Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Auditoria NIST CSF 2.0

    Enviado por

    Rafael
    14 visualizações8 páginas
    Auditoria de CiberSegurança baseada em NIST 2.0

    Título original

    Auditoria NIST CSF 2.0 (1)

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Auditoria de CiberSegurança baseada em NIST 2.0

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    14 visualizações8 páginas

    Auditoria NIST CSF 2.0

    Enviado por

    Rafael
    Auditoria de CiberSegurança baseada em NIST 2.0

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 8

    Checklist Auditoria

    NIST CSF 2.0


    17/04/2024
    Criado por: Rafael Neris - Governança em Segurança da Informação

    Rafael Neris
    Função 1: Identificar

    Questionário de Auditoria Conformidade


    A organização possui um inventário de
    todos os ativos de TI, incluindo hardware,
    software e dados?

    O inventário de ativos de TI é atualizado


    regularmente?

    A organização possui um processo para


    identificar e classificar novos ativos de
    TI?
    1

    A organização possui um processo para


    identificar e desativar ativos de TI
    obsoletos ou não utilizados?

    A organização possui um processo para


    identificar e documentar as conexões
    entre os ativos de TI?

    A organização possui um processo para


    identificar e documentar os fluxos de
    dados?

    A organização possui um processo para


    identificar e avaliar os riscos de
    segurança cibernética dos ativos de TI?

    A organização possui um processo para


    priorizar os riscos de segurança
    cibernética dos ativos de TI?

    A organização possui um processo para

    Rafael Neris
    comunicar os riscos de segurança
    cibernética aos stakeholders relevantes?

    A organização possui um processo para


    monitorar e avaliar a eficácia dos
    controles de segurança?

    A organização possui um processo para


    revisar e atualizar os controles de
    segurança periodicamente?

    A organização possui um processo para


    aprender com incidentes de segurança
    cibernética e melhorar seus controles de
    segurança?
    2

    Função 2: Proteger

    Questionário de Auditoria Conformidade


    A organização possui um programa de
    gerenciamento de vulnerabilidades?

    A organização possui um processo para


    identificar e corrigir vulnerabilidades de
    software?

    A organização possui um processo para


    implementar patches e atualizações de
    software?

    A organização possui um processo para

    Rafael Neris
    configurar firewalls e outros dispositivos

    A organização possui um processo para


    criptografar dados confidenciais?

    A organização possui um processo para


    controlar o acesso físico aos ativos de
    TI?

    A organização possui um processo para


    proteger os ativos de TI contra desastres
    naturais e outros eventos de
    interrupção?

    A organização possui um processo para


    proteger os ativos de TI contra malware e
    outras ameaças cibernéticas?

    A organização possui um processo para


    monitorar e auditar a segurança dos
    ativos de TI?

    A organização possui um processo para


    responder a incidentes de segurança
    cibernética?
    3

    A organização possui um processo para


    aprender com incidentes de segurança
    cibernética e melhorar seus controles de
    segurança?

    A organização possui um processo para


    testar regularmente seus controles de
    segurança?

    Rafael Neris
    Função 3: Detectar

    Questionário de Auditoria Conformidade


    A organização possui um sistema de
    detecção de intrusão (IDS)?

    A organização possui um sistema de


    prevenção de intrusão (IPS)?

    A organização possui um sistema de


    monitoramento de rede?

    A organização possui um sistema de


    monitoramento de log?

    A organização possui um processo para


    analisar logs e identificar atividades
    suspeitas?
    4

    A organização possui um processo para


    responder a atividades suspeitas?

    A organização possui um processo para


    compartilhar informações sobre ameaças
    cibernéticas com outras organizações?

    A organização possui um processo para


    treinar seus funcionários para identificar e
    reportar atividades suspeitas?

    A organização possui um processo para


    realizar testes de penetração
    regularmente?

    A organização possui um processo para


    realizar varreduras de vulnerabilidade
    regularmente?

    A organização possui um processo para


    monitorar e auditar a atividade do usuário?

    Rafael Neris
    A organização possui um processo para
    detectar e responder a malwares e outras
    ameaças cibernéticas?
    5

    Função 4: Responder

    Questionário de Auditoria Conformidade


    A organização possui um plano de
    resposta a incidentes de segurança
    cibernética (IR)?

    O plano de IR está documentado,


    atualizado e comunicado a todos os
    funcionários relevantes?

    O plano de IR define os papéis e


    responsabilidades para responder a
    incidentes de segurança cibernética?

    Rafael Neris
    A organização possui uma equipe de
    resposta a incidentes de segurança
    cibernética (IR)?

    A equipe de IR é treinada para responder


    a incidentes de segurança cibernética?

    A organização possui um processo para


    conter incidentes de segurança
    cibernética e minimizar o impacto?

    A organização possui um processo para


    erradicar malware e outras ameaças
    cibernéticas?

    A organização possui um processo para


    recuperar dados e sistemas afetados por
    um incidente de segurança cibernética?

    A organização possui um processo para


    aprender com incidentes de segurança
    cibernética e melhorar seu plano de IR?

    A organização possui um processo para


    comunicar incidentes de segurança
    cibernética aos stakeholders relevantes?
    6

    A organização possui um processo para


    documentar incidentes de segurança
    cibernética?

    A organização possui um processo para


    realizar análises forenses em caso de
    incidente de segurança cibernética?

    Função 5: Governança

    Rafael Neris
    Questionário de Auditoria
    A organização possui uma liderança
    Conformidade

    executiva comprometida com a segurança


    cibernética?

    A segurança cibernética está integrada


    nos objetivos de negócios da
    organização?

    A organização possui um programa de


    gerenciamento de riscos de segurança
    cibernética?

    O programa de gerenciamento de riscos


    identifica, analisa e prioriza os riscos de
    segurança cibernética?

    A organização possui um processo para


    definir e implementar controles de
    segurança para mitigar os riscos de
    segurança cibernética?

    A organização possui um orçamento para


    segurança cibernética?
    7

    A organização possui recursos humanos


    e técnicos suficientes para apoiar seu
    programa de segurança cibernética?

    A organização possui um processo para


    medir e reportar o desempenho do
    programa de segurança cibernética?

    A organização possui um processo para


    continuamente melhorar seu programa de
    segurança cibernética?

    A organização possui um processo para


    documentar e reportar incidentes de
    segurança cibernética?

    A organização possui um processo para


    realizar auditorias de segurança
    cibernética periodicamente?

    Rafael Neris

    Você também pode gostar