Escolar Documentos
Profissional Documentos
Cultura Documentos
Gap Analysis 27001
Gap Analysis 27001
08
Orientação da
A.5.1
Direção para Objetivo: Prover orientação da Direção e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e
segurança da regulamentações relevantes
informação
Políticas para Um conjunto de políticas de segurança da informação deve ser definido, aprovado pela
A.5 - Política de A.5.1.1 segurança da Direção, publicado e comunicado para os
Estabelecido o DQ-056 – Política de segurança da informação.
segurança da informação funcionários e partes externas relevantes. Estabelecido o documento DQ-057 Diretrizes para segurança da informação
informação
As políticas de segurança da informação devem ser analisadas criticamente a intervalos Não há evidências de uso para que as mesmas possam ser análisadas criticamente.
Análise crítica das planejados ou quando mudanças signifi cativas Sistema de gestão de proteção de ativos de informação ainda em processo de
políticas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia implementação
A.5.1.2
para segurança da
informação
Total do Anexo A5 0
Total esperado do Anexo A5 2
Contato com
A.6.1.3
Autoridades
Contatos apropriados com autoridades relevantes devem ser mantidos. 1- Utilizado o DQ-059 Matriz de Controle de Comunicação com Autoridades
A.6 - Organização
da segurança da Contatos apropriados com grupos especiais, associações profi ssionais ou outros fóruns
informação Contato com grupos
A.6.1.4
especiais
especializados em segurança da informação 1- Utilizado o DQ-059 Matriz de Controle de Com grupos especiais
devem ser mantidos
Segurança da Para atender o requisito A.6.1.5 será realizada uma revisão no procedimento IT30
informação Segurança da informação deve ser considerada no gerenciamento de projetos,
A.6.1.5
no gerenciamento de independentemente do tipo do projeto
Desenvolvimento de Software e incluir rotinas para garatir segurança nos ativos de
projetos informação
Dispositivos móveis de Objetivo: Garantir a segurança das informações no trabalho remoto e no uso de 1- Foi criada a política PR-036 Política de uso dos dispositivos móveis e acesso
A.6.2
trabalho dispositivos móveis remoto
Uma política e medidas que apoiam a segurança da informação devem ser adotadas
Política para o uso de 1- Foi criada a política PR-036 Política de uso dos dispositivos móveis e acesso
A.6.2.1 para gerenciar os riscos decorrentes do uso de
dispositivo móvel remoto
dispositivos móveis.
Total do Anexo A6 0
Total esperado do Anexo A6 8
Verificações do histórico devem ser realizadas para todos os candidatos a emprego, de 1- Criado o procedimento PR-037 Procedimento de Recursos Humanos. Estabelece as rotinas
acordo com a ética, regulamentações e leis relevantes, e para a segurança da informação em recursos humanos na: Contração, seleção, termos e
A.7.1.1 Seleção
deve ser proporcional aos requisitos do negócio, aos riscos percebidos e à classificação condições na contratação, responsabilidades da direção no processo de contratação,
das informações a serem acessadas. conscientização, processo disciplinar, encerramento e mudança na contratação.
Encerramento e
Objetivo: Proteger os interesses da organização como parte do processo de mudança 1- Criado o procedimento PR-037 Procedimento de Recursos Humanos. O item 5.3 termos e
A.7.3 Mudança na
ou encerramento da contratação. condições do desligamento fornecem a poltica adotada
Contratação
1- No documento DQ-062 Termo de Confidencialidade Clausula 7 paragrafo primeiro
Responsabilidades pelo As responsabilidades e obrigações pela segurança da informação que permaneçam estabelece as codições no encerramento de uma contratação.
encerramento ou válidas após um encerramento ou mudança da
A.7.3.1
mudança contratação devem ser definidas, comunicadas aos funcionários ou partes externas e
da contratação cumpridas
Total do Anexo A7 0
Total esperado do Anexo A7 8
Responsabilidade
A.8.1
pelos Ativos Objetivo: Identifi car os ativos da organização e definir as devidas responsabilidades pela proteção dos ativos.
A.8.1.2 Proprietário dos Ativos Os ativos mantidos no inventário devem ter um proprietário.
Regras para o uso aceitável das informações, dos ativos associados com informação e
Uso aceitável dos
A.8.1.3 os recursos de processamento da informação devem ser identifi cados, documentados e
Ativos
implementados.
A.8 - Gestão de Classificação da A informação deve ser classificada em termos do seu valor, requisitos legais,
A.8.2.1
Informação sensibilidade e criticidade para evitar modificação ou divulgação não autorizada
ativos
As mídias devem ser descartadas de forma segura e protegida quando não forem mais
A.8.3.2 Descarte das Mídias
necessárias, por meio de procedimentos formais
Transferência das Mídias contendo informações devem ser protegidas contra acesso não autorizado, uso
A.8.3.3
Mídias impróprio ou corrompida, durante o transporte.
Total do Anexo A8 0
Total esperado do Anexo A8 12
Requisitos do Negócio
A.9.1 para Controle de Objetivo: Limitar o acesso à informação e aos recursos de processamento da informação
Acesso
Política de Controle de Uma política de controle de acesso deve ser estabelecida, documentada e analisada
A.9.1.1 Estabelecido o DQ-064 Política de Controle de Acesso.
Acesso criticamente, baseada nos requisitos de segurança da informação e dos negócios.
Acesso a rede e aos Os usuários devem somente receber acesso às redes e aos serviços de rede que
A.9.1.2 Estabelecida rotina do DQ-064 item 4 de a-I
serviços de rede tenham sido especificamente autorizados a usar
Gerenciamento de
A.9.2
acesso a usuário Objetivo: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços
Registro e
Um processo formal de registro e cancelamento de usuário deve ser implementado para O intem 4 (i) do DQ-064 Política de Controle de Acesso estabelece as regras e rotinas para o
A.9.2.1 cancelamento de
permitir atribuição dos direitos de acesso. cancelamento de usuários.
usuário
Gerenciamento de
A.9.2.3 direitos de acesso A concessão e uso de direitos de acesso privilegiado devem ser restritos e controlados. Conforme definido no item 4 do DQ-064 Política de Controle de Acesso.
privilegiado
Gerenciamento da
Informação de A concessão de informação de autenticação secreta deve ser controlada por meio de
A.9.2.4 Conforme definido no item 4 do DQ-064 Política de Controle de Acesso.
autenticação secreta de um processo de gerenciamento formal
usuários
Responsabilidades
A.9.3
dos usuários Objetivo: Tornar os usuários responsáveis pela proteção das suas informações de autenticação.
Uso da informação de Os usuários devem ser orientados a seguir as práticas da organização quanto ao uso da O item 4 b, c, d, e do DQ-064 Política de Controle de Acesso, estabelece as praticas.
A.9.3.1
autenticação secreta informação de autenticação secreta. Adicionalmente o item 5 estabelece as condições para uso de senha
Controle de acesso ao
A.9.4
sistema e a aplicação Objetivo: Prevenir o acesso não autorizado aos sistemas e aplicações.
Restrição de acesso à O acesso à informação e às funções dos sistemas de aplicações deve ser restrito de
A.9.4.1 Conforme definido no item 4 do DQ-064 Política de Controle de Acesso
informação acordo com a política de controle de acesso.
Procedimentos seguros
Onde aplicavél pela política de controle de acesso, o acesso aos sistemas e aplicações
A.9.4.2 de entrada no sistema Conforme definido no item 4 do DQ-064 Política de Controle de Acesso
devem ser controlados por um procedimento seguro de entrada no sistema (log-on).
(Log-on)
Sistema de
Sistemas para gerenciamento de senhas devem ser interativos e devem assegurar
A.9.4.3 gerenciamento de Conforme definido no item 5 do DQ-064 Política de Controle de Acesso
senhas de qualidade.
senha
O uso de programas utilitários que podem ser capazes de sobrepor os controles dos
Uso de programas
A.9.4.4 sistemas e aplicações deve ser restrito e estritamente Conforme definido no item 6 do DQ-064 Política de Controle de Acesso
utilitários privilegiados
controlado
Controle de acesso ao
A.9.4.5 código-fonte de O acesso ao código-fonte de programa deve ser restrito Conforme definido no item 4 -Rede do DQ-064 Política de Controle de Acesso
programas
Total do Anexo A9 0
Total esperado do Anexo A9 14
Política para uso de Deve ser desenvolvida e implementada uma política para o uso de controles
A.10 - Criptografia A.10.1.1 controle criptográficos criptográficos para a proteção da informação
DQ-067 Controles Critptográficos
Gerenciamento de Uma política sobre o uso, proteção e tempo de vida das chaves criptográficas deve ser
A.10.1.2 DQ-067 Controles Critptográficos
chaves desenvolvida e implementada ao longo de todo o seu ciclo de vida.
Total do Anexo A9 0
Total esperado do Anexo A9 2
Controles de entrada As áreas seguras devem ser protegidas por controles apropriados de entrada para
A.11.1.2 DQ-065 Segurança Física do Ambiente
física assegurar que somente pessoas autorizadas tenham acesso permitido.
Segurana em
A.11.1.3 escritórios, salas e Deve ser projetada e aplicada segurança física para escritórios, salas e instalações. DQ-065 Segurança Física do Ambiente
Instalações
Proteção contra as
Deve ser projetada e aplicada proteção física contra desastres naturais, ataques
A.11.1.4 ameaças externas e do DQ-065 Segurança Física do Ambiente
maliciosos ou acidentes.
meio ambiente
Trabalho em áreas Devem ser projetados e aplicados procedimentos para o trabalho em áreas
A.11.1.5 DQ-065 Segurança Física do Ambiente
seguras seguras
A.11.2 Equimentos Objetivo: Impedir perdas, danos, roubo, ou comprometimento de ativos e interrupção das operações da organização.
A.11 - Segurança Os equipamentos devem ser protegidos e colocados em locais para reduzir os riscos de
física e do Localização e proteção
A.11.2.1 ameaças e perigos do meio ambiente, bem como as oportunidades de acesso não DQ-065 Segurança Física do Ambiente
do equipamento
ambiente autorizado
Manutenção dos Os equipamentos devem ter uma manutenção correta para assegurar a sua contínua
A.11.2.4 DQ-065 Segurança Física do Ambiente
Equipamentos integridade e disponibilidade.
Segurança de
Devem ser tomadas medidas de segurança para ativos que operem fora do local,
equipamentos e ativos
A.11.2.6 levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das DQ-065 Segurança Física do Ambiente
fora das dependencias
dependências da organização
da organização
Equipamento de usuário Os usuários devem assegurar que os equipamentos não monitorados tenham proteção
A.11.2.8 DQ-065 Segurança Física do Ambiente
sem monitoração adequada.
Devem ser adotadas uma política de mesa limpa para papéis e mídias de
Política de mesa limpa
A.11.2.9 armazenamento removíveis e uma política de tela limpa para os recursos de DQ-66 Política de Mesa e Tela Limpa
e tela limpa
processamento da informação.
Total do Anexo 11 0
Total esperado do Anexo 11 15
Seguranças das
A.12.1
Operações Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.
Documentação dos Os procedimentos de operação devem ser documentados e disponibilizados para todos
A.12.1.1 procedimentos de os usuários que necessitam deles. DQ-068 Segurança das Operações - FO 059 Controle de Mudanças
operação
Mudanças na organização, nos processos do negócio, nos recursos de processamento
A.12.1.2 Gestão de Mudanças da informação e nos sistemas que afetam a segurança da informação devem ser DQ-068 Segurança das Operações - FO 059 Controle de Mudanças
controladas
A utilização dos recursos deve ser monitorada e ajustada, e as projeções devem ser
A.12.1.3 Gestão de Capacidade feitas para as necessidades de capacidade futura para garantir DQ-068 Segurança das Operações - FO 059 Controle de Mudanças
o desempenho requerido do sistema.
Proteção contra
A.12.2
malware Objetivo: Assegurar que as informações e os recursos de processamento da informação estão protegidos contra malware
Devem ser implementados controles de detecção, prevenção e recuperação para
Controles contra proteger contra malware, combinados com um adequado programa de conscientização
A.12.2.1 do usuário Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
malware
Registros de
A.12.4
Monitoramento Objetivo: Registrar eventos e gerar evidências.
Registros de eventos (log) das atividades do usuário, exceções, falhas e eventos de
segurança da informação devem ser produzidos, mantidos e analisados criticamente, a
A.12.4.1 Registros de Eventos Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
intervalos regulares
Proteção das Controle As informações dos registros de eventos (log) e seus recursos devem ser
A.12 - Segurança informações protegidos contra acesso não autorizado e adulteração.
nas operações A.12.4.2 Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
dos registros de
eventos (logs)
Registros de eventos As atividades dos administradores e operadores do sistema devem ser registradas e os
(log) registros (logs) devem ser protegidos e analisados
A.12.4.3 criticamente, a intervalos regulares. Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
de administrador
e operador
Controle de software
A.12.5
operacional Objetivo: Assegurar a integridade dos sistemas operacionais.
Gestão de
A.12.6 vulnerabilidades Objetivo: Prevenir a exploração de vulnerabilidades técnicas
técnicas
Informações sobre vulnerabilidades técnicas dos sistemas de informação em uso devem
Gestão de ser obtidas em tempo hábil; a exposição da organização a estas vulnerabilidades deve
A.12.6.1 vulnerabilidades ser avaliada e devem ser tomadas as medidas Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
técnicas apropriadas para lidar com os riscos associados
Restrições quanto à Regras definindo critérios para a instalação de software pelos usuários devem ser
A.12.6.2 Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
instalação de software estabelecidas e implementadas
Considerações quanto
à auditoria de
A.12.7
sistemas de Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais
informação
As atividades e requisitos de auditoria envolvendo a verificação nos sistemas
Controles de auditoria operacionais devem ser cuidadosamente planejados e acordados para minimizar
A.12.7.1 de sistemas de interrupção nos processos do negócio Criado o DQ-068 Política de Segurança das Operações e o FO -059 Controle de Mudanças
informação
Total do Anexo 12 0
Total esperado do Anexo 12 14
Gerenciamento da
A.13.1
segurança em redes Objetivo: Assegurar a proteção das informações em redes e dos recursos de processamento da informação que as apoiam.
Total do Anexo 13 0
Total esperado do Anexo 13 7
Requisitos de Objetivo: Garantir que a segurança da informação é parte integrante de todo o ciclo de vida dos sistemas de informação. Isto também inclui os requisitos
A.14.1
segurança de para sistemas de informação que fornecem serviços sobre as redes públicas.
sistemas de
informação
Os requisitos relacionados com segurança da informação devem ser incluídos nos
Análise e especificação requisitos para novos sistemas de informação ou melhorias
dos requisitos de dos sistemas de informação existentes
A.14.1.1 Criada a IT030 Projeto e desenvolvimento de Software, item 3
segurança da
informação
Serviços de aplicação As informações envolvidas nos serviços de aplicação que transitam sobre redes
A.14.1.2 seguros em redes públicas devem ser protegidas de atividades fraudulentas, disputas contratuais e Criada a IT030 Projeto e desenvolvimento de Software, item 3
públicas divulgação e modificações não autorizadas
Segurança em
processos de
A.14.2
desenvolvimento e de Objetivo: Garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação.
suporte
Regras para o desenvolvimento de sistemas e software devem ser estabelecidas e
Política de
A.14.2.1 aplicadas aos desenvolvimentos realizados dentro da Criada a IT030 Projeto e desenvolvimento de Software.
desenvolvimento seguro
organização
Mudanças em sistemas dentro do ciclo de vida de desenvolvimento devem ser
Procedimentos para controladas utilizando procedimentos formais de controle de mudanças.
A.14 - Aquisição, A.14.2.2 controle de mudanças Criada a IT030 Projeto e desenvolvimento de Software.
de sistemas
desenvolvimento e
manutenção de Aplicações críticas de negócios devem ser analisadas criticamente e testadas quando
sistemas Análise crítica técnica plataformas operacionais são mudadas, para garantir que não haverá nenhum impacto
das aplicações após adverso na operação da organização ou na
A.14.2.3 mudanças nas segurança Criada a IT030 Projeto e desenvolvimento de Software.
plataformas
operacionais
Restrições sobre Modificações em pacotes de software devem ser desencorajadas e devem estar
A.14.2.4 mudanças em pacotes limitadas às mudanças necessárias, e todas as mudanças Criada a IT030 Projeto e desenvolvimento de Software.
de software devem ser estritamente controladas.
Princípios para projetar sistemas seguros devem ser estabelecidos, documentados,
Princípios para projetar
A.14.2.5 mantidos e aplicados para qualquer implementação de Criada a IT030 Projeto e desenvolvimento de Software.
sistemas seguros
sistemas de informação.
As organizações devem estabelecer e proteger adequadamente os ambientes seguros
Ambiente seguro para de desenvolvimento, para os esforços de integração e desenvolvimento de sistemas,
A.14.2.6 que cubram todo o ciclo de vida de desenvolvimento de sistema Criada a IT030 Projeto e desenvolvimento de Software.
desenvolvimento
A.14.3 Dados para teste Objetivo: Assegurar a proteção dos dados usados para teste
Proteção dos dados
A.14.3.1 Os dados de teste devem ser selecionados com cuidado, protegidos e controlados Criada a IT030 Projeto e desenvolvimento de Software.
para teste
Total do Anexo 14 0
Total esperado do Anexo 14 13
Segurança da
A.15.1 informação na cadeia Objetivo: Garantir a proteção dos ativos da organização que são acessados pelos fornecedores.
de suprimento
Gerenciamento da
A.15.2 entrega do serviço do Objetivo: Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com fornecedores.
fornecedor
Monitoramento e
Aplicação das rotinas prevista no DQ-070 Segurança da Informação na cadeia de suprimento.
análise crítica de A organização deve monitorar, analisar criticamente e auditar, a intervalos regulares, a
A.15.2.1
serviços com entrega dos serviços executados pelos fornecedores
x Os requisitos de segurança estão determinados no contrato e no DQ-062 Termo de
Confidencialidade
fornecedores
Mudanças no provisionamento dos serviços pelos fornecedores, incluindo manutenção e
Gerenciamento de melhoria das políticas de segurança da informação, dos procedimentos e controles Aplicação das rotinas prevista no DQ-070 Segurança da Informação na cadeia de suprimento.
A.15.2.2 mudanças para serviços existentes, devem ser gerenciadas, levando-se em conta a criticidade das informações x Os requisitos de segurança estão determinados no contrato e no DQ-062 Termo de
com fornecedores do negócio, dos sistemas e processos envolvidos e a reavaliação de riscos Confidencialidade
Total do Anexo 15 5
Total esperado do Anexo 15 5
Gestão de incidentes
A.16.1
de segurança da Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação
informação e sobre fragilidades e eventos de segurança da informação
melhorias
Os eventos de segurança da informação devem ser relatados por meio dos canais de
Notificação de eventos gestão, o mais rapidamente possível
A.16.1.2 de segurança da
informação
Total do Anexo 16 0
Total esperado do Anexo 16 7
Continuidade da
A.17.1 segurança da Objetivo: A continuidade da segurança da informação deve ser contemplada nos sistemas de gestão da continuidade do negócio da organização
informação
Planejando a A organização deve determinar seus requisitos para a segurança da informação e a
continuidade da continuidade da gestão da segurança da informação em situações adversas, por
A.17.1.1 exemplo, durante uma crise ou desastre DQ-072 Plano de Continuidade de Negócios.
segurança da
informação
Total do Anexo 17 0
Total esperado do Anexo 17 4
Conformidade com
A.18.1 requisitos legais e
Objetivo: Evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e de
contratuais quaisquer requisitos de segurança
Todos os requisitos legislativos estatutários, regulamentares e contratuais relevantes, e
Identificação da o enfoque da organização para atender a esses requisitos, devem ser explicitamente
A.18.1.1 legislação aplicável e de identificados, documentados e mantidos
requisitos contratuais atualizados para cada sistema de informação da organização
Registros devem ser protegidos contra perda, destruição, falsificação, acesso não
A.18.1.3 Proteção de registros autorizado e liberação não autorizada, de acordo com os requisitos regulamentares,
estatutários, contratuais e do negócio
A privacidade e proteção das informações de identificação pessoal devem ser
Proteção e privacidade asseguradas conforme requerido por legislação e regulamentação pertinente, quando
A.18.1.4 de informações de aplicável
identificação de pessoal
A.18 –
Conformidade Controles de criptografia devem ser usados em conformidade com todas as leis,
Regulamentação de acordos, legislação e regulamentações pertinentes
A.18.1.5
controles de criptografia
Análise crítica da Objetivo: Assegurar que a segurança da informação está implementada e operada de acordo com as políticas e procedimentos da
A.18.2 segurança da
informação organização.
O enfoque da organização para gerenciar a segurança da informação e a sua
implementação (por exemplo, objetivo dos controles, controles, políticas, processos e
Análise crítica procedimentos para a segurança da informação) deve ser analisado criticamente, de
independente da forma independente, a intervalos planejados, ou
A.18.2.1
segurança da quando ocorrerem mudanças significativas
informação
Total do Anexo 18 0
Total esperado do Anexo 18 8
Rotina
4- Contexto da Organização Criada
3 Tem sido realizado o monitoramento e análise crítica da informação das partes interessadas e seus requisitos x
pertinentes.
5 Evidencias de uso e aplicação x
Comentários:
2 É possível perceber na descrição do escopo que os requisitos das partes interessadas estão coberto bem x
como os produtos e serviços
3 Está implementado como informação documentada? x
4 Justificativas adequadas foram preparadas caso algum requisitos dessa norma não foi considerado aplicável x
ao escopo?
100% %
Total da Sessão Contexto da Organização 20
Total Esperado 20
Santos e Gozetto S& Academy - www.santosegozetto.com.br
5- LIDERANÇA
5.1 Liderança e Comprometimento
1 Política da qualidade e objetivos da qualidade estão definidos e contextualizados com o direcionamento
estratégico da organização
2 A gestão da qualidade encontra-se integrada nos processos de negócios da organização
3 Tem sido promovida a abordagem de processo bem como a mentalidade de riscos.
4 A importância de gestão da qualidade eficaz para o atendimentos dos requisitos do sistema de gestão tem sido
comunicada
5 Tem ocorrido a promoção do engajamento das pessoas .
6 Evidencias de uso e aplicação
Evidencias
5.2 Política
5.2.1 Desenvolvendo a Política de Segurança da Informação
1 É apropriada aos propósitos e ao contexto da organização. Ver 4.1
2 Estruturada de forma a desdobrar-se em objetivos da segurança da informação
3 3.1 Inclui um comprometimento com a melhoria continua
%
Total da Sessão Liderança
Total Esperado
com.br
5 5
x x
x x
x x
x x
x x
x x
5 0 0
X
x
x
x
x
e
5 4 0
x x
x x
x x
x x
100%
15
15
Santos e Gozetto S& Academy - www.santosegozetto.com.br
6- PLANEJAMENTO
6 Planejamento
1 A organização determinou os riscos e oportunidades a serem abordados para assegurar que o sistema de
gestão da qualidade possa alcançar seus resultados pretendidos?
2 O sistema garante que os efeitos indesejáveis aos processos estão mapeados
3 O sistema garante meios para aumentar os efeitos desejáveis
4 Buscar a melhoria
5 Os processos tem sido integrados com ações conforme previsto na sessão 4.4 e a eficácia dessas ações tem
sido avaliadas.
6 Evidencias de uso e aplicação
Comentários:
6.2
6.2.1 A organização deve estabelecer objetivos da segurança da informação, níveis e processos
pertinentes, necessários para o sistema de gestão da segurança da informação
1 São coerentes com a política da qualidade, são mensuráveis e levam em conta os requisitos aplicáveis.
%
Total da Sessão Planejamento
Total Esperado
om.br
0%
0
16
Santos e Gozetto S& Academy - www.santosegozetto.com.br
7- APOIO
7.1 Recursos
1 Tem sido considerada a capacidade e restrições dos recursos existentes
2 A organização considera o que precisa ser obtido de provedores externos quando determina e provê os
recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do sistema de
gestão da qualidade?
3 Evidencias de uso e aplicação
Comentários: Evidenciado
7.2 Competência
1 A organização determina a competência necessária de pessoa(s) que realize(m) trabalho sob o seu controle
que afete o desempenho e a eficácia do sistema de gestão da qualidade?
2 A organização assegura que essas pessoas sejam competentes, com base em educação, treinamento ou
experiência apropriados?
3 A organização toma ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas,
onde aplicável?
7.3 Conscientização
1 A organização assegura que pessoas que realizam trabalho sob o controle da organização estão conscientes
da política da qualidade?
7.4 Comunicação
1 A organização determina sobre o que comunicar, com quem se comunicar , como se comunicar e quem
comunica?
2 Evidencias de uso e aplicação
Comentários: Rotina evidenciada com sitema ISO certificado
%
Total da Sessão Apoio
Total Esperado
.com.br
3 0 0
x
x
5
x
2
x
2
x
7
x
x
x
x
x
x
x
100%
19
19
Santos e Gozetto S& Academy - www.santosegozetto.com.br
8- OPERAÇÃO
8.1
1
2
3
4
6
7
Comentários:
8.2
1
2
3
4
5
6
Comentários:
8.3
1
Comentários:
%
Total da Sessão Operação
Total Esperado
Santos e Gozetto S& Academy - www.santosegozetto.com.br
8- OPERAÇÃO
São determinados os requisitos dos produtos e serviços, os critérios para os processos, aceitação dos produtos e
serviços estão definidos.
Foram provisionados recursos para alcançar a conformidade do produto
O processo tem sido controlado conforme critérios estabelecidos
Informação documentada foi estabelecida para: Evidenciar confiança que um processo tem sido conduzido conforme
o planejado.
Informação documentada foi estabelecida para: Evidenciar a conformidade com o produto e serviços, bem como o
controle de mudanças quando requerido.
Processos terceirizados tem sido controlados se aplicáveis
Evidencias de uso e aplicação
Existem uma sistemática ou rotina que regulamente a pratica de tratativa de reclamações de clientes e sua posterior
retroalimentação
Se aplicável, qual(Respostas)
a rotina para lidar com a propriedade do cliente.
Quando pertinente e aplicável, quais as rotinas para lidar com ações de contingência.
Evidencias de uso e aplicação
%
Total da Sessão Operação
Total Esperado
.br
0 0 0
0 0 0
0 0 0
0%
0
16
Santos e Gozetto S& Academy - www.santosegozetto.com.br
9 - Avaliação do Desempenho
9.1 Monitoramento, medição, análise e avaliação
1 Tem sido determinado o que precisa ser monitorado e medido?
2 Métodos de monitoramento e de medição tem sido determinados, bem como as análises e avaliações para
assegurar resultados válidos?
3 Quanto o monitoramento será realizado, quando os resultados serão avaliados e analisados?
4 A eficácia do desempenho do sistema de gestão do SGSI é avaliada?
5 Ações corretivas são conduzidas sem a demora indevida, e é retida a informação documentada como
evidência de implementação do programa de auditoria e dos seus resultados?
Comentários:
9.3.2 A alta direção analisa criticamente o sistema de gestão a intervalos planejados e assegura sua suficiência e
alinhamento com o seu direcionamento estratégico?
2 As entradas para essa análise incluem: Análise critica anterior, mudanças em questões externas e internas,
desempenho da eficácia do sistema de gestão e tendências de satisfação do cliente, retroalimentação de
partes interessadas, objetivos da qualidade, desempenho e conformidade dos produtos e serviços, não
conformidade e ações corretivas, resultados de monitoramento e de medição, auditorias internas, e
3 Essas entras também incluem: suficiência dos recursos disponibilizados, eficácia do sistema de gestão de
riscos e oportunidades, e de melhoria?
9.3.3 As saídas dessas análises criticas incluem: Oportunidades de melhoria, necessidades de mudanças e de
recursos. É retida a informação documentada como evidência dos resultados da análise critica?
Comentários:
%
Total da Sessão Avaliação do Desempenho
Total Esperado
m.br
5 0 0
x
x
x
x
5 0 0
x
x
x
x
4 0 0
x
82%
14
17
Santos e Gozetto S& Academy - www.santosegozetto.com.br
10- Melhoria
10.1 Não Conformidade e ação corretiva
1 São mantidas rotinas para a tratativa de não conformidades quando essas ocorrem
2 Essas rotinas incluem: Reação a não conformidade, ação para controla-la e corrigi-la, ações para lidar com as
consequências.
3 As rotinas incluem: Necessidades de ação corretiva para eliminar a(s) causa (s) da não conformidade
garantindo que ela não se repita ou ocorra em outro lugar.
4 É avaliada a eficácia das ações tomadas bem como das causas relacionadas. A gestão dos riscos e
oportunidades são atualizados após ações corretivas encaminhadas.
5 Se necessário mudanças no sistema de gestão são encaminhadas como apropriado.
6 É retida a informação documentada da natureza na não conformidade e das ações tomadas, bem como dos
resultados das ações corretivas.
7 Evidencias de uso e aplicação
Comentários:
Comentários:
%
Total da Sessão Melhoria
Total Esperado
om.br
Rotina Rotina Rotina
Criada Implementada Evidenciada
6 0 0
X
2 0 0
X
100%
8
8