Checklist de Auditoria conforme BS 17799

Prévia do material em texto

CHECKLIST ABNT – NBR ISO/IEC 17799
Nome do auditor: Alexsandro Machado 				Data da auditoria: 20/05/2014
	Gestão da Segurança da Informação 
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
1- SIM; 2- NÃO
	Conformidade
1- SIM; 2- NÃO
	Política de Segurança
	1.1
	3.1
	Política de Segurança da Informação
	1.1.1
	3.1.1
	
Documento da Política de Segurança da Informação
	Há uma Política de Segurança da Informação, a qual foi aprovada pela gerência, publicada e divulgada de maneira apropriada a todos os empregados.
Ela expressa o comprometimento da gerência e se estabelece linhas-mestras para a gestão da Segurança da Informação,
	1
	1
	1.1.2
	3.1.2
	
Revisão e Avaliação
	Há um gestor responsável por sua manutenção e revisão de acordo com as definições do Processo de revisão.
O processo assegura que a revisão ocorra em resposta a qualquer mudança que afete a avaliação de risco original, como um incidente de segurança significativo, novas vulnerabilidades ou mudanças na infraestrutura organizacional ou técnica.
	1
	1
	Segurança Organizacional
	2.1
	4.1
	Infra-estrutura da Segurança da Informação
	2.1.1
	4.1.1
	
Gestão do Fórum de Seguranaça da Informação
	Há um fórum de gestão que vise garantir a existência de um direcionamento claro e um suporte de gestão visível para as iniciativas de segurança dentro da organização.
	1
	1
	Gestão da Segurança da Informação 
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	2.1.2
	4.1.2
	Coordenação da Segurança da Informação
	Há um fórum multifuncional de gerenciamento com representantes da direção das áreas relevantes da organização para coordenar a implementação do controle da segurança da informação. 
	1
	1
	2.1.3
	4.1.3
	Atribuição das responsabilidades em segurança da informação
	As responsabilidades para a proteção de cada ativo e o cumprimento de processos de segurança específicos estejam claramente definidas. 
	1
	1
	2.1.4
	4.1.4
	Processo de autorização para as instalações de processamento da informação
	Há um processo de gestão de autorização para novos recursos de processamento da informação. Devendo incluir todos recursos tais como softwares e hardwares.
	1
	1
	2.1.5
	4.1.5
	Consultoria especilizada em segurança da informação
	Há consultoria especializada em segurança obtida foi apropriada.
Um colaborador específico seja identificado para coordenar o conhecimento e as experiências internos para garantir consistência, e fornecer auxílio nas tomadas de decisão sobre a segurança.
	1
	2
	2.1.6
	4.1.6
	Cooperação entre organizações
	Haja contatos apropriados com autoridades legais, organismos reguladores, provedores de serviço de informação e operadores de telecomunicações, de forma a garantir que ações adequadas e apoio especializado possam ser rapidamente acionados na ocorrência de incidentes de segurança.
	1
	1
	2.1.7
	4.1.7
	Análise crítica independente de segurança da informação
	Se a implementação da política de segurança seja analisada criticamente, de forma independente, para fornecer garantia de que as práticas da organização refletem apropriadamente a política, que esta seja adequada e eficiente.
	1
	1
	Gestão da Segurança da Informação 
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	2.2
	4.2
	Segurança no acesso de prestadores de serviço
	2.2.1
	4.2.1
	Identificação dos riscos no acesso de prestadores de serviço
	Os riscos no acesso de terceiros sejam identificados e medidas de controle apropriadas sejam implementadas.
Se os tipos de acesso são identificados, classificados e as razões de acesso sejam justificadas.
Se o acesso de terceiros prestadores de serviço foi identificado e controles apropriados foram implementados.
	1
	2
	2.2.2
	4.2.2
	Requisitos de segurança nos contratos com prestadores de serviço
	Se há um contrato formal que contenha, ou faça referência a todos os requisitos de segurança, de forma a garantir a conformidade com as normas e políticas de segurança da organização.
	1
	2
	2.3
	4.3
	Terceirização
	2.3.1
	4.3.1
	Requisitos de segurança dos contratos de terceirização
	Se os requisitos de segurança com prestadores de serviços para gerenciamento e controle de todos ou alguns dos sistemas de informação, redes de computadores e/ou estações de trabalho constam no contrato.
O contrato deve ter identificado como os requisitos legais devem ser atendidos, como a integridade e a confidencialidade dos ativos organizacionais devem ser mantidos e testados, o direito a auditar, questões de segurança física e como e disponibilidade dos serviços será mantida em caso de desastre.
	1
	2
	Classificação e controle dos ativos de informação
	3.1
	5.1
	Contabilização dos ativos
	3.1.1
	5.1.1
	Inventário dos ativos de informação
	Se a classficação da segurança esteja acordada e documentada juntamente com sua localização atual.
Se cada ativo e seu respectivo proprietário estão claramente identificados.
	1
	1
	Gestão da Segurança da Informação 
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	3.2
	5.2
	Classficação da Informação
	3.2.1
	5.2.1
	Recomendações para classificação
	Se há um esquema ou guia de classificação da Informação, o qual irá determinar como a informação deverá ser manuseada e protegida.
	
	
	3.2.2
	5.2.2
	Rótulo e tratamento da informação
	Se há um conjunto apropriado de procedimentos definidos para rotular e tratar a informação de acordo com o esquema de classificação adotado pela organização.
	
	
	Segurança em pessoas
	4.1
	6.1
	Segurança na definição e nos recursos de trabalho
	4.1.1
	6.1.1
	Incluindo segurança nas responsabilidades do trabalho
	Se as regras e responsabilidades de segurança estejam documentadas onde for apropriado, de acordo com a política de segurança da informação da organização.
Isto deve incluir quaisquer responsabilidades gerais pela implementação ou manutenção da política de segurança, assim como quaisquer responsabilidades específicas para a proteção de determinados ativos ou pela execução de determinados processos ou atividades de segurança. 
	1
	1
	4.1.2
	6.1.2
	Seleção e política de pessoal
	A verificação de controle sobre a equipe permanente esteja sendo conduzida no momento da seleção do candidato.
Devendo incluir verificação da identidade, verificação da exatidão e da inteireza das informações do curriculum vitae do candidato e disponibilidade de referências de caráter satisfatório. 
	1
	1
	4.1.3
	6.1.3
	Acordos de confidencialidade
	Se é requisitado aos funcionários assinaturas de acordos de confidencialidade ou de não divulgação, usados para alertar que a informação é confidencial ou secreta.
Tais acordos devem ser parte dos termos e condições iniciais de contratação. 
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	4.1.4
	6.1.4
	Termos e condições de trabalho
	Se os termos e condições de trabalho determinam as responsabilidades dos funcionários pela segurança da informação. Quando apropriado, essas responsabilidades devem continuar por um período de tempo definido, após o término do contrato de trabalho.
	1
	2
	4.2
	6.2
	Treinamento do usuário
	4.2.1
	6.2.1
	Educação e treinamento em segurança da informação
	Se todos os funcionários da organização e prestadores de serviços (quando relevante) recebam treinamento apropriado e atualizações regulares sobre as políticas e procedimentos organizacionaisa respeito da Segurança da Informação.
	1
	2
	4.3
	6.3
	Respondendo aos incidentes de segurança e ao mau funcionamento
	4.3.1
	6.3.1
	Notificação dos incidentes de segurança
	Se há um procedimento formal de notificação dos incidentes, e que estes sejam reportados através de canais apropriados da direção, o mais rapidamente possível.
	1
	2
	4.3.2
	6.3.2
	Notificando falhas na segurança
	Se existe um procedimento de notificação ou guia para os usuários, para registar e notificar quaisquer fragilidades ou ameaças, ocorridas ou suspeitas, na segurança de sistemas ou serviços.
	1
	1
	4.3.3
	6.3.3
	Notificando mal funcionamento do software
	Se foram estabelecidos procedimentos para notificação de qualquer mal funcionamento do software.
	1
	1
	4.3.4
	6.3.4
	Aprendendo com os incidentes
	Se existem mecanismos que permitam que tipos, quantidades e custos dos incidentes e dos maus funcionamentos sejam quantificados e monitorados.
	1
	1
	4.3.5
	6.3.5
	Processo disciplinar
	Se há um processo disciplinar formal para os funcionários que tenham violado as políticas e procedimentos de segurança organizacional. Tal processo deve dissuadir funcionários que, de outra forma, estariam inclinados a desrespeitar os procedimentos de segurança.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	Segurança física e do ambiente
	5.1
	7.1
	Áreas de segurança
	5.1.1
	7.1.1
	Perímetro de segurança física
	Que tipo de barreiras físicas em torno da propriedade física do negócio e de suas instalações de processamento da informação foram implementadas para a proteção dos serviços de processamento da informação.
Alguns exemplos de barreiras físicas são uma parede, um aporta com controle de entrada baseado em cartão ou mesmo um balcão de controle de acesso com registro manual.
	1
	1
	5.1.2
	7.1.2
	Controles de entrada física
	Que tipos de controles de entrada foram implementadas para assegurar que apenas pessoas autorizadas tenham acesso liberado.
	1
	1
	5.1.3
	7.1.3
	Segurança em escritórios, salas e instalações de processamento
	Se salas, que contem serviços de processamento da informação, estejam trancadas ou possuam armários fechados ou cofres. 
Se o serviço de processamento da informação está protegido de desastres naturais ou causados pelo homem.
Se há alguma ameaça em potencial na vizinhança. 
	1
	2
	5.1.4
	7.1.4
	Trabalhando em áreas de segurança
	Se há algum controle de segurança para terceiros ou pessoas que trabalham em áreas de segurança.
	1
	1
	5.1.5
	7.1.5
	Isolamento das áreas de expedição e carga
	Se as áreas de expedição e carga estão isoladas das áreas de processamento da informação para evitar qualquer acesso não autorizado.
Se os requisitos de segurança, na referida área, estejam determinados com base em uma avaliação de risco. 
	1
	2
	5.2
	7.2
	Segurança dos equipamentos
	5.2.1
	7.2.1
	Instalação e proteção de equipamentos
	Se o equipamento estava locado em áreas apropriadas para minimizar acesso desnecessário a estas áreas de serviço.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	5.2.1
	7.2.1
	Instalação e proteção de equipamentos
	Se as instalações de processamento e armazenamento de informação que tratam de informações sensíveis estejam posicionadas de maneira a reduzir riscos de espionagem de informação durante seu uso.
Se os itens que necessitem de proteção especial sejam isolados para reduzir o nível geral de proteção exigida.
Se forem adotados controles, de forma a minimizar ameaças potenciais, incluindo roubo, fogo, explosivos, fumaça, água, poeira, vibração, efeitos químicos, interferência no fornecimento elétrico, radiação eletromagnética.
Se há alguma política concernente a alimentação, bebida e fumo nas proximidades das instalações de processamento da informação.
Se aspectos ambientais sejam monitorados para evitar condições que possam afetar de maneira adversa a operação das instalações de processamento da informação.
	1
	2
	5.2.2
	7.2.2
	Fornecimento de energia
	Se os equipamentos estão protegidos por falhas no fornecimento de energia através do uso permanente de equipamentos como alimentação múltipla, no-break, gerador de reserva, etc. 
	1
	1
	5.2.3
	7.2.3
	Segurança do cabeamento
	Se cabeamento elétrico e de telecomunicação que transmite dados ou suporta os serviços de informação seja protegido contra interceptação ou dano.
Se há qualquer controle adicional de segurança para sistemas críticos ou sensíveis. 
	1
	2
	5.2.4
	7.2.4
	Manutenção de equipamentos
	Se a manutenção do equipamento é realizada de acordo com os intervalos e especificações do fabricante.
Se reparos e serviços no equipamento seja realizado apenas por pessoas autorizadas.
Se há manutenção dos registros de todas as falhas suspeitas ou ocorridas e de toda manutenção corretiva e preventiva.
	1
	2
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	5.2.4
	7.2.4
	Manutenção de equipamentos
	Se controles apropriados são utilizados quando do envio de equipamentos para manutenção fora da instalação física.
Se o equipamento possuir seguro, se todos os requisitos impostos pelas apólices sejam atendidos.
	1
	2
	5.2.5
	7.2.5
	Segurança dos equipamentos fora das instalações
	Se o uso de qualquer equipamento para o processamento da informação fora das instalações da organização seja autorizado pela direção.
Se a segurança fornecida seja equivalente àquela oferecida aos equipamentos utilizados dentro da organização para o mesmo propósito, levando-se em conta os riscos de se trabalhar fora das instalações da organização. 
	1
	2
	5.2.6
	7.2.6
	Reutilização e alienação segura de equipamentos
	Se dispositivos de armazenamento que contenham informações sensíveis sejam destruídos fisicamente ou sobrescritos de forma segura ao invés da utilização de funções-padrão para a exclusão. 
	1
	1
	5.3
	7.3
	Controles gerais
	5.3.1
	7.3.1
	Política de mesa limpa e tela limpa
	Se a ferramenta de travamento de tela está disponível, este deve estar ativado quando o computador estiver em desuso por um longo período.
Se os funcionários estão orientados a deixar qualquer material confidencial, como documentos de papel em armários trancados enquanto não estiver sendo utilizado.
	1
	1
	5.3.2
	7.3.2
	Remoção de propriedades
	Se equipamentos, informações ou softwares não sejam retirados da organização sem autorização.
Se inspeções pontuais são realizadas de forma a detectar a remoção não autorizada de propriedade.
As pessoas devem estar cientes de que inspeções pontuais serão realizadas.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	Gerenciamento das operações e comunicações
	6.1
	8.1
	Procedimentos e responsabilidades operacionais
	6.1.1
	8.1.1
	Documentação dos procedimentos de operação
	Se os procedimentos de operação identificados pela política de segurança estejam documentados e mantidos atualizados.
	1
	1
	6.1.2
	8.1.2
	Controle de mudanças operacionais
	Se modificações nos sistemas e recursos de processamento da informação sejam controlados.
Se há uma formalização dos procedimentos e das responsabilidades que garanta um controle satisfatório de todas as mudanças de equipamentos, softwares ou procedimentos.
Programa-se que estejam em produção está submetido a um controle específico de modificações.
	1
	1
	6.1.3
	8.1.3
	Procedimentos para o gerenciamentode incidentes
	Se há um procedimento de gerenciamento de incidentes para controlar os incidentes de segurança.
Se as responsabilidades e procedimentos de gerenciamento de incidentes sejam definidos para garantir uma repostas rápida, efetiva e ordenada aos incidentes do segurança.
Esteja estabelecido procedimentos que cubram todos os tipos potenciais de incidentes de segurança, como falhas dos sistemas de informação e inoperância de serviços, não obtenção de serviço, etc, e maneiras de lhe dar com eles.
Se trilhas de auditoria e evidências similares coletivas e mantidas com a devida segurança para que o incidente não ocorra novamente.
	1
	1
	6.1.4
	8.1.4
	Segregação de funções
	Se a administração ou execução de certas funções, ou áreas de responsabilidade estejam separadas a fim de reduzir oportunidade para modificações não autorizadas ou mau uso das informações ou serviços.
	1
	2
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	6.1.5
	8.1.5
	Separação dos ambientes de desenvolvimento e de produção
	Se os ambientes de desenvolvimento, teste e produção estejam isolados da área de operação. Por exemplo, software em desenvolvimento e software em produção seja executado em diferentes processadores, domínios ou diretórios. Sempre que necessários às atividades de desenvolvimento e teste devem ocorrer separadamente.
	1
	2
	6.1.6
	8.1.6
	Gestão de recursos terceirizados
	Se o processamento de alguma informação ou serviço seja gerenciado por uma empresa ou prestador de serviço externo.
Se estes riscos associados estejam previamente identificados e que controles apropriados sejam acordados com os prestadores de serviços e incluídos no acordo de serviço. 
	1
	2
	6.2
	8.2
	Planejamento e aceitação dos sistemas
	6.2.1
	8.2.1
	Planejamento de capacidade
	Se as demandas de capacidade são monitoradas e as projeções de cargas de produção futuras são feitas de forma a garantir a disponibilidade de capacidade adequada de processamento e armazenamento. Exemplo: monitoração de espaço do disco rígido, RAM, CPU ou serviços críticos.
	1
	1
	6.2.2
	8.2.2
	Aceitação de sistemas
	Se forem estabelecidos critérios de aceitação de novos sistemas, atualizações e novas versões que sejam efetuados testes apropriados dos sistemas antes de sua aceitação.
	1
	1
	6.3
	8.3
	Proteção contra software malicioso
	6.3.1
	8.3.1
	Controles contra software malicioso
	Se existe controles contra software malicioso.
Se há uma política formal que exige conformidade com as licenças de uso de software e proibindo o uso de software não autorizado.
Se há algum procedimento para verificação de toda informação relacionada a software malicioso e garantia de que os alertas sejam precisos e informativos.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	6.3.1
	8.3.1
	Controles contra software malicioso
	Se softwares antivírus foram instalados nos computadores para detectar e isolar ou remover qualquer vírus dos computadores.
Se este antivírus é atualizado regularmente para detectar os vírus mais recentes.
Se há verificação, antes do uso, da existência de software malicioso em qualquer arquivo recebido através do correio eletrônico ou importado (download).
	1
	1
	6.4
	8.4
	Housekeeping
	6.4.1
	8.4.1
	Cópias de segurança
	Se cópias de segurança dos dados e de software essenciais ao negócio são feitas regularmente.
Se recursos e instalações alternativos sejam disponibilizados de forma a garantir que todos os dados e sistemas aplicativos essenciais ao negócio possam ser recuperados após um desastre ou problemas em mídias.
Se são testados regularmente os backups de sistemas individuais, de maneira a garantir que satisfaçam os requisitos do plano de continuidade de negócios. 
	1
	1
	6.4.2
	8.4.2
	Registros de operação
	Se for mantido registro das atividades do pessoal de operação, tais como: nome, erros e ações corretivas, etc.
Se o registro de atividades dos operadores seja submetido à checagem regular e independente, em conformidade com os procedimentos operacionais.
	1
	1
	6.4.3
	8.4.3
	Registro de falhas
	Se qualquer tipo de falha seja relatada e que sejam tomadas ações corretivas. Falhas informadas por usuários relativas a problemas com processamento da informação ou sistemas de comunicação sejam registradas.
	1
	1
	6.5
	8.5
	Gerenciamento da rede
	6.5.1
	8.5.1
	Controles da rede 
	Se a responsabilidade operacional sobre a rede seja segregada da operação dos computadores, quando for apropriado.
	1
	2
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	6.5.1
	8.5.1
	Controles da rede 
	Se forem estabelecidos procedimentos e responsabilidades para o gerenciamento de equipamentos remotos, incluindo equipamentos nas instalações dos usuários.
Se forem estabelecidos controles especiais para salvaguardar a confidencialidade e a integridade dos dados que trafegam por redes públicas, e para proteger os respectivos sistemas.
	1
	1
	6.6
	8.6
	Segurança e tratamento de mídias
	6.6.1
	8.6.1
	Gerenciamento de mídias removíveis
	Se existe um procedimento para o gerenciamento de mídias removíveis, como fitas, discos, cartuchos e formulários impressos.
	1
	1
	6.6.2
	8.6.2
	Descarte de mídias
	Se as mídias são descartadas de forma segura e protegida quando não forem mais necessárias.
Se o descarte de itens sensíveis é registrado, sempre que possível, para se mantiver uma trilha de auditoria.
	1
	2
	6.6.3
	8.6.3
	Procedimentos para tratamento de informação
	Se forem estabelecidos procedimentos para o tratamento e o armazenamento de informações, com o objetivo de proteger tais informações contra divulgação ou uso indevido. 
	1
	2
	6.6.4
	8.6.4
	Segurança da documentação dos sistemas 
	Se o sistema de documentação é protegido contra acessos não autorizados.
Se a relação de pessoas com acesso autorizado à documentação de sistemas seja a menor possível e autorizada pelo gestor da aplicação.
	1
	1
	6.7
	8.7
	Troca de informações e software
	6.7.1
	8.7.1
	Acordos para a troca de informações e software
	Se há algum acordo formal ou informal entre organizações para troca de informações e software.
Se a parte relativa à segurança em tais acordos reflita o nível de sensibilidade das informações envolvidas no negócio.
	2
	2
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	6.7.2
	8.7.2
	Segurança de mídias em trânsito
	Se há controles para salvaguardar as mídias de computadores que são transportadas entre localidades.
Se a mídia está bem protegida contra acesso não autorizado, uso incorreto ou corrupção de dados.
	1
	1
	6.7.3
	8.7.3
	Segurança do comércio eletrônico
	Se existe aplicação de controles para proteger contra atividades fraudulentas, violação de contratos e divulgação ou modificação de informação.
Se considerações de segurança para o comércio eletrônico incluam autenticação e autorização.
Se acordos de comércio eletrônico entre parceiros comerciais sejam baseados em um contrato formal que compromete as partes com os termos do acordo comercial, incluindo os detalhes de autorização.
	1
	1
	6.7.4
	8.7.4
	Segurança do correio eletrônico
	Se há uma política de uso aceitável do correio eletrônico, ou se a política de segurança faz alguma menção ao uso deste.
Se controles como antivírus, isolamento de arquivos com ameaças em potenciais, controles anti spam, etc., são implementadas para reduzir os riscos criadospelo correio eletrônico.
	1
	1
	6.7.5
	8.7.5
	Segurança dos sistemas eletrônicos de escritório
	Se há uma política de uso aceitável que trate do uso de sistemas eletrônicos de escritórios.
Se há um guia ou regulamento para efetivamente controlar os negócios e riscos associados aos sistemas eletrônicos de escritório.
	1
	1
	6.7.6
	8.7.6
	Sistemas disponíveis publicamente
	Se há algum processo de autorização formal para tornar a informação disponível. 
Se existem controles para proteção e integridade da informação divulgada, de forma a prevenir modificações não autorizadas. Este deve incluir controles como firewalls, ferramentas de monitoração do sistema na detecção de intrusos. 
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Resultados
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	6.7.7
	8.7.7
	Outras formas de troca de informação
	Se forem definidos procedimentos e controles para a proteção da troca de informação através da comunicação verbal, de fax e de vídeo.
Se for relembrado aos funcionários que convém que eles não efetuem conversações sobre assuntos confidenciais em locais públicos ou em escritórios abertos ou em reuniões em salas com paredes finas.
	1
	1
	Controles de acesso
	7.1
	9.1
	Requisitos do negócio para controle de acesso
	7.1.1
	9.1.1
	Política de controle de acesso
	Se os requisitos do negócio para controle de acesso estejam definidos e documentados.
Se as regras de controle de acesso e direitos para cada usuário ou grupo de usuários estejam claramente estabelecidas no documento da política de controle de acesso.
Se for dado aos usuários e provedores de serviço um documento contendo claramente os controles de acesso que satisfaçam os requisitos do negócio.
	2
	2
	7.2
	9.2
	Gerenciamento de acessos do usuário
	7.2.1
	9.2.1
	Registro de usuário
	Se há um procedimento formal de registro e cancelamento de usuário para obtenção de acesso a todos os sistemas de informação e serviços multiusuários.
	1
	1
	7.2.2
	9.2.2
	Gerenciamento de privilégios
	Se sistemas multiusuários que necessitam de proteção contra acesso não autorizado tenham a concessão de privilégios controlada através de um processo de autorização formal.
	1
	1
	7.2.3
	9.2.3
	Gerenciamento de senhas dos usuários
	Se a concessão de senhas seja controlada através de um processo de gerenciamento formal.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	7.2.3
	9.2.3
	Gerenciamento de senhas dos usuários
	Se for solicitada aos usuários a assinatura de uma declaração, a fim de manter a confidencialidade de sua senha pessoal e das senhas de grupo de trabalho.
	1
	2
	7.2.4
	9.2.4
	Análise crítica dos direitos de acesso do usuário
	Se há procedimento de revisão crítica aos direitos de acesso dos usuários em intervalos regulares.
	1
	1
	7.3
	9.3
	Responsabilidades do usuário 
	7.3.1
	9.3.1
	Uso de senhas
	Se existem boas práticas de segurança na seleção e uso de senhas a serem seguidas pelos usuários.
	1
	1
	7.3.2
	9.3.2
	Equipamento de usuário sem monitoração
	Se todos os usuários e prestadores de serviço estejam cientes dos requisitos de segurança e dos procedimentos para a proteção dos equipamentos não monitorados, bem como suas responsabilidades para implementação de tais proteções. 
	1
	1
	7.4
	9.4
	Controle de acesso a rede
	7.4.1
	9.4.1
	Política de utilização dos serviços de rede
	Se há uma política de utilização dos serviços da rede que trate das seguintes questões:
Redes e serviços de rede aos qual o acesso é permitido;
Procedimento de autorização para a determinação de quem tem acesso a que redes e as quais serviços de rede;
Procedimentos e controles de gerenciamento para proteger o acesso do negócio.
	1
	1
	7.4.2
	9.4.2
	Rota de rede obrigatória
	Se há controles para restringir o caminho entre o terminal do usuário e o serviço do computador.
	1
	1
	7.4.3
	9.4.3
	Autenticação para conexão externa do usuário
	Se os acessos de usuários remotos estão sujeitos à autenticação.
	1
	1
	7.4.4
	9.4.4
	Autenticação de nó
	Se as conexões a sistemas remotos de computadores são autenticadas, principalmente se a conexão usar uma rede que está fora do controle do gerenciamento de segurança da organização.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	7.4.5
	9.4.5
	Proteção de portas de diagnóstico remotas
	Se o acesso às portas de diagnóstico seja seguramente controlado.
	2
	2
	7.4.6
	9.4.6
	Segregação de redes
	Se há controles na rede, para segregação de grupos de serviços de informação, de usuários e de sistemas de informação.
	1
	1
	7.4.7
	9.4.7
	Controle de conexões de rede
	Se há controle de conexões de rede para redes compartilhadas, principalmente aquelas que se estendam além dos limites da organização.
	1
	1
	7.4.8
	9.4.8
	Controle do roteamento de rede
	Se há controles de roteamento que garantam que as conexões de computador e fluxo de informações não violem a política de controle de acesso das aplicações do negócio. Este controle é geralmente essencial para redes compartilhadas com prestadores de serviços (usuários que não pertencem ao quadro da organização).
Se os controles de roteamento sejam baseados em fontes confiáveis e mecanismos de checagem de endereço de destino.
	2
	
	7.4.9
	9.4.9
	Segurança dos serviços de rede
	Se a organização, que usa serviço de rede tanto público quanto privado, se assegure de que será fornecida uma descrição clara dos atributos de segurança de todos os serviços usados.
	1
	1
	7.5
	9.5
	Controle de acesso ao sistema operacional
	7.5.1
	9.5.1
	Identificação automática de terminal 
	Se a identificação automática do terminal possui mecanismos para autenticar conexões a locais específicos e para equipamentos portáteis. 
	1
	1
	7.5.2
	9.5.2
	Procedimentos de entrada no sistema (login)
	Se o acesso aos serviços de informação seja realizado através de um processo seguro de entrada no sistema (login).
Se o procedimento de entrada no sistema de computador seja projetado para minimizar a oportunidade de acessos não autorizados.
	1
	1
	7.5.3
	9.5.3
	Identificação e autenticação do usuário
	Se todos os usuários tenham um identificador único para uso pessoal e exclusivo, de modo que as atividades possam ser rastreadas subsequentemente a um indivíduo responsável.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	7.5.3
	9.5.3
	Identificação e autenticação do usuário
	Se os identificadores dos usuários não forneçam qualquer indicação do nível de privilégio do usuário, por exemplo, gestor, supervisor, etc. Controles adicionais podem ser necessários para manutenção das responsabilidades.
	1
	1
	7.5.4
	9.5.4
	Sistema de gerenciamento de senhas
	Se o sistema de gerenciamento proporcione facilidade interativa e eficaz que assegure senhas de qualidade.
	1
	2
	7.5.5
	9.5.5
	Uso de programas utilitários
	Se o uso de programas utilitários, de sistema que podem ser capazes de sobrepor os controles de sistema e aplicações, seja restrito e estritamente controlado.
	1
	2
	7.5.6
	9.5.6
	Alarme de intimidação para a salvaguarda de usuários
	Se há provisão de um alarme de intimidação para usuários que podem ser alvo de coação.
	2
	
	7.5.7
	9.5.7
	Desconexão de terminal por inatividade
	Terminais inativos em locais de alto risco, ou servindo a sistemas de alto risco, sejam desligados automaticamente após um período predeterminado de inatividade para prevenir acesso de pessoas não autorizadas.1
	2
	7.5.8
	9.5.8
	Limitação do tempo de conexão
	Se há qualquer restrição nos horários de conexão que proporcionem segurança adicional para aplicações de alto risco. Limitando o período durante o qual as conexões de terminal são permitidas para os serviços computadorizados, se reduz a janela de oportunidades par acessos não autorizados. 
	1
	2
	7.6
	9.6
	Controle de acaso às aplicações
	7.6.1
	9.6.1
	Restrição de acesso às aplicações
	Se os usuários dos sistemas de aplicação estejam providos de acesso à informação e as funções dos sistemas de aplicação de acordo com uma política de acesso definida, baseada nos requisitos das aplicações individuais do negócio e consistente com a política de acesso à informação organizacional.
	1
	2
	7.6.2
	9.6.2
	Isolamento dos sistemas sensíveis
	Se os sistemas sensíveis estão localizados em ambiente computacional isolado (dedicado).
	
	
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	7.7
	9.7
	Monitoração do uso e acesso ao sistema
	7.7.1
	9.7.1
	Registro (log) de eventos
	Se as trilhas de auditorias que registram as exceções e outros eventos de segurança relevantes são produzidos e mantidos por um período de tempo acordado para auxiliar em investigações futuras e na monitoração do controle de acesso.
	2
	
	7.7.2
	9.7.2
	Monitoração do uso do sistema
	Se forem estabelecidos procedimentos para a monitoração do uso dos recursos de processamento da informação. 
Este procedimento deve garantir que os usuários estão executando apenas as atividades para as quais eles foram explicitamente autorizados.
Se os resultados das atividades de monitoração são revisadas regularmente.
	1
	2
	7.2.3
	9.7.3
	Sincronização dos relógios
	Se o computador ou dispositivo de comunicação tiver a capacidade para operar um relógio (clock) de tempo real, este deve estar ajustado conforme o padrão acordado, por exemplo, o tempo coordenado universal (Universal Coordinated Time – UCT) ou um padrão local de tempo.
O estabelecimento correto dos relógios dos computadores é importante para garantir a exatidão dos registros de auditoria, que podem ser requeridos por investigações ou como evidência em casos legais ou disciplinares. 
	1
	2
	7.8
	9.8
	Computação móvel e trabalho remoto
	7.8.1
	9.8.1
	Computação móvel
	Se foi adotada uma política formal levando em conta os riscos de trabalhar com os recursos de computação móvel, como notebooks, palmtops, laptops e telefones celulares etc., principalmente em ambientes desprotegidos.
Se esta política inclui regras e avisos sobre a conexão de recursos móveis à rede e orientação sobre o uso destes recursos em locais públicos e fora dos limites da organização.
	1
	2
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	7.8.2
	9.8.2
	Trabalho remoto
	Se há alguma política, procedimento ou padrão que controle o trabalho remoto.
Se a proteção apropriada do local do trabalho remoto foi implantada visando evitar o roubo do equipamento e de informações, a divulgação não autorizada de informação, acesso remoto não autorizado aos sistemas internos da organização ou o uso impróprio desses recursos. 
	1
	1
	10. Desenvolvimento e manutenção de sistemas
	8.1
	10.1
	Requisitos de segurança de sistemas
	8.1.1
	10.1.1
	Análise e especificação dos requisitos de segurança
	Se os requisitos de segurança estão incorporados como parte dos requisitos do negócio para novos sistemas ou na melhoria dos sistemas já existentes.
Se os requisitos e controles de segurança reflitam o valor, para o negócio, dos ativos de informação envolvidos e dano potencial ao negócio, que pode resultar da falha ou ausência de segurança.
Se a estrutura para analisar os requisitos de segurança e identificar os controles que o satisfazem está na avaliação de riscos e no gerenciamento de risco. 
	1
	2
	8.2
	10.2
	Segurança nos sistemas de aplicação
	8.2.1
	10.2.1
	Validação de dados de entrada
	Se os dados de entrada dos sistemas de aplicação sejam validados para garantir que estão corretos e que são apropriados.
Se as validações sejam aplicadas na entrada de transações de negócio, dos dados permanentes (nomes e endereços, limites de crédito, números de referência de clientes) e nas tabelas de parâmetros . 
	1
	2
	8.2.2
	10.2.2
	Controle do processamento interno
	Se as áreas de risco são identificadas em um procedimento cíclico e a checagem de validação seja incluido.
	1
	2
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	8.2.2
	10.2.2
	Controle do processamento interno
	Se o projeto de aplicações garante que restrições sejam implementadas para minimizar os riscos de falhas de processamento que possam levar a perda da integridade.
Se controles apropriados são observados com o fim de minimizar os riscos durante o processamento interno.
Os controles necessários dependerão da natureza das aplicações e do impacto nos negócios de qualquer corrupção de dados.
	2
	
	8.2.3
	10.2.3
	Autenticação de mensagens
	Se a autenticação de mensagem é considerada para aplicações onde exista requisito de segurança para proteger a integridade do conteúdo da mensagem.
Se for executado uma avaliação dos riscos de segurança para determinar se a autenticação da mensagem é necessária e para identificar o método mais apropriado de implementação.
	2
	
	8.2.4
	10.2.4
	Validação dos dados de saída
	Se os dados de saída de um sistema de aplicação sejam validados para garantir que o processo de armazenamento da informação está correto e apropriado para as circunstâncias.
	2
	
	8.3
	10.3
	Controles de criptografia 
	8.3.1
	10.3.1
	Política para o uso de controles de criptografia
	Se há uma Política para o uso de controles de criptografia para a proteção da informação.
Se for executada uma avaliação de riscos para determinar o nível de proteção que deve ser dado à informação.
	1
	1
	8.3.2
	10.3.2
	Criptografia
	Se a técnica de criptografia foi usada para a proteção de dados sensíveis ou críticas.
Se avaliações foram conduzidas para analisar a sensibilidade dos dados e o nível de proteção requerido.
	1
	1
	8.3.3
	10.3.3
	Assinatura digital
	Se a assinatura digital foi utilizada para proteger a autenticidade e integridade dos documentos eletrônicos.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	8.3.4
	10.3.4
	Serviços de não repúdio
	Se os serviços de não repúdio foram usados em casos em que seja necessário resolver disputas sobre ocorrência ou não ocorrência de um evento ou ação.Ex:disputa envolvendo o uso de uma assinatura digital em um contrato ou pagamento eletrônico.
	1
	1
	8.3.5
	10.3.5
	Gerenciamento de chaves
	Se há um sistema de gerenciamento de chaves para dar suporte ao uso de técnicas de criptografia pela organização, tais como Chave Secreta e Chave Pública.
Se há um sistema de gerenciamento de chaves que seja baseado em um conjunto acordado de normas, procedimentos e métodos seguros. 
	1
	1
	8.4
	10.4
	Segurança de arquivos do sistema
	8.4.1
	10.4.1
	Controle de software em produção
	Se foi estabelecido controle para a implementação de software em sistemas operacionais. Para minimizar o risco de corrupção dos sistemas operacionais.
	1
	1
	8.4.2
	10.4.2
	Proteção de dados de teste do sistema
	Se o sistema de dados de teste do sistema é protegido e controlado. O uso base de dados de produção contendo informações pessoais deve ser evitado, se tal informação for utilizada, esta deveráser despersonalizada antes do uso.
	1
	1
	8.4.3
	10.4.3
	Controle de acesso a bibliotecas de programa-fonte 
	Se um controle rígido e completo é mantido sobre o acesso às bibliotecas de programa-fonte, para reduzir o potencial de corrupção de programas de computadores.
	1
	1
	8.5
	10.5
	Segurança nos processos de desenvolvimento e suporte
	8.5.1
	10.5.1
	Procedimentos de controle de mudanças
	Se há um controle rígido sobre a implementação de mudanças do sistema de informação, para minimizar a corrupção dos sistemas de informação.
	1
	1
	8.5.2
	10.5.2
	Análise crítica das mudanças técnicas do sistemas operacional da produção
	Se os sistemas de aplicação são analisados e criticamente testados para garantir que não ocorrerá nenhum impacto adverso na produção ou na segurança. Periodicamente é necessário modificar o sistema operacional, por ex. instalar uma correção ou uma nova versão do software enviada pelo fornecedor.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	8.5.3
	10.5.3
	Restrições nas mudanças dos pacotes de software
	Se modificações dos pacotes de softwares são desencorajados. Tão longe quanto possível e praticável, os pacotes de softwares adquiridos de fornecedores devem ser usados sem modificação. Se as modificações forem consideradas essenciais, convém que o softaware original seja retido e as modificações efetuadas em uma cópia claramente identificada. Todas as modificações devem ser testadas e documentadas, de forma que elas possam ser replicadas, se necessário, em futuras atualizações de softwares.
	1
	2
	8.5.4
	10.5.4
	Covert channels e cavalo de Tróia
	Se há controles que garantam que covert channels e cavalo de Tróia não sejam introduzidos em sistemas novos ou atualizados.
Um covert channel pode expor a informação através de meios indiretos e obscuros. O cavalo de Tróia é projetado para afetar um sistema de forma não autorizada.
	1
	2
	8.5.5
	10.5.5
	Desenvolvimento terceirizado de software
	Se há controles para o desenvolvimento terceirizado de software.
Os seguintes pontos devem ser considerados: acordos sobre licenças, certificação de qualidade, teste antes da instalação para detecção de cavalos de Tróia.
	1
	2
	Gestão da continuidade do negócio
	9.1 
	11.1
	Aspectos da gestão da continuidade do negócio
	9.1.1
	11.1.1
	Processo de gestão da continuidade do negócio
	Se há um processo de gestão que permeie toda organização implantada para o desenvolvimento e manutenção da continuidade do negócio.
Este deverá incluir entendimento dos riscos que a organização está exposta, entendimento dos impactos sobre os negócios, detalhamento e documentação de planos de continuidade, etc. 
	1
	1
	9.1.2
	11.1.2
	Continuidade do negócio e análise de impacto
	Se há identificação dos eventos que podem causar interrupções nos processos dos negócios, como: falha de equipamentos, inundações e incêndios. 
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	9.1.2
	11.1.2
	Continuidade do negócio e análise de impacto
	Se for realizado uma avaliação de risco para determinação do impacto dessas interrupções.
Se um plano estratégico foi desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade do negócio.
	1
	1
	9.1.3
	11.1.3
	Documentando e implementando planos de continuidade 
	Se foram desenvolvidos planos para a manutenção ou recuperação das operações do negócio, na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos.
Se estes planos são regularmente testados e atualizados.
	1
	2
	9.1.4
	11.1.4
	Estrutura do plano de continuidade do negócio
	Se há uma Estrutura do plano de continuidade do negócio.
Se é mantido uma estrutura básica dos planos de negócio, para assegurar que todos os planos sejam consistentes e para identifiar prioridades para testes e manutenção.
Se cada plano de continuidade do negócio especifique claramente as condições de sua ativação assim como as responsabilidades individuais para execução de cada uma das atividade do plano.
	1
	2
	9.1.5
	11.1.5
	Testes, manutenção e reavaliação dos planos de continuidade do negócio
	Se os planos de continuidade do negocio sejam testados regularmente para garantir sua permanente atualização e efetividade.
Se os planos de continuidade do negócio foram mantidos por revisões regulares e atualizações para garantir sua continuidade e efetividade.
Se procedimentos foram incluidos no programa de gerenciamento da organização , de forma a garantir que as questões relativas à continuidade de negócios são devidamente tratadas.
	1
	2
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	Conformidade
	10.1
	12.1
	Conformidade com requisitos legais
	10.1.1
	12.1.1
	Identificação da legislação vigente
	Se estatutos, regulamentações ou clausulas contratuais relevantes estejam explicitamente definidos e documentados para cada sistema de informação.
Se os controles e as responsabilidades específicos para atender a estes requisitos sejam de forma similares definidos e documentados 
	1
	2
	10.1.2
	12.1.2
	Direitos de propriedade intelectual 
	Se há procedimentos apropriados para garantir a conformidade com as restrições legais no uso de material de acordo com as leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas.
Se estes procedimentos estão bem implementados.
Se a propriedade dos softwares sejam fornecidos sob um contrato de licenciamento que restrige o uso dos produtos em máquinas específicas e que pode limitar a cópia apenas para a criação de uma cópia de segurança.
	1
	2
	10.1.3
	12.1.3
	Salvaguarda de registros organizacionais
	Se os registros importantes da empresa estão protegidos contra perda destruição e falsificação.
	1
	1
	10.1.4
	12.1.4
	Proteção de dados e privacidade da informação pessoal
	Se há uma estrutura de gerenciamento e controle para a proteção de dados e privacidade da informação pessoal.
	1
	1
	10.1.5
	12.1.5
	Prevenção contra uso indevido de recursos de processamento da informação
	Se o uso de recursos de processemento da informação para propósitos não profissionais ou não autorizados, sem a aprovação da direção, seja considerado como uso impróprio.
Se no momento da conexão inicial é apresentada uma mensagem se advertência na tela do computador, indicando que o sistema que está sendo acessado é privado e que não são permitidos acessos não autorizados.
	1
	1
	Gestão da Segurança da Informação
	Referências
	Área Auditada, problema e objetivo
	Checklist
	Padrão
	Seção
	Problema auditado
	Verificado
	Conformidade
	10.1.6
	12.1.6
	Regulamentação de controles de criptografia
	Se a regulamentação de controles de criptografia esteja de acordo com acordos, leis e regulamentações nacionais.
	1
	1
	10.1.7
	12.1.7
	Coleta de evidências
	Se o processo que envolve coleta de evidências está de acordo com requisitos legais.
	1
	2
	10.2
	12.2
	Análise crítica da política de segurança e da conformidade técnica
	10.2.1
	12.2.1
	Conformidade com a política de segurança
	Se em todas as áreas dentro da organização são consideradas na análise crítica periódica, para garantir a conformidade com as normas e políticas de segurança.
	1
	1
	10.2.2
	12.2.2
	Verificação da conformidade técnica
	Se sistemas de informação são regularmente verificados em conformidade com as normas de segurança implementadas.
Se a verificação de conformidade técnica seja realizada por técnicos especializados ou pessoas autorizadas.1
	1
	10.3
	12.3
	Considerações quanto à auditoria de sistemas
	10.3.1
	12.3.1
	Controles de auditoria de sistema
	Se requisitos e atividades de auditoria envolvendo verificação nos sistemas operacionais são cuidadosamente planejados e acordados, para minimizar os riscos de interrupção dos processos do negócio.
	1
	1
	10.3.2
	12.3.2
	Proteção das ferramentas de auditoria de sistemas
	Se o acesso às ferramentas de auditoria de sistemas, isto é, softwares ou arquivos de dados, sejam protegidos para prevenir contra qualquer possibilidade de uso impróprio ou comprometimento.
	1
	1
Obs.: Como a empresa que foi auditada se trada de um órgão publico muitas informações não foram passadas.