode ser encerrado prematuramente;
- Confirmação de que o líder da equipe de auditoria e equipe de auditoria que representa o organismo de
certificação é responsável pela auditoria e devem estar no controle da execução do plano de auditoria,
incluindo as atividades de auditoria e trilhas de auditoria;
- A confirmação do status de conclusões da revisão anterior ou auditoria, se aplicável;
- Métodos e procedimentos a serem utilizados para realizar a auditoria com base em amostragem;
- A confirmação da linguagem a ser utilizada durante a auditoria;
- Confirmação de que, durante a auditoria, o cliente será informado do progresso da auditoria e quaisquer
preocupações;
- Oportunidade para o cliente fazer perguntas.

PARTICIPANTES
Meici Windu; Luke Silveira; Léia Silveira; Sr. Han Sales; Sr. Obivan Queiroz; Sr. Darte Vandes; Sr. Bobby
Feld; Sra. Mara Jeide; Sr. Chiu Daca

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 5 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

GERAL - OBRIGATÓRIO A CADA AUDITORIA

1. CONFIRMAÇÃO DO ESCOPO DE CERTIFICAÇÃO, PRINCIPAIS MUDANÇAS DO SISTEMA E PLANO DE

GESTÃO DE SERVIÇOS
Cumpre as exigências da(s) norma(s) Sim Não
Evidência de apoio
MGSI-R2-001 – Manual de Gestão de Segurança da Informação da R2-D2 – Ver. 2.3
2. USO DA MARCA E LOGOTIPOS
Cumpre as exigências da(s) norma(s) Sim Não
Evidência de apoio
A Organização não faz uso da marca/ logotipo de certificação
3. QUESTÕES DE RELATÓRIO ANTERIOR, INCLUINDO NÃO CONFORMIDADES EXCEPCIONAIS
Cumpre as exigências da(s) norma(s) Sim Não
Evidência de apoio
Por ser esta uma auditoria inicial, não há NC’s do relatório anterior. As NC’s da Fase 1 foram tratadas e o
seu tratamento foi avaliado nesta auditoria Fase 2.

SEÇÃO 01 - PLANEJAMENTO

4. CONTEXTO DA ORGANIZAÇÃO
Cumpre as exigências da(s) norma(s) Sim Não X
4.1; 4.2; 4.3; 4.4
Evidência de apoio

Seções 4.1; 4.2; 4.3 e 4.4 do MGSI-R2-001 – Manual de Segurança da Informação da R2D2

A R2-D2 identificou as questões internas e externas que podem afetar a sua capacidade de alcançar os
resultados pretendidos para o SGSI. Resumidamente, estas questões incluem:

Externas:

Mercado de trabalho em TI aquecido, gerando dificuldades de contratar e reter os profissionais

necessários
Aumento de tentativas de ataques cibernéticos
Aumento dos custos de computação em nuvem
Aumento da quantidade de competidores oferecendo soluções de NOC e SOC remotos

Internas:

Equipes do NOC e atendimento competentes, porém sobrecarregadas

Cultura fraca em segurança da informação
Limitação de espaço físico no DC

Estas questões internas e externas são revisadas a cada Análise Crítica pela Direção (ver 9.3), para que
sejam mantidas atualizadas e refletindo corretamente o ambiente de negócios da R2-D2.

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 6 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

A R2-D2 identificou as parte interessadas relevantes para o seu SGSI, e os requisitos relevantes dessas
partes interessadas. Essa avaliação foi feita com base em estimativa dos requisitos esperados,
considerando fontes como contratos, experiência da Empresa e histórico de relacionamento. Essas
informações estão resumidas na Tabela 1 a seguir:

Tabela 1 – Partes Interessadas e Seus Requisitos

NC-menor-001: A organização optou por documentar as partes interessadas e seus requisitos. Tomando
como base as informações contidas no estudo de caso (apresentação da empresa e considerações sobre
segurança da informação), há lacuna clara de partes interessadas relevantes que não constam da tabela.

Escopo do SGSI

A R2-D2 definiu e documentou o escopo do seu SGSI conforme declarado a seguir:

“Proteção das informações de negócio na prestação de serviços de gerenciamento remoto de redes e

ativos de redes e de suporte técnico”.

NC-menor-002: O escopo declarado não deixa claro quais são as interfaces e dependências (limites) entre
o que é feito pela R2-D2 e o que é feito por outras organizações.

Sistema de gestão da Segurança da Informação (SGSI)

A R2-D2 estabeleceu, implementou, mantém e melhora continuamente o seu SGSI através dos seguintes
processos:

Planejamento e gestão
Implantação/ CS
Operação/ CX
Suporte ao cliente
Financeiro

5. AÇÕES PARA ABORDAR RISCOS E OPORTUNIDADES

Cumpre as exigências da(s) norma(s) Sim Não x
6.1.1; 6.1.2; 6.1.3
Evidência de apoio

A R2-D2 identifica os riscos e oportunidades que podem afetar a capacidade do seu SGSI em alcançar os
resultados planejados e a melhoria contínua, com base nas informações avaliadas do seu contexto
organizacional e com base nos requisitos das partes interessadas relevantes.

Estes riscos e oportunidades são identificados e avaliados com o suporte do documento MGR-R2-001 –
Metodologia de Gestão de Riscos de SI. É mantido um inventário dos riscos e oportunidades, suas
avaliações e os planos de tratamento dos riscos.

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 7 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

Entre as categorias de riscos avaliados, encontram-se: riscos associados à própria empresa; riscos de
segurança da informação; riscos à privacidade das informações pessoais.

São estabelecidos: critérios de aceitação do risco; e a abordagem a ser usada no gerenciamento dos riscos.

As ações para abordar riscos e oportunidades estão documentadas nos planos de tratamento dos riscos.

A Tabela 2 a seguir mostra um estrato do inventário de riscos e oportunidades.

NC-menor-004: para o risco “Dificuldade de preencher os quadros de pessoal técnico”, cujo grau de risco
(64) excede o critério de aceitação (>= 50), a R2-D2 não atende à 6.1.2 e 6.1.3 – planejar ações para bordar
riscos e oportunidades).

Evidenciada a Declaração de Aplicabilidade DA-001. A R2-D2 considerou não aplicáveis os seguintes

controles:

NC-menor-005: Considerando as informações constantes do estudo de caso (apresentação da empresa e

considerações sobre segurança da informação), percebe-se que a Organização identificou como riscos a
possibilidade de vazamento de dados pessoais; portanto, está sujeita à LGPD (Lei Federal 13709/18).;
Portanto o controle A.5.5 é aplicável; “Não tratar dados pessoais em massa” não é justificativa aceitável
para não aplicar o controle A.5.34 - Privacidade e proteção de informações de identificação pessoal (PII),
pois não existe definição de limite mínimo de dados pessoais processados para que o controle seja
aplicável. Como declarado pela Organização, no mínimo são tratados dados pessoais de funcionários e
representantes legais de clientes e fornecedores.
6. LIDERANÇA E COMPROMETIMENTO
Não Não
Cumpre as exigências da(s) norma(s) Sim X Não
Planejado Aplicável
5.1
Evidência de apoio

A Alta Direção da R2-D2 Security demonstra o seu compromisso com o SGSI da seguinte maneira:

Estabelecendo a política e os objetivos de segurança da informação;

Estabelecendo e mantendo este manual de segurança da informação;
Atribuindo autoridade para tomada de decisões sobre o SGSI;
Assegurando que os requisitos do SGSI são integrados e implementados nos processos da R2-D2;
Assegurando a disponibilidade dos recursos necessários para o SGSI;
Comunicando para a Empresa a importância da gestão, do alcance dos objetivos e de estar em
conformidade com os requisitos do SGSI;
Assegurando que o SGSI alcance os resultados pretendidos;
Promovendo a melhoria contínua do SGSI;
Suportando outras lideranças do negócio para que eles demonstrem sua liderança no SGSI de acordo com
suas área de responsabilidade

OBS: durante a auditoria estas práticas foram evidenciadas pelo auditor.

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 8 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

7. POLÍTICA
Não Não
Cumpre as exigências da(s) norma(s) Sim Não X
Planejado Aplicável
5.2
Evidência de apoio

A Política do SGSI é apresentada a seguir:

“A R2-D2, atuando na prestação de serviços de segurança de redes e suporte de redes e suporte técnico,
busca prestar serviços com e máxima segurança da informação, respeitando os seguintes princípios:

Cumprimento dos requisitos de segurança possíveis de ser atendidos junto aos seus clientes;
Promoção da melhoria contínua dos seus processos internos e da segurança da informação;
Atendimento equilibrado das necessidades das demais partes interessadas relevantes para o negócio;
Garantia de segurança da sua plataforma de prestação de serviços, sempre que possível”

A R2-D2 comunica sua política através da ferramenta ClickUp para os funcionários. A organização tomou a
decisão de não divulgar externamente a sua política e não manter a mesma disponível para outras partes
interessadas.

NC-menor-003: O conteúdo da política está não-conforme; não se pode escolher cumprir os “requisitos
possíveis de ser atendidos” ou “garantir a segurança, sempre que possível”. Além disso, a r2-D2 não pode
optar por não manter a política disponível para as partes interessadas.

8. PAPÉIS, RESPONSABILIDADES E AUTORIDADES ORGANIZACIONAIS

Não Não
Cumpre as exigências da(s) norma(s) Sim x Não
Planejado Aplicável
5.3
Evidência de apoio

A equipe de gestão da R2-D2 é composta pelos seguintes profissionais:

Sr. Luke Silveira – CEO;

Sr. Léia Silveira – CFO;
Sr. Han Sales – Gerente de marketing e vendas;
Sr. Obivan Queiroz – Gerente de operações;
Sr. Darte Vandes – Coordenador de TI corporativa;
Sr. Bobby Feld – Coordenador de suporte técnico;
Sra. Mara Jeide – Coordenadora de pessoas;
Sr. Chiu Daca – Coordenador de atendimento ao cliente.

A responsabilidades e autoridades são atribuídas de diversas formas na Organização, como:

Descrições de cargos
Matriz de responsabilidades;
Atribuições de responsabilidades na documentação do SGSI.

9. OBJETIVOS DA GESTÃO DE SERVIÇOS E PLANEJAMENTO PARA ALCANÇÁ-LOS

Cumpre as exigências da(s) norma(s) Sim X Não Não Não
Planejado Aplicável
6.2

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 9 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

Evidência de apoio

Foram evidenciados objetivos adeuados para a gestão de serviços, coerentes com a política de gestão de
serviços e mensuráveis.

Ver tabela 3 do MGSI-R2-001/

10. PLANEJAMENTO DE MUDANÇAS
Não Não
Cumpre as exigências da(s) norma(s) Sim X Não
Planejado Aplicável
6.3
Evidência de apoio

O MGSI-R2-001 estabelece um processo para gestão de mudanças (que se complementa com o controle
A.8.32 do Anexo A da ISO 27001).

Mudanças organizacionais relevantes, nos processos de negócio e nos ambientes de tecnologia são
planejadas e gerenciadas pelos times responsáveis. Toda GMUD deve ser aprovada pela gerência
responsável antes de ser implementada. Todo registro de GMUD necessita conter as seguintes
informações mínimas:

- Avaliação dos impactos da mudança considerando todas as suas dependências;

- Autorização das mudanças;
- Comunicação com partes interessadas relevantes;
- Tarefas para realização da mudança;
- Procedimentos de roll back;
- Atualização dos procedimentos operacionais e de continuidade/ recuperação de desastres, se necessário.

Foram evidenciados os registros de GMUD GM-097; GM-123; GM-145; GM-201, todos contemplando os
requisitos estabelecidos. As mudanças foram implementadas de maneira bem sucedida. A GM-201,
tratando da atualização do ambiente zabbix, teve de acionar o plano de rollback em um primeiro
momento, porém correções foram aplicadas e a mudança concluída sem causar impactos operacionais.

11. RECURSOS
Não Não
Cumpre as exigências da(s) norma(s) Sim X Não
Planejado Aplicável
7.1
Evidência de apoio

A R2-D2 possui um processo de gestão orçamentária e produz um orçamento anual de custeio e outro
orçamento anual para investimentos. Os orçamentos cobrem os aspectos chave-para a operação do
negócio.

Foi evidenciado o orçamento de 2021, e seu respectivo acompanhamento. O orçamento de 2022 foi uma
repetição, sem qualquer análise, do orçamento de 2021, conforme explicado pelo gerente de operações,
sr. Obivan, sra. Léia Silveira.

12. COMPETÊNCIA
Não Não
Cumpre as exigências da(s) norma(s) Sim x Não
Planejado Aplicável
7.2
Evidência de apoio

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 10 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

A gestão de competências é abordada no Procedimento PR 7.2 – Competência e treinamento, Re.v 03. O

procedimento especifica que as competências são determinadas nas descrições de cargo e que novas
contratações e a gestão das competências existentes segue o que está deteriminado nas descrições de
cargos e nos planos de desenvolvimento de carreira. Foram solicitadas as evidências de competência dos
Srs. Darte Vandes e sr. Bobby Feld. Foram verificados os registros de competência junto ao RH, e os
registros de competências específicas foram confirmados junto às áreas dos colaboradores.

13. CONSCIENTIZAÇÃO
Não Não
Cumpre as exigências da(s) norma(s) Sim x Não
Planejado Aplicável
7.3
Evidência de apoio

A R2-D2 possui um processo contínuo de educação e conscientização sobre a segurança da informação.

É utilizada a plataforma Alura para aplicar e gerenciar o conhecimento e a conscientização sobre o SGSI.
Foram evidenciadas 8 campanhas de treinamentos realizadas ao longo do ano até o momento, com
intensiva participação dos colaboradores.

Ao longo da auditoria, foi possível constatar através das entrevistas com colaboradores de todos os níveis,
que todos possuíam conhecimento e conscientização sobre os seus papéis, a importância de estar
conforme com os requisitos de segurança da informação, bem como das consequências de eventuais não-
conformidades afetando a segurança da informação.

14. COMUNICAÇÃO
Não Não
Cumpre as exigências da(s) norma(s) Sim x Não
Planejado Aplicável
7.4
Evidência de apoio

Foi apresentado pelo representante da R2-D2 o plano de comunicação, como sendo parte integrante do
MGSI-R2-001. Foram constatados os diversos tipos de comunicação interna e externa pertinentes aos
SGSI.

Ao longo da auditoria, foram coletadas evidências suficientes de comunicações atendendo ao plano. Por
exemplo:

- Release notes para os clientes a respeito da atualização das plataformas de serviço;

- Respostas aos clientes através dos chamados de atendimento de eventos e incidentes de segurança;
- Comunicações aos fornecedores sobre os resultados de suas avaliações de desempenho em segurança;
- Comunicação aos funcionários sobre os resultados dos indicadores de desempenho mensais;
- Entre outras.

15. INFORMAÇÃO DOCUMENTADA

Não Não
Cumpre as exigências da(s) norma(s) Sim X Não
Planejado Aplicável
7.5.1; 7.5.2; 7.5.3; 7.5.4
Evidência de apoio

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 11 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

Este requisito foi avaliado ao longo de toda a auditoria de foi constatado estar em conformidade com as
exigências de controle de informações documentadas.

Avaliando especificamente o requisito 7.5.4, foi constatado que a documentação mínima exigida para o
SGSI estava disponível e atualizada. Exemplos de documentos avaliados:

- MGSI-R2-001 – Manual de Gestão de Segurança da Informação da R2-D2

- Inventário de Riscos – IRSI-001
- MGR-R2-001 – Metodologia de Gestão de Riscos de SI
- DA-001 - Declaração de Aplicabilidade
- POL-R2-003 – Ver. 1.0 – Política de Segurança da Informação

Entre outros, cinluindo contratos com fornecedores externos e acordos com fornecedores internos.

SEÇÃO 02 - EXECUÇÃO

16. PLANEJAMENTO E CONTROLE OPERACIONAL

Cumpre as exigências da(s) norma(s) Não Não
Sim X Não
Planejado Aplicável
8.1

Evidência de apoio

O planejamento e controle operacional pode ser percebido em todo o conteúdo do MGSI-R2-001 e demais
documentos referenciados no mesmo.

17. AVALIAÇÃO E TRATAMENTO DOS RISCOS DE SEGURANÇA DA INFORMAÇÃO

Cumpre as exigências da(s) norma(s) Não Não
Sim X Não
Planejado Aplicável
8.2; 8.3

Evidência de apoio

Foi constatada a realização das avaliações de riscos de segurança, implementada conforme metodologia
MGR-R2-001. Evidenciado o uso dos critérios de riscos e critérios de aceitação de riscos.

Riscos de SI são avaliados de acordo com a sua probabilidade de ocorrência e caracterização dos impactos
caso os riscos se materializem.

Os níveis de risco resultantes podem ser baixos, mádios e altos. São priorizados para tratamento os riscos
altos.

Evidenciado o inventário de riscos – IRSI-001.

Última avaliação de riscos realizada há 5 meses.

Evidenciados os planos de tratamento de riscos implementados de acordo com os riscos priorizados pela
Organização.

Evidenciado que os proprietários dos riscos aprovam os riscos residuais que estiverem de acordo com os
critérios de aprovação dos riscos.
Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 12 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

Foram avaliados os controles da Declaração de Aplicabilidade – DA-001.

NCs constatadas:

NC-menor-006: controle A.5.9: nem todos os ativos associados às informações foram mapeados. Os ativos
de facilities que dão suporte às instalações de processamento de informações (no caso, o DC da R2-D2) são
considerados ativos associados e não estão cadastrados no inventário de ativos.

NC-menor-007: controle A.5.18: Em uma amostragem de 3 pessoas que haviam sido demitidas da Empresa,
foi constatado que para duas delas os direitos de acesso foram cancelados, conforme esperado. Porém,
para uma dessas pessoas, os direitos de acesso ainda estavam ativos (Sr. Marcio Dolar).

SEÇÃO 03 - AVALIAÇÃO DE DESEMPENHO

18. MONITORAMENTO, MEDIÇÃO, ANÁLISE E AVALIAÇÃO

Não Não
Cumpre as exigências da(s) norma(s) Sim X No
Planejado Aplicável
9.1

Evidência de apoio

A R2-D2 realiza o monitoramento adequado do desempenho em segurança da informação através da

metodologia de OKR. Evidenciados os OKrs relativos ao Q3 do ano corrente:

- Security: Objetivo: Aumentar a qualidade técnica das análises; North star: Número de ambientes
comprometidos; Outcome: Satisfação dos clientes e atração de talentos que irão trabalhar em um time
com excelência técnica;

- Internal Security: Aumentar a disponibilidade das plataformas de monitoramento dos ativos dos clientes.
North star: Taxa de disponibilidade dos ambientes; Outcome: ambientes mais seguros.

19. AUDITORIA INTERNA

Cumpre as exigências da(s) norma(s) Sim X Não
9.2

Evidência de apoio

A R2-D2 planeja e executa auditorias internas do seu SGSI a intervalos anuais. As auditorias são
programadas e planejadas e times de auditores competentes são alocados. A última auditoria interna foi
realizada por empresa externa contratada.

Foram evidenciados:

- O Programa de auditoria para o ano atual (3 auditorias previstas ao longo do ano, todas realizadas)
- Os planos de auditoria
- Os relatórios de auditoria
- As evidências de competência dos auditores internos.

20. ANÁLISE CRÍTICA PELA DIREÇÃO

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 13 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

Cumpre as exigências da(s) norma(s) Sim X Não

9.3

Evidência de apoio

A R2-D2 realiza análises críticas mensais dos indicadores e anuais dos demais temas de análise crítica.

As análises críticas são registradas nas apresentações feitas para a diretoria.

Foram evidenciados os registros de análises críticas dos indicadores para todos os meses do ano corrente.

Foi evidenciada a análise crítica anual, contemplando todas as entradas exigidas pela ISO/IEC 27001:2022.
Foram evidenciadas as seguintes decisões tomadas pela diretoria:

- Orçar a migração da infraestrutura para Nuvem

- Estudar criação de posição “coringa”de backup para o NOC, para quando houver indisponibilidade de
analistas.

SEÇÃO 04 - MELHORIA
21. NÃO CONFORMIDADE E AÇÃO CORRETIVA
Cumpre as exigências da(s) norma(s) Sim X Não
10.2

Evidência de apoio

Foi evidenciado o tratamento dado às NC’s de auditoria interna, bem como dos problemas agrupados
(aqueles que configuram erro sistêmico na prestação dos serviços).

22. MELHORIA CONTÍNUA

Cumpre as exigências da(s) norma(s) Sim X Não
10.1

Evidência de apoio

O SGSI da R2-D2 está em fase inicial de maturidade, tendo sido implementado ao longo do ano. Melhorias
contínuas ainda são tímidas. As decisões da Alta Direção tomadas na análise crítica visam a melhoria do SGSI.

REUNIÃO DE ENCERRAMENTO

AGENDA
EVIDÊNCIAS DE AUDITORIA
As evidências de auditoria coletadas foram baseadas em uma amostra das informações disponíveis,
portanto, o resultado da auditoria só pode refletir o estado do sistema de gestão da organização neste
momento único no tempo.
Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 14 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

RELATÓRIOS
O método e os prazos do Relatório de Auditoria foram explicados aos representantes do cliente no
atendimento.

NÃO CONFORMIDADES E AO TRATAMENTO DAS AÇÕES CORRETIVAS.

Os processos da QMS Certification para lidar com não conformidades foram explicados, juntamente com
as potenciais consequências de eventuais não conformidades não resolvidas.
Quaisquer não-conformidades levantadas durante a auditoria foram explicadas aos representantes dos
clientes, juntamente com os prazos necessários para a correção das não conformidades e qualquer
submissão necessária de planos de ação corretiva.

ATIVIDADES PÓS AUDITORIA

Foi explicado ao cliente todas as atividades de pós auditoria a serem desenvolvidas pela QMS Certification,
como elaboração de relatórios, revisão técnica, decisão de certificação e o registo junto ao Organismo de
Acreditação.

RECLAMAÇÕES E RECURSOS
Foi fornecida ao cliente uma breve explicação sobre as reclamações e processos de apelação para a QMS
Certification no que se refere às cláusulas pertinentes do Contrato de Prestação de Serviços e do Relatório
de Auditoria.

Participantes
Meici Windu; Sr. Luke Silveira; Sra. Léia Silveira; Sr. Han Sales; Sr. Obivan Queiroz; Sr. Darte Vandes; Sr.
Bobby Feld; Sra. Mara Jeide; Sr. Chiu Daca

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 15 of 16
 Q Academy ISO/IEC 27001:2022 Assessment Visit Report

SEÇÃO 4 – Planejamento do Ciclo de Auditoria

Legenda: X = planejado, NP = não planejado, C = auditado como planejado, I = Improvement (NC Menor), NC = Não
Conformidade Maior, TIC = auditado conforme planejado utilizando tecnologia de acesso remoto
Nota: O uso das TIC para auditar remotamente é complementar e não é um requisito obrigatório
Auditores: atualize o plano conforme necessário e exclua esta frase

Initial SR1 SR2 RECERT

Critério: ISO/IEC 20000-1:2018
01/23 11/23 11/24 11/25

PREPARAÇÃO

Mandatório - Confirmação do escopo, alterações do

x x x x
sistema e declaração de aplicabilidade
Mandatório - Uso da marca / logotipos x x x x
Mandatório - Questões do relatório anterior, incluindo
x x x x
NC’s

SEÇÃO 1 - PLANEJAMENTO

Mandatório - Contexto da Organização x x x x

Mandatório - Ações para abordar riscos e oportunidades x x x x
Liderança e comprometimento x x x
Política x x x
Papéis, responsabilidades e autoridades x x x
Objetivos de segurança da informação e planejamento
x x x
para alcançá-los
Recursos x x x
Competência x x x
Conscientização x x x
Comunicação x x x
Informação Documentada x x x
Conhecimento x x x
SEÇÃO 2 - EXECUÇÃO

Planejamento e Controle operacional x x x

Avaliação dos riscos de segurança x x X x
Tratamento dos riscos de segurança x x X x
SEÇÃO 3 – AVALIAÇÃO DO DESEMPENHO

Mandatório - Monitoramento, medição, análise e

x x x x
avaliação
Mandatório - Auditoria Interna x x x x
Mandatório - Análise Crítica Pela Direção x x x x
SEÇÃO 4 - MELHORIA

Melhoria, Não conforme, ação corretiva e ação

x x x x
preventiva

Title: Visit Report ITSMS Stage 2 or SR or RC Revised Date: 05/09/2022 Form No: QACADEMY.COR.FM.003ITSMS -PT Page 16 of 16