Gap Analysis 27001

Formulário: FR-RAI-00.
08
GAP ANALISYS ISO 27001 Emissão:

Revisão: 0
Elaborador por Santos e Gozetto SG Academy - www.santosegozetto.com.br
Autor Vagner Santos - Auditor Lider ISO 27001:2013 - LGPD
SISTEMA DE GESTÃO ISO 27001:2013 Nível Esperado Real %
4 Contexto da Organização 20 20 100%

5 Liderança 15 15 100%
6 Planejamento 16 0 0%
7 Apoio 19 19 100%
8 Operação 16 0 0%
9 Avaliação do Desempenho 17 14 82%
10 Melhoria 8 8 100%
RESULTADO FINAL 111 76 68%
ANEXO - A Nível Esperado Real %
A5 Políticas de Segurança da Informção 2 2 100%

A6 Organização da Segurança da Informação 8 7 88%
A7 Segurança em Recursos Humanos 8 8 100%
A8 Gestão de Ativos 11 11 100%
A9 Controle de Acesso 17 17 100%
A10 Criptografia 2 2 100%
A11 Segurança física do ambiente 16 16 100%
A12 Segurança das Operações 14 14 100%
A13 Segurança das Comunicações 7 7 100%
Aquisição, desenvolvimento e manutenção de
13 13
A14 sistemas 100%
A15 Relacionamento na cadeia de suprimento 5 5 100%
Gestão de Incidentes de segurança da
7 7
A16 Informação 100%
Aspectos da segurança da informação na
4 4
A17 gestão de continuidade de negócio 100%
A18 Conformidade 3 0 0%
RESULTADO FINAL 117 113 97%
Políticas de Segurança da Informção

Conformidade Organização da Segurança da Informação
Aspectos da segurança da informação na gestão de continuidade de negócio Segurança em Recursos Humanos
Gestão de Incidentes de segurança da Informação Gestão de Ativos
Relacionamento na cadeia de suprimento Controle de Acesso
Aquisição, desenvolvimento e manutenção de sistemas Criptografia
Segurança das Comunicações Segurança física do ambiente

Segurança das Operações
ANEXO A – ABNT NBR ISO/IEC 27001:2013 Aplicável ?
Métodos de controle aplicáveis e justificativas de não
aplicabilidade.
Item N° Ref. Controle SIM NÃO
Orientação da
A.5.1
Direção para Objetivo: Prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e
segurança da regulamentações relevantes
informação
Políticas para Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela
A.5 - Política de A.5.1.1 segurança da Direção, publicado e comunicado para os
Estabelecido o DQ-056 – Política de segurança da informação.
segurança da informação funcionários e partes externas relevantes. Estabelecido o documento DQ-057 Diretrizes para segurança da informação
informação
As políticas de segurança da informação devem ser analisadas criticamente a intervalos Não há evidências de uso para que as mesmas possam ser análisadas criticamente.
Análise crítica das planejados ou quando mudanças signifi cativas Sistema de gestão de proteção de ativos de informação ainda em processo de
políticas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia implementação
A.5.1.2
para segurança da
informação
Total do Anexo A5 0
Total esperado do Anexo A5 2
A.6.1 Organização Interna

Objetivo: Estabelecer uma estrutura de gerenciamento para iniciar e controlar a implementação e operação da segurança da informação dentro da
organização.
As responsabilidades definidas no DQ-058 Matriz de riscos e oportunidades na aba

Responsabilidades proprietário. Adicionalmente o documento DQ-12 Descrição de cargo estabelece as
Todas as responsabilidades pela segurança da informação devem ser definidas e
A.6.1.1 papéis da segurança da
atribuídas.
responsabilidades dos funcionários e seus respectivos papéis na segurança da
informação informação. O Documento DQ 015 Organograma também estabelece as as
responsábilidades com relação a segurança da informação.
O documento DQ-12 Descrição de cargo estabelece as responsabilidades dos

Funções conflitantes e áreas de responsabilidade devem ser segregadas para reduzir
Segregação de funcionários e seus respectivos papéis na segurança da informação. O Documento
A.6.1.2 as oportunidades de modificação não autorizada ou não intencional, ou uso indevido
Funções DQ 015 Organograma demonstra se há conflito de interesse e segregação indicada
dos ativos da organização.
para que esse confilto não interfira na segurança dos ativos de informação.
Contato com
A.6.1.3
Autoridades
Contatos apropriados com autoridades relevantes devem ser mantidos. 1- Utilizado o DQ-059 Matriz de Controle de Comunicação com Autoridades
A.6 - Organização
da segurança da Contatos apropriados com grupos especiais, associações profi ssionais ou outros fóruns
informação Contato com grupos
A.6.1.4
especiais
especializados em segurança da informação 1- Utilizado o DQ-059 Matriz de Controle de Com grupos especiais
devem ser mantidos
Segurança da Para atender o requisito A.6.1.5 será realizada uma revisão no procedimento IT30
informação Segurança da informação deve ser considerada no gerenciamento de projetos,
A.6.1.5
no gerenciamento de independentemente do tipo do projeto
Desenvolvimento de Software e incluir rotinas para garatir segurança nos ativos de
projetos informação
Dispositivos móveis de Objetivo: Garantir a segurança das informações no trabalho remoto e no uso de 1- Foi criada a política PR-036 Política de uso dos dispositivos móveis e acesso
A.6.2
trabalho dispositivos móveis remoto
Uma política e medidas que apoiam a segurança da informação devem ser adotadas
Política para o uso de 1- Foi criada a política PR-036 Política de uso dos dispositivos móveis e acesso
A.6.2.1 para gerenciar os riscos decorrentes do uso de
dispositivo móvel remoto
dispositivos móveis.
Uma política e medidas que apoiam a segurança da informação devem ser

1- Foi criada a política PR-036 Política de uso dos dispositivos móveis e acesso
A.6.2.2 Trabalho Remoto implementadas para proteger as informações acessadas, processadas ou armazenadas
em locais de trabalho remoto. remoto
Total do Anexo A6 0
A.7.1 Antes da Contratação

Objetivo: Assegurar que funcionários e partes externas entendem as suas responsabilidades e estão em conformidade com os papéis para os quais eles
foram selecionados.
Verificações do histórico devem ser realizadas para todos os candidatos a emprego, de 1- Criado o procedimento PR-037 Procedimento de Recursos Humanos. Estabelece as rotinas
acordo com a ética, regulamentações e leis relevantes, e para a segurança da informação em recursos humanos na: Contração, seleção, termos e
A.7.1.1 Seleção
deve ser proporcional aos requisitos do negócio, aos riscos percebidos e à classificação condições na contratação, responsabilidades da direção no processo de contratação,
das informações a serem acessadas. conscientização, processo disciplinar, encerramento e mudança na contratação.
1- Criado o documento DQ-062 Termo de Confidencialidade - Todos os funcionários da

Termos e condições da As obrigações contratuais com funcionários e partes externas devem declarar a sua empresa deverão ser treinados com base nesse documento e demonstrar seu compromisso
A.7.1.2
contratação responsabilidade e a da organização para a segurança da informação assinando o mesmo. Profissionais que futuramente serão contratados devem ser orientados
com relação a essas informações durante a atividade de integração.
1- Estabelecido o F013 Ficha de Integração de Colaborares. Essa ficha estabelece o conteúdo

Objetivo: Assegurar que os funcionários e partes externas estão conscientes e cumprem
A.7.2 Durante a Contratação realizado durante a integração e evidencia as informações passadas durante o processo de
as suas responsabilidades pela segurança da informação.
integração
1- Criado o documento DQ-063 Expressão de Comprometimento da Direção. Esse documento

A Direção deve requerer aos funcionários e partes externas que pratiquem a segurança
Responsabilidade da assinado pelo diretor proprietário da empres é entregue na integração e informado para todos
A.7.2.1 da informação de acordo com o estabelecido nas
A.7 - Segurança Direção
políticas e procedimentos da organização.
os funcionários. É uma expressão de compromisso da diretoria da empresa com relação a
em recursos proteção de dados e ativos de informação.
humanos
Conscientização,
Todos os funcionários da organização e, onde pertinente, as partes externas devem 1- O manual da qualidade MQ01 no item 7.2 letra (d) estabelece que a AREATEC mantém um
educação
receber treinamento, educação e conscientização plano de treinamento anual para seus colaboradores, nesse plano estão inclusos treinamentos
A.7.2.2 e treinamento em
apropriados, e as atualizações regulares das políticas e procedimentos organizacionais realacionados a reciclagem de compreensão de suas políticas internas bem como boas práticas
segurança da
relevantes para as suas funções de proteção de dados
informação
1- Criado o documento DQ-062 Termo de Confidencialidade - Todos os funcionários da

empresa deverão ser treinados com base nesse documento e demonstrar seu compromisso
assinando o mesmo. Profissionais que futuramente serão contratados devem ser orientados
Deve existir um processo disciplinar formal, implantado e comunicado, para tomar ações com relação a essas informações durante a atividade de integração. Adicionalmente é mantido
A.7.2.3 Processo Disciplinar contra funcionários que tenham cometido uma o FO-040 Regimento Interno que apresenta as questões disciplinares relacionadas a segurança
violação de segurança da informação. da informação
Encerramento e
Objetivo: Proteger os interesses da organização como parte do processo de mudança 1- Criado o procedimento PR-037 Procedimento de Recursos Humanos. O item 5.3 termos e
A.7.3 Mudança na
ou encerramento da contratação. condições do desligamento fornecem a poltica adotada
Contratação
1- No documento DQ-062 Termo de Confidencialidade Clausula 7 paragrafo primeiro
Responsabilidades pelo As responsabilidades e obrigações pela segurança da informação que permaneçam estabelece as codições no encerramento de uma contratação.
encerramento ou válidas após um encerramento ou mudança da
A.7.3.1
mudança contratação devem ser definidas, comunicadas aos funcionários ou partes externas e
da contratação cumpridas
Total do Anexo A7 0
Responsabilidade
A.8.1
pelos Ativos Objetivo: Identifi car os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.
Os ativos associados com informação e com os recursos e processamento da

A.8.1.1 Inventário dos Ativos informação devem ser identifi cados, e um inventário destes ativos deve ser estruturado
e mantido.
A.8.1.2 Proprietário dos Ativos Os ativos mantidos no inventário devem ter um proprietário.
Regras para o uso aceitável das informações, dos ativos associados com informação e
Uso aceitável dos
A.8.1.3 os recursos de processamento da informação devem ser identifi cados, documentados e
Ativos
implementados.
Todos os funcionários e partes externas devem devolver todos os ativos da organização

A.8.1.4 Devolução de Ativos que estejam em sua posse após o encerramento de suas atividades, do contrato ou
acordo
Classificação da Objetivo: Assegurar que a informação receba um nível adequado de proteção, de

A.8.2
Informação acordo com a sua importância para a organização
A.8 - Gestão de Classificação da A informação deve ser classificada em termos do seu valor, requisitos legais,
A.8.2.1
Informação sensibilidade e criticidade para evitar modificação ou divulgação não autorizada
ativos
Um conjunto apropriado de procedimentospara rotular e tratar a informação deve ser

Rotulos e tratamento da
A.8.2.2 desenvolvido e implementado de acordo com o esquema de classificação da
Informação
informação adotado pela organização
Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados

A.8.2.3 Tratamento dos Ativos
de acordo com o esquema de classificação da informação adotada pela organização.
Objetivo: Prevenir a divulgação não autorizada, modifi cação, remoção ou destruição da

A.8.3 Tratamento das Mídias
informação armazenada nas mídias.
Procedimentos devem ser implementados para o gerenciamento de mídias removíveis,

Gerenciamento de
A.8.3.1 de acordo com o esquema de classificação adotado pela
Mídias Removíveis
organização.
As mídias devem ser descartadas de forma segura e protegida quando não forem mais
A.8.3.2 Descarte das Mídias
necessárias, por meio de procedimentos formais
Transferência das Mídias contendo informações devem ser protegidas contra acesso não autorizado, uso
A.8.3.3
Mídias impróprio ou corrompida, durante o transporte.
Total do Anexo A8 0
Requisitos do Negócio
A.9.1 para Controle de Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação
Acesso
Política de Controle de Uma política de controle de acesso deve ser estabelecida, documentada e analisada
A.9.1.1 Estabelecido o DQ-064 Política de Controle de Acesso.
Acesso criticamente, baseada nos requisitos de segurança da informação e dos negócios.
Acesso a rede e aos Os usuários devem somente receber acesso às redes e aos serviços de rede que
A.9.1.2 Estabelecida rotina do DQ-064 item 4 de a-I
serviços de rede tenham sido especificamente autorizados a usar
Gerenciamento de
A.9.2
acesso a usuário Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços
Registro e
Um processo formal de registro e cancelamento de usuário deve ser implementado para O intem 4 (i) do DQ-064 Política de Controle de Acesso estabelece as regras e rotinas para o
A.9.2.1 cancelamento de
permitir atribuição dos direitos de acesso. cancelamento de usuários.
usuário
Um processo formal de provisionamento de acesso do usuário deve ser implementado

Provisionamento de
A.9.2.2 para conceder ou revogar os direitos de acesso para Conforme definido no item 4 do DQ-064 Política de Controle de Acesso.
acesso do usuário
todos os tipos de usuários em todos os tipos de sistemas e serviços.
Gerenciamento de
A.9.2.3 direitos de acesso A concessão e uso de direitos de acesso privilegiado devem ser restritos e controlados. Conforme definido no item 4 do DQ-064 Política de Controle de Acesso.
privilegiado
Gerenciamento da
Informação de A concessão de informação de autenticação secreta deve ser controlada por meio de
A.9.2.4 Conforme definido no item 4 do DQ-064 Política de Controle de Acesso.
autenticação secreta de um processo de gerenciamento formal
usuários
A.9 - Requisitos Análise Crítica dos

Os proprietários de ativos devem analisar criticamente os direitos de acesso dos
do negócio para A.9.2.5 direitos de acesso do Conforme definido no item 7 do DQ-064 Política de Controle de Acesso.
usuários, a intervalos regulares
usuário
controle de
acesso Os direitos de acesso de todos os funcionários e partes externas às informações e aos
Retirada dos direitos de recursos de processamento da informação devem ser
A.9.2.6 Conforme definido no item 4 (i) do DQ-064 Política de Controle de Acesso.
acesso retirados após o encerramento de suas atividades, contratos ou acordos, ou ajustado
após a mudança destas atividades.
Responsabilidades
A.9.3
dos usuários Objetivo: Tornar os usuários responsáveis pela proteção das suas informações de autenticação.
Uso da informação de Os usuários devem ser orientados a seguir as práticas da organização quanto ao uso da O item 4 b, c, d, e do DQ-064 Política de Controle de Acesso, estabelece as praticas.
A.9.3.1
autenticação secreta informação de autenticação secreta. Adicionalmente o item 5 estabelece as condições para uso de senha
Controle de acesso ao
A.9.4
sistema e a aplicação Objetivo: Prevenir o acesso não autorizado aos sistemas e aplicações.
Restrição de acesso à O acesso à informação e às funções dos sistemas de aplicações deve ser restrito de
A.9.4.1 Conforme definido no item 4 do DQ-064 Política de Controle de Acesso
informação acordo com a política de controle de acesso.
Procedimentos seguros
Onde aplicavél pela política de controle de acesso, o acesso aos sistemas e aplicações
A.9.4.2 de entrada no sistema Conforme definido no item 4 do DQ-064 Política de Controle de Acesso
devem ser controlados por um procedimento seguro de entrada no sistema (log-on).
(Log-on)
Sistema de
Sistemas para gerenciamento de senhas devem ser interativos e devem assegurar
A.9.4.3 gerenciamento de Conforme definido no item 5 do DQ-064 Política de Controle de Acesso
senhas de qualidade.
senha
O uso de programas utilitários que podem ser capazes de sobrepor os controles dos
Uso de programas
A.9.4.4 sistemas e aplicações deve ser restrito e estritamente Conforme definido no item 6 do DQ-064 Política de Controle de Acesso
utilitários privilegiados
controlado
Controle de acesso ao
A.9.4.5 código-fonte de O acesso ao código-fonte de programa deve ser restrito Conforme definido no item 4 -Rede do DQ-064 Política de Controle de Acesso
programas
Total do Anexo A9 0
A.10.1 Controle critográficos

Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade, autenticidade e/ou a integridade da
informação.
Política para uso de Deve ser desenvolvida e implementada uma política para o uso de controles
A.10 - Criptografia A.10.1.1 controle criptográficos criptográficos para a proteção da informação
DQ-067 Controles Critptográficos
Gerenciamento de Uma política sobre o uso, proteção e tempo de vida das chaves criptográficas deve ser
A.10.1.2 DQ-067 Controles Critptográficos
chaves desenvolvida e implementada ao longo de todo o seu ciclo de vida.
Total do Anexo A9 0
A.11.1 Áreas Seguras

Objetivo: Prevenir o acesso físico não autorizado, danos e interferências nos recursos de processamento das informações e nas
informações da organização.
Perímetros de segurança devem ser definidos e usados para proteger tanto as

A.11.1.1 Perímetro de segurança instalações de processamento da informação como as áreas que contenham DQ-065 Segurança Física do Ambiente
informações críticas ou sensíveis
Controles de entrada As áreas seguras devem ser protegidas por controles apropriados de entrada para
A.11.1.2 DQ-065 Segurança Física do Ambiente
física assegurar que somente pessoas autorizadas tenham acesso permitido.
Segurana em
A.11.1.3 escritórios, salas e Deve ser projetada e aplicada segurança física para escritórios, salas e instalações. DQ-065 Segurança Física do Ambiente
Instalações
Proteção contra as
Deve ser projetada e aplicada proteção física contra desastres naturais, ataques
A.11.1.4 ameaças externas e do DQ-065 Segurança Física do Ambiente
maliciosos ou acidentes.
meio ambiente
Trabalho em áreas Devem ser projetados e aplicados procedimentos para o trabalho em áreas
seguras seguras
Pontos de acesso, como áreas de entrega e de carregamento, e outros pontos em que

Áreas de entrega e de pessoas não autorizadas possam entrar nas instalações, devem ser controlados e, se
de carregamento possível, isolados das instalações de processamento da
informação, para evitar o acesso não autorizado
A.11.2 Equimentos Objetivo: Impedir perdas, danos, roubo, ou comprometimento de ativos e interrupção das operações da organização.
A.11 - Segurança Os equipamentos devem ser protegidos e colocados em locais para reduzir os riscos de
física e do Localização e proteção
A.11.2.1 ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não DQ-065 Segurança Física do Ambiente
do equipamento
ambiente autorizado
Os equipamentos devem ser protegidos contra falta de energia elétrica e outras

A.11.2.2 Utilidades DQ-065 Segurança Física do Ambiente
interrupções causadas por falhas das utilidades.
O cabeamento de energia e de telecomunicações que transporta dados ou dá

Segurança e
A.11.2.3 suporte aos serviços de informações deve ser protegido contra interceptação, DQ-065 Segurança Física do Ambiente
cabeamento
interferência ou danos.
Manutenção dos Os equipamentos devem ter uma manutenção correta para assegurar a sua contínua
Equipamentos integridade e disponibilidade.
Equipamentos, informações ou software não devem ser retirados do local sem

A.11.2.5 Remoção de ativos DQ-065 Segurança Física do Ambiente
autorização prévia
Segurança de
Devem ser tomadas medidas de segurança para ativos que operem fora do local,
equipamentos e ativos
A.11.2.6 levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das DQ-065 Segurança Física do Ambiente
fora das dependencias
dependências da organização
da organização
Todos os equipamentos que contenham mídias de armazenamento de dados devem ser

Reutilização e ou
examinados antes da reutilização, para assegurar que todos os dados sensíveis e
A.11.2.7 descarte seguro de DQ-065 Segurança Física do Ambiente
softwares licenciados tenham sido removidos ou
equipamentos
sobregravados com segurança.
Equipamento de usuário Os usuários devem assegurar que os equipamentos não monitorados tenham proteção
sem monitoração adequada.
Devem ser adotadas uma política de mesa limpa para papéis e mídias de
Política de mesa limpa
A.11.2.9 armazenamento removíveis e uma política de tela limpa para os recursos de DQ-66 Política de Mesa e Tela Limpa
e tela limpa
processamento da informação.
Total do Anexo 11 0
Total esperado do Anexo 11 15
Seguranças das
A.12.1
Operações Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.
Documentação dos Os procedimentos de operação devem ser documentados e disponibilizados para todos
A.12.1.1 procedimentos de os usuários que necessitam deles. DQ-068 Segurança das Operações - FO 059 Controle de Mudanças
operação
Mudanças na organização, nos processos do negócio, nos recursos de processamento
A.12.1.2 Gestão de Mudanças da informação e nos sistemas que afetam a segurança da informação devem ser DQ-068 Segurança das Operações - FO 059 Controle de Mudanças
controladas
A utilização dos recursos deve ser monitorada e ajustada, e as projeções devem ser
A.12.1.3 Gestão de Capacidade feitas para as necessidades de capacidade futura para garantir DQ-068 Segurança das Operações - FO 059 Controle de Mudanças
o desempenho requerido do sistema.
Ambientes de desenvolvimento, teste e produção devem ser separados para reduzir os

Separação dos riscos de acessos ou modificações não autorizadas no ambiente de produção.
ambientes
A.12.1.4 de desenvolvimento, DQ-068 Segurança das Operações - FO 059 Controle de Mudanças
teste e
de produção
Proteção contra
A.12.2
malware Objetivo: Assegurar que as informações e os recursos de processamento da informação estão protegidos contra malware
Devem ser implementados controles de detecção, prevenção e recuperação para
Controles contra proteger contra malware, combinados com um adequado programa de conscientização
A.12.2.1 do usuário Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
malware
A.12.3 Cópias de Segurança Objetivo: Proteger contra a perda de dados.

Cópias de segurança das informações, softwares e das imagens do sistema devem ser
Cópias de segurança efetuadas e testadas regularmente conforme a política de
A.12.3.1 das geração de cópias de segurança definida. Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
informações
Registros de
A.12.4
Monitoramento Objetivo: Registrar eventos e gerar evidências.
Registros de eventos (log) das atividades do usuário, exceções, falhas e eventos de
segurança da informação devem ser produzidos, mantidos e analisados criticamente, a
A.12.4.1 Registros de Eventos Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
intervalos regulares
Proteção das Controle As informações dos registros de eventos (log) e seus recursos devem ser
A.12 - Segurança informações protegidos contra acesso não autorizado e adulteração.
nas operações A.12.4.2 Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
dos registros de
eventos (logs)
Registros de eventos As atividades dos administradores e operadores do sistema devem ser registradas e os
(log) registros (logs) devem ser protegidos e analisados
A.12.4.3 criticamente, a intervalos regulares. Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
de administrador
e operador
Os relógios de todos os sistemas de processamento de informações relevantes, dentro

Sincronização dos
A.12.4.4 da organização ou do domínio de segurança, devem ser sincronizados com uma fonte Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
Relógios
de tempo precisa
Controle de software
A.12.5
operacional Objetivo: Assegurar a integridade dos sistemas operacionais.
Procedimentos para controlar a instalação de software em sistemas operacionais devem

Instalação de software ser implementados.
A.12.5.1 nos Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
sistemas operacionais
Gestão de
A.12.6 vulnerabilidades Objetivo: Prevenir a exploração de vulnerabilidades técnicas
técnicas
Informações sobre vulnerabilidades técnicas dos sistemas de informação em uso devem
Gestão de ser obtidas em tempo hábil; a exposição da organização a estas vulnerabilidades deve
A.12.6.1 vulnerabilidades ser avaliada e devem ser tomadas as medidas Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
técnicas apropriadas para lidar com os riscos associados
Restrições quanto à Regras definindo critérios para a instalação de software pelos usuários devem ser
A.12.6.2 Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
instalação de software estabelecidas e implementadas
Considerações quanto
à auditoria de
A.12.7
sistemas de Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais
informação
As atividades e requisitos de auditoria envolvendo a verificação nos sistemas
Controles de auditoria operacionais devem ser cuidadosamente planejados e acordados para minimizar
A.12.7.1 de sistemas de interrupção nos processos do negócio Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
informação
Total do Anexo 12 0
Gerenciamento da
A.13.1
segurança em redes Objetivo: Assegurar a proteção das informações em redes e dos recursos de processamento da informação que as apoiam.
As redes devem ser gerenciadas e controladas para proteger as informações nos

A.13.1.1 Controle de redes DQ-070 Segurança nas comunicações - ver item 4.13.1
sistemas e aplicações.
Mecanismos de segurança, níveis de serviço e requisitos de gerenciamento de todos os
serviços de rede devem ser identificados e incluídos em qualquer acordo de serviços de
Segurança nos serviços rede, tanto para serviços de rede providos
A.13.1.2 DQ-070 Segurança nas comunicações - ver item 4.13.1
de rede internamente como para terceirizados
Grupos de serviços de informação, usuários e sistemas de informação devem ser

A.13.1.3 Segregação de redes DQ-070 Segurança nas comunicações - ver item 4.13.1
segregados em redes.
A.13 - Segurança A.13.2 Transferência de

informação Objetivo: Manter a segurança da informação transferida dentro da organização e com quaisquer entidades externas
nas comunicações
Políticas e
Políticas, procedimentos e controles de transferências formais devem ser estabelecidos
procedimentos para
A.13.2.1 para proteger a transferência de informações por meio do uso de todos os tipos de DQ-070 Segurança nas comunicações - ver item 8.13.2
transferência de
recursos de comunicação.
informações
Acordos para
Devem ser estabelecidos acordos para transferência segura de informações do negócio
A.13.2.2 transferência de DQ-070 Segurança nas comunicações - ver item 9.13.2
entre a organização e partes externas
informações
As informações que trafegam em mensagens eletrônicas devem ser adequadamente
A.13.2.3 Mensagens eletrônicas DQ-070 Segurança nas comunicações - ver item 10.13.3
protegidas
Acordos de Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as

A.13.2.4 confidencialidade e não necessidades da organização para a proteção da informação DQ-070 Segurança nas comunicações - ver item 10.13.2 - DQ-062
divulgação devem ser identificados, analisados criticamente e documentados
Total do Anexo 13 0
Requisitos de Objetivo: Garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos
A.14.1
segurança de para sistemas de informação que fornecem serviços sobre as redes públicas.
sistemas de
informação
Os requisitos relacionados com segurança da informação devem ser incluídos nos
Análise e especificação requisitos para novos sistemas de informação ou melhorias
dos requisitos de dos sistemas de informação existentes
A.14.1.1 Criada a IT030 Projeto e desenvolvimento de Software, item 3
segurança da
informação
Serviços de aplicação As informações envolvidas nos serviços de aplicação que transitam sobre redes
A.14.1.2 seguros em redes públicas devem ser protegidas de atividades fraudulentas, disputas contratuais e Criada a IT030 Projeto e desenvolvimento de Software, item 3
públicas divulgação e modificações não autorizadas
Informações envolvidas em transações nos aplicativos de serviços devem ser

Protegendo as
protegidas para prevenir transmissões incompletas, erros de roteamento, alterações não
A.14.1.3 transações nos Criada a IT030 Projeto e desenvolvimento de Software.
autorizadas de mensagens, divulgação não autorizada,
aplicativos de serviços
duplicação ou reapresentação de mensagem não autorizada
Segurança em
processos de
A.14.2
desenvolvimento e de Objetivo: Garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação.
suporte
Regras para o desenvolvimento de sistemas e software devem ser estabelecidas e
Política de
A.14.2.1 aplicadas aos desenvolvimentos realizados dentro da Criada a IT030 Projeto e desenvolvimento de Software.
desenvolvimento seguro
organização
Mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser
Procedimentos para controladas utilizando procedimentos formais de controle de mudanças.
A.14 - Aquisição, A.14.2.2 controle de mudanças Criada a IT030 Projeto e desenvolvimento de Software.
de sistemas
desenvolvimento e
manutenção de Aplicações críticas de negócios devem ser analisadas criticamente e testadas quando
sistemas Análise crítica técnica plataformas operacionais são mudadas, para garantir que não haverá nenhum impacto
das aplicações após adverso na operação da organização ou na
A.14.2.3 mudanças nas segurança Criada a IT030 Projeto e desenvolvimento de Software.
plataformas
operacionais
Restrições sobre Modificações em pacotes de software devem ser desencorajadas e devem estar
A.14.2.4 mudanças em pacotes limitadas às mudanças necessárias, e todas as mudanças Criada a IT030 Projeto e desenvolvimento de Software.
de software devem ser estritamente controladas.
Princípios para projetar sistemas seguros devem ser estabelecidos, documentados,
Princípios para projetar
A.14.2.5 mantidos e aplicados para qualquer implementação de Criada a IT030 Projeto e desenvolvimento de Software.
sistemas seguros
sistemas de informação.
As organizações devem estabelecer e proteger adequadamente os ambientes seguros
Ambiente seguro para de desenvolvimento, para os esforços de integração e desenvolvimento de sistemas,
A.14.2.6 que cubram todo o ciclo de vida de desenvolvimento de sistema Criada a IT030 Projeto e desenvolvimento de Software.
desenvolvimento
Desenvolvimento A organização deve supervisionar e monitorar as atividades de desenvolvimento de

A.14.2.7 Criada a IT030 Projeto e desenvolvimento de Software.
terceirizado sistemas terceirizado
Teste de segurança do Testes de funcionalidade de segurança devem ser realizados durante o
sistema desenvolvimento de sistemas
Programas de testes de aceitação e critérios relacionados devem ser estabelecidos para
Teste de aceitação de novos sistemas de informação, atualizações e novas versões
sistemas
A.14.3 Dados para teste Objetivo: Assegurar a proteção dos dados usados para teste
Proteção dos dados
A.14.3.1 Os dados de teste devem ser selecionados com cuidado, protegidos e controlados Criada a IT030 Projeto e desenvolvimento de Software.
para teste
Total do Anexo 14 0
Segurança da
A.15.1 informação na cadeia Objetivo: Garantir a proteção dos ativos da organização que são acessados pelos fornecedores.
de suprimento
Requisitos de segurança da informação para mitigar os riscos associados com o acesso

Política de segurança dos fornecedores aos ativos da organização devem ser acordados com o fornecedor e
da informação no documentados
A.15.1.1
relacionamento com os
x Aplicação das rotinas prevista no DQ-070 Segurança da Informação na cadeia de suprimento.
fornecedores
Todos os requisitos de segurança da informação relevantes devem ser estabelecidos e

Identificando segurança acordados com cada fornecedor que possa acessar,
Aplicação das rotinas prevista no DQ-070 Segurança da Informação na cadeia de suprimento.
da informação nos processar, armazenar, comunicar ou prover componentes de infraestrutura de TI para
A.15.1.2
acordos com
x Os requisitos de segurança estão determinados no contrato e no DQ-062 Termo de
as informações da organização Confidencialidade
fornecedores
A.15 -
Acordos com fornecedores devem incluir requisitos para contemplar os riscos de
Relacionamento Cadeia de suprimento segurança da informação associados com a cadeia de suprimento de produtos e
na cadeia de A.15.1.3
na tecnologia da serviços de tecnologia da informação e comunicação x
suprimento informação e Os requisitos de segurança estão determinados no contrato.
comunicação
Gerenciamento da
A.15.2 entrega do serviço do Objetivo: Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com fornecedores.
fornecedor
Monitoramento e
análise crítica de A organização deve monitorar, analisar criticamente e auditar, a intervalos regulares, a
A.15.2.1
serviços com entrega dos serviços executados pelos fornecedores
x Os requisitos de segurança estão determinados no contrato e no DQ-062 Termo de
Confidencialidade
fornecedores
Mudanças no provisionamento dos serviços pelos fornecedores, incluindo manutenção e
Gerenciamento de melhoria das políticas de segurança da informação, dos procedimentos e controles Aplicação das rotinas prevista no DQ-070 Segurança da Informação na cadeia de suprimento.
A.15.2.2 mudanças para serviços existentes, devem ser gerenciadas, levando-se em conta a criticidade das informações x Os requisitos de segurança estão determinados no contrato e no DQ-062 Termo de
com fornecedores do negócio, dos sistemas e processos envolvidos e a reavaliação de riscos Confidencialidade
Total do Anexo 15 5
Gestão de incidentes
A.16.1
de segurança da Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação
informação e sobre fragilidades e eventos de segurança da informação
melhorias
Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar

Responsabilidades e respostas rápidas, efetivas e ordenadas aos incidentes de segurança da informação
A.16.1.1
procedimentos
Os eventos de segurança da informação devem ser relatados por meio dos canais de
Notificação de eventos gestão, o mais rapidamente possível
A.16.1.2 de segurança da
informação
Os funcionários e partes externas que usam os sistemas de informação e serviços da

Notificando fragilidades organização devem ser instruídos a notificar e registrar quaisquer fragilidades de
A.16 - Gestão de A.16.1.3 de segurança da segurança da informação, observada ou suspeita, nos
informação sistemas ou serviços
incidentes de
segurança da
informação
Avaliação e decisão dos Os eventos de segurança da informação devem ser avaliados, e deve ser decidido se
A.16.1.4 eventos de segurança eles são classifi cados como incidentes de segurança da
da informação informação
Incidentes de segurança da informação devem ser reportados de acordo com

Respostas aos procedimentos documentados
A.16.1.5 incidentes de segurança
da informação
Os conhecimentos obtidos da análise e resolução dos incidentes de segurança da

Aprendendo com os informação devem ser usados para reduzir a probabilidade ou o impacto de incidentes
A.16.1.6 incidentes de segurança futuros
da informação
A organização deve definir e aplicar procedimentos para a identificação, coleta,

A.16.1.7 Coleta de evidências aquisição e preservação das informações, as quais podem servir como evidências
Total do Anexo 16 0
Continuidade da
A.17.1 segurança da Objetivo: A continuidade da segurança da informação deve ser contemplada nos sistemas de gestão da continuidade do negócio da organização
informação
Planejando a A organização deve determinar seus requisitos para a segurança da informação e a
continuidade da continuidade da gestão da segurança da informação em situações adversas, por
A.17.1.1 exemplo, durante uma crise ou desastre DQ-072 Plano de Continuidade de Negócios.
segurança da
informação
Implementando a A organização deve estabelecer, documentar, implementar e manter processos,

A.17 - Aspectos da A.17.1.2 continuidade da procedimentos e controles para assegurar o nível requerido de continuidade para a
DQ-072 Plano de Continuidade de Negócios.
segurança da segurança da segurança da informação durante uma situação adversa
informação na informação
gestão da Verificação, análise A organização deve verificar os controles de continuidade da segurança da informação,
continuidade do crítica e avaliação da estabelecidos e implementados, a intervalos regulares, para garantir que eles são
válidos e eficazes em situações adversas
negócio A.17.1.3 continuidade da DQ-072 Plano de Continuidade de Negócios.
segurança da
informação
A.17.2 Redundâncias Objetivo: Assegurar a disponibilidade dos recursos de processamento da informação

Disponibilidade dos
recursos de Os recursos de processamento da informação devem ser implementados com
A.17.2.1 DQ-072 Plano de Continuidade de Negócios.
processamento da redundância suficiente para atender aos requisitos de disponibilidade
informação
Total do Anexo 17 0
Conformidade com
A.18.1 requisitos legais e
Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de
contratuais quaisquer requisitos de segurança
Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e
Identificação da o enfoque da organização para atender a esses requisitos, devem ser explicitamente
A.18.1.1 legislação aplicável e de identificados, documentados e mantidos
requisitos contratuais atualizados para cada sistema de informação da organização
Procedimentos apropriados devem ser implementados para garantir a conformidade

com os requisitos legislativos, regulamentares e contratuais relacionados com os
Direitos de propriedade direitos de propriedade intelectual e sobre o uso de
A.18.1.2
intelectual produtos de software proprietários
Registros devem ser protegidos contra perda, destruição, falsificação, acesso não
A.18.1.3 Proteção de registros autorizado e liberação não autorizada, de acordo com os requisitos regulamentares,
estatutários, contratuais e do negócio
A privacidade e proteção das informações de identificação pessoal devem ser
Proteção e privacidade asseguradas conforme requerido por legislação e regulamentação pertinente, quando
A.18.1.4 de informações de aplicável
identificação de pessoal
A.18 –
Conformidade Controles de criptografia devem ser usados em conformidade com todas as leis,
Regulamentação de acordos, legislação e regulamentações pertinentes
A.18.1.5
controles de criptografia
Análise crítica da Objetivo: Assegurar que a segurança da informação está implementada e operada de acordo com as políticas e procedimentos da
A.18.2 segurança da
informação organização.
O enfoque da organização para gerenciar a segurança da informação e a sua
implementação (por exemplo, objetivo dos controles, controles, políticas, processos e
Análise crítica procedimentos para a segurança da informação) deve ser analisado criticamente, de
independente da forma independente, a intervalos planejados, ou
A.18.2.1
segurança da quando ocorrerem mudanças significativas
informação
Os gestores devem analisar criticamente, a intervalos regulares, a conformidade dos

Conformidade com as procedimentos e do processamento da informação, dentro das suas áreas de
políticas e normas de responsabilidade, com as normas e políticas de segurança e quaisquer outros requisitos
A.18.2.2
segurança da de segurança da informação
informação
Os sistemas de informação devem ser analisados criticamente, a intervalos regulares,

Análise crítica da para verificar a conformidade com as normas e políticas de segurança da informação da
A.18.2.3
conformidade técnica organização
Total do Anexo 18 0
Rotina
4- Contexto da Organização Criada
4.1 Entendendo a organização e seu contexto 5

1 Encontra-se definidas as questões internas e externas pertinentes a propósito da empresa. X
2 Essas questões internas e externas tem sido monitoradas e análisadas criticamente X

3 Foi considerado os cenários econômicos, ambiente legal e tecnológico, bem como questões nacionais, X
internacionais? (5.3 ISO 31000:2019)
4 Tem sido mantido uma forma de se envidenciar as questões internas e externas da organização. X
(5.3 ISO 31000:2019)
5 Evidencias de uso e aplicação X
Comentários: Rotina envidenciada com o sistema ISO 9001 Certificado
4.2 Entendendo as Necessidades e Expectativas das Partes Interessadas

4
1 Encontra-se definida as partes interessadas no sistema de gestão de qualidade x
2 Os requisitos dessas partes interessadas pertinentes ao sistema de gestão tem sido considerados x
3 Tem sido realizado o monitoramento e análise crítica da informação das partes interessadas e seus requisitos x
pertinentes.
5 Evidencias de uso e aplicação x
Comentários:
4.3 Determinando o escopo do sistema de gestão da qualidade. 5

1 Na preparação do escopo foi considerada as questões externas e internas conforme requerido no capitulo 4.1 x
2 É possível perceber na descrição do escopo que os requisitos das partes interessadas estão coberto bem x
como os produtos e serviços
3 Está implementado como informação documentada? x
4 Justificativas adequadas foram preparadas caso algum requisitos dessa norma não foi considerado aplicável x
ao escopo?

Comentários: Processo evidenciado o sistema ISO 9001 Certificado
4.4 Sistema de Gestão da Qualidade e seus Processos 6

1 Encontram-se determinados os processos dos sistema de gestão da qualidade e suas interações x
2 Encontram-se determinadas as entradas e saídas dos processos. x

3 Os métodos, critérios, indicadores de desempenho para operação eficazes desses processo foram x
desenvolvidos?
4 Responsabilidades, autoridades bem como a abordagem dos riscos dos riscos e oportunidades ? x
5 Manutenção de informação documentada para apoiar a operação dos processos, retenção de informação x
documentada de realização dos processos?
Evidências Processo evidenciado o sistema ISO 9001 Certificado
100% %
Total da Sessão Contexto da Organização 20
Total Esperado 20
Santos e Gozetto S& Academy - www.santosegozetto.com.br
5- LIDERANÇA
5.1 Liderança e Comprometimento
1 Política da qualidade e objetivos da qualidade estão definidos e contextualizados com o direcionamento
estratégico da organização
2 A gestão da qualidade encontra-se integrada nos processos de negócios da organização
3 Tem sido promovida a abordagem de processo bem como a mentalidade de riscos.
4 A importância de gestão da qualidade eficaz para o atendimentos dos requisitos do sistema de gestão tem sido
comunicada
5 Tem ocorrido a promoção do engajamento das pessoas .
6 Evidencias de uso e aplicação
Evidencias
5.2 Política
5.2.1 Desenvolvendo a Política de Segurança da Informação
1 É apropriada aos propósitos e ao contexto da organização. Ver 4.1
2 Estruturada de forma a desdobrar-se em objetivos da segurança da informação
3 3.1 Inclui um comprometimento com a melhoria continua
4 Comunicando a Política de Segurança da Informação

a)Está disponível e mantida como informação documentada
b) Esta comunicada, entendida e aplicada na organização
c) Está disponível para as partes interessadas.

Comentários: 4- b) Falta iniciar o processo de divulgação da política de segurança da informação tanto na site quanto internamente
5.3 Papéis Responsabilidade e Autoridade

1 Se encontram definidos os papeis, responsabilidade e autoridade. Estão atribuídas, comunicadas e entendidas
por toda a organização
2 Assegurar que o SSI esteja conforme os requisitos dessa norma?
3 Que os processos entreguem as saídas pretendidas
4 Ocorra um relato do desempenho do sistema de gestão e oportunidades de melhoria para alta direção (ver
10.1) A integridade do sistema de gestão é mantida quando mudanças forem implementadas.

Comentários: 1- Definida no DQ-012 Descrição de Cargos.
2- Falta revisar o DQ-012 para que as informações relativas a segurança da informação sejam apresentadas
%
Total da Sessão Liderança
Total Esperado
com.br
Rotina Rotina Rotina

Criada Implementada Evidenciada
5 5
x x
x x
x x
x x
x x
x x
5 0 0
X
x
x
x
x
e
5 4 0
x x
x x
x x
x x
100%
15
15
6- PLANEJAMENTO
6 Planejamento
1 A organização determinou os riscos e oportunidades a serem abordados para assegurar que o sistema de
gestão da qualidade possa alcançar seus resultados pretendidos?
2 O sistema garante que os efeitos indesejáveis aos processos estão mapeados
3 O sistema garante meios para aumentar os efeitos desejáveis
4 Buscar a melhoria
5 Os processos tem sido integrados com ações conforme previsto na sessão 4.4 e a eficácia dessas ações tem
sido avaliadas.
Comentários:
6.2
6.2.1 A organização deve estabelecer objetivos da segurança da informação, níveis e processos
pertinentes, necessários para o sistema de gestão da segurança da informação
1 São coerentes com a política da qualidade, são mensuráveis e levam em conta os requisitos aplicáveis.
2 São pertinentes para a conformidade dos produtos e serviços

3 Estão sendo monitorados e são comunicados para toda a organização
4 Atualizado como apropriado

Comentários:
6.2.2 Planejamento de como alcançar os objetivos da segurança da informação

1 Esta definido o que será feito
2 Quais os recursos necessários
3 Quem será o responsável
4 Quando será concluído e como os resultados serão avaliados
Comentários:
%
Total da Sessão Planejamento
Total Esperado
om.br

0%
0
16
7- APOIO
7.1 Recursos
1 Tem sido considerada a capacidade e restrições dos recursos existentes
2 A organização considera o que precisa ser obtido de provedores externos quando determina e provê os
recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do sistema de
gestão da qualidade?
Comentários: Evidenciado
7.2 Competência
1 A organização determina a competência necessária de pessoa(s) que realize(m) trabalho sob o seu controle
que afete o desempenho e a eficácia do sistema de gestão da qualidade?
2 A organização assegura que essas pessoas sejam competentes, com base em educação, treinamento ou
experiência apropriados?
3 A organização toma ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas,
onde aplicável?
4 A organização retém informação documentada, apropriada como evidência de competência?

Comentários: Rotina envidenciada com o sistema ISO 9001 Certificado
7.3 Conscientização
1 A organização assegura que pessoas que realizam trabalho sob o controle da organização estão conscientes
da política da qualidade?

Comentários:
7.4 Comunicação
1 A organização determina sobre o que comunicar, com quem se comunicar , como se comunicar e quem
comunica?
Comentários: Rotina evidenciada com sitema ISO certificado
7.5 Informação Documentada

1 Atende a informação documentada requerida pela ISO 9001:2015?
2 Estabeleceu documentação adicional requerida pelo sistema de gestão da qualidade?
3 A documentação do SGQ possui identificação apropriada?
4 Esta identificada, titulo, data, autor, número de referencia?
5 É analisada para aprovação e suficiência?

6
Esta protegida, disponível em seu local de uso e com controle de alterações? Retenção e Disposição

Comentários: x
%
Total da Sessão Apoio
Total Esperado
.com.br

3 0 0
x
x
5
x
2
x
2
x
7
x
x
x
x
x
x
x
100%
19
19
8- OPERAÇÃO
8.1
1
2
3
4
6
7
Comentários:
8.2
1
2
3
4
5
6
Comentários:
8.3
1
Comentários:
%
Total da Sessão Operação
Total Esperado
8- OPERAÇÃO
Planejamento Operacional e Controle
São determinados os requisitos dos produtos e serviços, os critérios para os processos, aceitação dos produtos e
serviços estão definidos.
Foram provisionados recursos para alcançar a conformidade do produto
O processo tem sido controlado conforme critérios estabelecidos
Informação documentada foi estabelecida para: Evidenciar confiança que um processo tem sido conduzido conforme
o planejado.
Informação documentada foi estabelecida para: Evidenciar a conformidade com o produto e serviços, bem como o
controle de mudanças quando requerido.
Processos terceirizados tem sido controlados se aplicáveis
Evidencias de uso e aplicação
Avaliação de riscos de segurnaça da informação
É mantida informação relativa a produtos e serviços

São mantidas rotinas para lidar com consultas, contratos e ou pedidos, incluindo mudanças
Existem uma sistemática ou rotina que regulamente a pratica de tratativa de reclamações de clientes e sua posterior
retroalimentação
Se aplicável, qual(Respostas)
a rotina para lidar com a propriedade do cliente.
Quando pertinente e aplicável, quais as rotinas para lidar com ações de contingência.
Tratamento de riscos de segurança da informação

As rotinas de vendas e atividade comercial determina quais requisitos estatutários e regulamentares associados aos
produtos e serviços da organização.
Os requisitos do produtos e serviços considerados necessários são definidos nas atividades comercial e de vendas
de produtos e serviços.
As rotinas de vendas e atividade comercial regulamenta práticas para demonstrar a capacidade de atendimento aos
pleitos que ela participa
%
Total da Sessão Operação
Total Esperado
.br

0 0 0
0 0 0
0 0 0
0%
0
16
9 - Avaliação do Desempenho
9.1 Monitoramento, medição, análise e avaliação
1 Tem sido determinado o que precisa ser monitorado e medido?
2 Métodos de monitoramento e de medição tem sido determinados, bem como as análises e avaliações para
assegurar resultados válidos?
3 Quanto o monitoramento será realizado, quando os resultados serão avaliados e analisados?
4 A eficácia do desempenho do sistema de gestão do SGSI é avaliada?
5 É retida a informação documentada apropriada de evidencias dos resultados?

Comentários:
9.2 Auditoria interna

1 É conduzida auditoria interna em intervalos planejado conforme providencias planejadas que inclua uma
verificação dos requisitos da própria organização e os requisitos da ISO 9001para verificação de sua
implementação eficaz?
2 É mantido um programa de auditoria que inclua a: Frequência, métodos, responsabilidades, planejamento e
relato, e que levem em consideração a importância dos processos a serem auditados?
3 É definido o critério e escopo de cada auditoria, seleção dos auditores asseguram imparcialidade
4 O resultado da auditoria é relatado a gerencia pertinente?
5 Ações corretivas são conduzidas sem a demora indevida, e é retida a informação documentada como
evidência de implementação do programa de auditoria e dos seus resultados?
Comentários:
9.3 Análise critica pela direção
9.3.2 A alta direção analisa criticamente o sistema de gestão a intervalos planejados e assegura sua suficiência e
alinhamento com o seu direcionamento estratégico?
2 As entradas para essa análise incluem: Análise critica anterior, mudanças em questões externas e internas,
desempenho da eficácia do sistema de gestão e tendências de satisfação do cliente, retroalimentação de
partes interessadas, objetivos da qualidade, desempenho e conformidade dos produtos e serviços, não
conformidade e ações corretivas, resultados de monitoramento e de medição, auditorias internas, e
3 Essas entras também incluem: suficiência dos recursos disponibilizados, eficácia do sistema de gestão de
riscos e oportunidades, e de melhoria?
9.3.3 As saídas dessas análises criticas incluem: Oportunidades de melhoria, necessidades de mudanças e de
recursos. É retida a informação documentada como evidência dos resultados da análise critica?
Comentários:
%
Total da Sessão Avaliação do Desempenho
Total Esperado
m.br

5 0 0
x
x
x
x
5 0 0
x
x
x
x
4 0 0
x
82%
14
17
10- Melhoria
10.1 Não Conformidade e ação corretiva
1 São mantidas rotinas para a tratativa de não conformidades quando essas ocorrem
2 Essas rotinas incluem: Reação a não conformidade, ação para controla-la e corrigi-la, ações para lidar com as
consequências.
3 As rotinas incluem: Necessidades de ação corretiva para eliminar a(s) causa (s) da não conformidade
garantindo que ela não se repita ou ocorra em outro lugar.
4 É avaliada a eficácia das ações tomadas bem como das causas relacionadas. A gestão dos riscos e
oportunidades são atualizados após ações corretivas encaminhadas.
5 Se necessário mudanças no sistema de gestão são encaminhadas como apropriado.
6 É retida a informação documentada da natureza na não conformidade e das ações tomadas, bem como dos
resultados das ações corretivas.
Comentários:
10.2 Melhoria contínua

1 São mantidas rotinas para a pratica de melhoria contínua que inclua: Adequação e suficiência de eficácia do
sistema de gestão da qualidade
Comentários:
%
Total da Sessão Melhoria
Total Esperado
om.br
6 0 0
X
2 0 0
X
100%
8
8

Gap Analysis 27001

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Gap Analysis 27001

Enviado por

Direitos autorais:

Formatos disponíveis

Formulário: FR-RAI-00.

GAP ANALISYS ISO 27001 Emissão:

Elaborador por Santos e Gozetto SG Academy - www.santosegozetto.com.br

Autor Vagner Santos - Auditor Lider ISO 27001:2013 - LGPD

SISTEMA DE GESTÃO ISO 27001:2013 Nível Esperado Real %

4 Contexto da Organização 20 20 100%

RESULTADO FINAL 111 76 68%

ANEXO - A Nível Esperado Real %

A5 Políticas de Segurança da Informção 2 2 100%

Políticas de Segurança da Informção

Aspectos da segurança da informação na gestão de continuidade de negócio Segurança em Recursos Humanos

Gestão de Incidentes de segurança da Informação Gestão de Ativos

Relacionamento na cadeia de suprimento Controle de Acesso

Aquisição, desenvolvimento e manutenção de sistemas Criptografia

Segurança das Comunicações Segurança física do ambiente

A.6.1 Organização Interna

As responsabilidades definidas no DQ-058 Matriz de riscos e oportunidades na aba

O documento DQ-12 Descrição de cargo estabelece as responsabilidades dos

Uma política e medidas que apoiam a segurança da informação devem ser

A.7.1 Antes da Contratação

1- Criado o documento DQ-062 Termo de Confidencialidade - Todos os funcionários da

1- Estabelecido o F013 Ficha de Integração de Colaborares. Essa ficha estabelece o conteúdo

1- Criado o documento DQ-063 Expressão de Comprometimento da Direção. Esse documento

1- Criado o documento DQ-062 Termo de Confidencialidade - Todos os funcionários da

Os ativos associados com informação e com os recursos e processamento da

Todos os funcionários e partes externas devem devolver todos os ativos da organização

Classificação da Objetivo: Assegurar que a informação receba um nível adequado de proteção, de

Um conjunto apropriado de procedimentospara rotular e tratar a informação deve ser

Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados

Objetivo: Prevenir a divulgação não autorizada, modifi cação, remoção ou destruição da

Procedimentos devem ser implementados para o gerenciamento de mídias removíveis,

Um processo formal de provisionamento de acesso do usuário deve ser implementado

A.9 - Requisitos Análise Crítica dos

A.10.1 Controle critográficos

A.11.1 Áreas Seguras

Perímetros de segurança devem ser definidos e usados para proteger tanto as

Pontos de acesso, como áreas de entrega e de carregamento, e outros pontos em que

Os equipamentos devem ser protegidos contra falta de energia elétrica e outras

O cabeamento de energia e de telecomunicações que transporta dados ou dá

Equipamentos, informações ou software não devem ser retirados do local sem

Todos os equipamentos que contenham mídias de armazenamento de dados devem ser

Ambientes de desenvolvimento, teste e produção devem ser separados para reduzir os

A.12.3 Cópias de Segurança Objetivo: Proteger contra a perda de dados.

Os relógios de todos os sistemas de processamento de informações relevantes, dentro

Procedimentos para controlar a instalação de software em sistemas operacionais devem

As redes devem ser gerenciadas e controladas para proteger as informações nos

Grupos de serviços de informação, usuários e sistemas de informação devem ser

A.13 - Segurança A.13.2 Transferência de

Acordos de Os requisitos para confidencialidade ou acordos de não divulgação que reflitam as

Informações envolvidas em transações nos aplicativos de serviços devem ser

Desenvolvimento A organização deve supervisionar e monitorar as atividades de desenvolvimento de

Requisitos de segurança da informação para mitigar os riscos associados com o acesso

Todos os requisitos de segurança da informação relevantes devem ser estabelecidos e

Responsabilidades e procedimentos de gestão devem ser estabelecidos para assegurar

Os funcionários e partes externas que usam os sistemas de informação e serviços da

Incidentes de segurança da informação devem ser reportados de acordo com

Os conhecimentos obtidos da análise e resolução dos incidentes de segurança da

A organização deve definir e aplicar procedimentos para a identificação, coleta,

Implementando a A organização deve estabelecer, documentar, implementar e manter processos,

A.17.2 Redundâncias Objetivo: Assegurar a disponibilidade dos recursos de processamento da informação

Procedimentos apropriados devem ser implementados para garantir a conformidade

Os gestores devem analisar criticamente, a intervalos regulares, a conformidade dos

Os sistemas de informação devem ser analisados criticamente, a intervalos regulares,

4.1 Entendendo a organização e seu contexto 5