Planilha Controles LGPD

Prévia do material em texto

ID CONTROLE 
BASES 
DE 
DADOS 
DOCS 
EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS 
UNIDADES 
ORGANIZ. 
MEDIDA DE SEGURANÇA: POLÍTICA DE SEGURANÇA 
1 Há uma Política de Segurança Cibernética (PSC) ou equivalente publicada, incluindo Políticas ou Normas para Proteção de Dados Pessoais (PPD)? X 
2 Existe e é executado um processo de análise crítica da PSC e das normas ou PPD devidamente formalizado? X 
MEDIDA DE SEGURANÇA: GESTÃO DE RISCOS 
1 
É realizada periodicamente uma análise/avaliação de riscos dos recursos de 
processamento da informação, sistemas de segurança cibernética e quaisquer outros 
ativos considerados críticos, indicando o nível de risco ao qual a aplicação e a 
organização está exposta e considerando a identificação das ameaças aplicáveis e análise 
de impacto nos negócios? 
 X 
MEDIDA DE SEGURANÇA: SEGURANÇA NAS OPERAÇÕES 
1 
Há projeções de capacidade futura que consideram os requisitos de novos negócios e 
sistemas, as tendências de utilização e as tendências atuais e projetadas de capacidade de 
processamento de informação da organização? 
X X X 
2 Há mecanismos para monitoramento do uso dos recursos, de forma a atender as necessidades de capacidade futura e garantir o desempenho requerido das aplicações? X X X 
3 São implementados mecanismos e procedimentos para evitar ataques de negação de serviço, tais como balanceamento de carga, IPS, proxy, firewall, etc.? X X X 
MEDIDA DE SEGURANÇA: ORGANIZAÇÃO DA SEGURANÇA 
1 
Há uma matriz de responsabilidades com atribuição das responsabilidades pela segurança 
cibernética na organização, de forma a evidenciar a segregação de funções e assegurar que 
colaboradores e partes externas entendam suas responsabilidades? 
 X X 
MEDIDA DE SEGURANÇA: CLASSIFICAÇÃO DA INFORMAÇÃO 
1 
A informação é classificada em termos do seu valor, requisitos legais, sensibilidade e 
criticidade para evitar modificação ou divulgação não autorizada, incluindo classificação 
dos dados pessoais? 
X X X X 
2 A classificação de categorias de informação relacionada com dado pessoal inclui, mas não estão limitadas, a classificação de informações pessoais sensíveis e não-sensíveis? X X X X 
3 O esquema de classificação está alinhado com a política (norma) de controle de acesso? X 
4 A informação é rotulada e tratada de acordo com o esquema de classificação da informação adotado? X X X X 
5 Os ativos são tratados de acordo com o esquema de classificação da informação adotado? X X X X 
MEDIDA DE SEGURANÇA: PROTEÇÃO FÍSICA E DO AMBIENTE 
1 O local que processa as informações é restrito somente ao pessoal autorizado? X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
2 As portas externas do local que processa as informações são adequadamente protegidas contra acesso externo? X 
3 Há uma área de recepção para controlar o acesso ao local que processa as informações? X 
4 O local que processa as informações é restrito somente ao pessoal autorizado? X 
5 No perímetro de segurança, há portas corta-fogo providas com alarme e com nível de resistência adequado? X 
6 Há uma sistema de detecção de intrusos que cubra todas as portas e janelas? X 
7 As instalações de processamento da informação gerenciadas pela organização são fisicamente separadas de outras gerenciadas por partes externas? X 
8 A permissão de acesso aos visitantes é analisada criticamente em intervalos regulares? X X 
9 É registrada a data e hora de acesso dos visitantes? X X 
10 A autenticação da identidade dos visitantes é realizada por meios apropriados? X X 
11 Os visitantes são instruídos sobre os requisitos de segurança e procedimentos a serem observados em visita às áreas seguras? X X 
12 O acesso as áreas onde são processadas informações sensíveis são controladas por meio de mecanismos de autenticação em duas etapas? X 
13 Há uma manutenção de trilha de auditoria eletrônica ou livro de registro físico de todos os acessos? X 
14 Todos os funcionários, fornecedores e partes externas são identificados pelo uso de crachá ou qualquer outra forma visível de identificação? X 
15 
A perda, furto ou desaparecimento da forma visível de identificação são comunicados 
imediatamente a área competente para atualização e distribuição da relação de 
identificações perdidas, sumidas e furtadas? 
 X 
16 Há uma revisão periódica, atualização e revogação dos direitos de acesso às áreas seguras? X 
17 São projetadas e aplicadas proteção física contra desastres naturais, ataques maliciosos ou acidentes? X 
18 O conhecimento da existência e localização das áreas seguras é repassado apenas ao pessoal cuja atividade necessite de tal informação? X X 
19 O trabalho nas áreas seguras é supervisionado? X X 
20 Existe formalmente definido e é executado um procedimento para assegurar o fechamento das portas e janelas após o encerramento das atividades? X 
21 
Existe formalmente definido e é executado um procedimento para assegurar o 
desligamento de todos os equipamentos eletroeletrônicos não necessários, após o 
encerramento das atividades? 
 X 
22 É vedada a utilização de dispositivos fotográficos, gravadores de áudio e/ou vídeo nas áreas seguras? X X 
23 As áreas de entrega e carregamento são restritas ao pessoal identificado e autorizado? X 
24 As áreas de entrega e carregamento são protegidas de forma que os entregadores e carregadores não têm acesso a outras partes do edifício? X 
25 
Os materiais entregues são inspecionados para detectar, em especial, a presença de 
explosivos, materiais químicos ou outros materiais perigosos, bem como alterações 
indevidas? 
 X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
26 Os materiais entregue são registrados de acordo com os procedimentos de gerenciamento de ativos? X 
27 As áreas que manipulam informações reservadas possuem dispositivos para destruição de documentos? X 
28 Existe aviso visível indicando que é vedado comer, beber e/ou fumar nas proximidades das salas de processamento da informação? X 
29 Há mecanismos de monitoramento das condições ambientais dos locais de processamento da informação? X 
30 Há proteção contra raios no edifício? X X 
31 As linhas de energia e de telecomunicações que entram nas instalações de processamento da informação são subterrâneas ou ficam em baixo do piso? X 
32 Os cabos de energia são segregados dos cabos de comunicação? X 
MEDIDA DE SEGURANÇA: GESTÃO DE MUDANÇAS 
1 Existe e é executado um processo formal de Gestão de Mudanças na organização? X X X X 
2 É realizado o controle de mudanças em atualizações de software e outros componentes das soluções de TIC? X X X 
3 Mudanças significativas são identificadas e registradas? X X X X 
4 Mudanças são planejadas e testadas? X X X X 
5 Há uma avaliação de impactos potenciais, riscos e consequências, incluindo impactos de segurança cibernética, quando da identificação de necessidade de mudanças? X X X 
6 Há um procedimento formal de aprovação das mudanças propostas? X X X 
7 Há uma verificação do atendimento de requisitos de segurança cibernética quando da implementação e mudanças? X X X 
8 As mudanças são comunicadas para todas as partes interessadas? X 
9 
Há procedimentos de recuperação, incluindo procedimentos e responsabilidades para 
interrupção e recuperação de mudanças em caso de insucesso ou na ocorrência de eventos 
inesperados? 
X X X X 
10 
Há um processo emergencial de mudança para permitir uma implementação rápida e 
controlada de mudanças, necessárias para resolver um incidente de segurança 
cibernética? 
XX X 
11 
Há um inventário completo e atualizado dos ativos de informação, contemplando e 
classificando os ativos relacionados com dados pessoais e todos os sistemas que processam 
tais dados, contendo o fornecedor, o número da versão, o status atual de desenvolvimento 
(por exemplo, quais softwares estão instalados e em quais sistemas), e a(s) pessoa(s) na 
organização responsável(is) pelos ativos? 
X X X X 
12 No que couber, o inventário de ativos é elaborado e atualizado com base no relatório de impacto à proteção de dados pessoais, previsto na Lei 13.709/2018)? X X X X 
13 Há um processo de análise e monitoramento de vulnerabilidades, com avaliação de risco de vulnerabilidades e aplicação de correções? X X X 
14 Existe um prazo formalmente definido para o tratamento de vulnerabilidades técnicas relevantes identificadas? X X X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
15 Existe e é executado um processo de análise de riscos de aplicação de uma correção disponibilizada? X X X 
16 As correções (patches) são testadas e avaliadas antes de serem instaladas para assegurar a efetividade e que não tragam efeitos que não possam ser tolerados? X X X 
17 Existe um registro de auditoria de todos os procedimentos de correções, mudanças e/ou tratamento de vulnerabilidades realizados? X X X 
18 
Ao desenvolver ou fazer mudanças significativas em sistemas de informação que 
processam dados pessoais, é avaliada se tais mudanças demandam atualizar a 
documentação relacionada com o relatório de impacto à proteção de dados pessoais 
previsto pela Lei 13.709/2018? 
 X 
19 
Os resultados da avaliação citada pelo item anterior são usados para determinar os 
controles que devem ser usados para tratar os riscos identificados durante o processo de 
avaliação, atualizando o relatório de impacto à proteção de dados pessoais? 
 X 
20 Os recursos de segurança cibernética e de tecnologia da informação encontram-se em versões comprovadamente seguras, estáveis e atualizadas? X X X 
MEDIDA DE SEGURANÇA: CONTINUIDADE DE NEGÓCIO 
1 
Há um Plano de Continuidade Operacional (PCO) formalmente estabelecido, com o 
objetivo de restabelecer o funcionamento dos principais ativos que suportam as operações 
da organização, reduzindo o tempo de queda e os impactos provocados por um eventual 
incidente, incluindo mecanismos de tolerância a falhas? 
 X 
2 Há uma classificação do nível de criticidades das atividades da organização/unidade organizacional? X 
3 Há Planos de Contingência para as atividades consideradas críticas? X 
4 São definidas uma ou mais estratégias de continuidade para manter as funcionalidades dos processos de negócios frente aos incidentes identificados? X 
5 
As estratégias de continuidade consideram o estudo dos tempos máximos de recuperação 
e restauração compatíveis com as necessidades dos processos de negócio: RTO (Recovery 
Time Objective) – o tempo máximo que o negócio pode suportar sem a solução tecnológica; 
RPO (Recovery Point Objective) – ponto de recuperação dos dados, ou seja, uma vez 
recuperada a solução, qual a quantidade de dados máxima que poderá ser perdida sem 
que o negócio seja afetado; e NRO (Network Recovery Time) – o tempo máximo de 
recuperação da rede? 
 X 
6 Os proprietários dos ativos de informação participaram da elaboração e revisão dos Planos supracitados? X 
7 
São realizados, em intervalos de tempo predefinidos, simulações e/ou testes planejados, 
levando-se em consideração as menores indisponibilidades e impactos possíveis nos 
processos de negócio, de forma que seja possível identificar falhas que venham a 
comprometer qualquer parte do processo de continuidade, com vistas a promover revisões 
e atualizações periódicas dos Planos relacionados? 
X X X X 
8 
É realizada uma revisão dos Planos nas seguintes situações: no mínimo, uma vez por ano; 
em função dos resultados dos testes realizados; após alguma mudança significativa nos 
ativos de informação, nas atividades ou em algum de seus componentes; mudanças na 
legislação; ou alterações nos riscos (operacional e financeiro)? 
 X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
9 
O resultado dos testes são documentados e enviados ao Comitê de Segurança Cibernética 
ou equivalente e aos proprietários dos ativos de informação, que devem, formalmente, 
tomar ciência e solicitar as providências cabíveis quando necessárias? 
 X 
10 
Os Planos estão guardados em locais geograficamente separados e armazenado em um 
sistema computadorizado de gestão, que possuam controles de segurança e sejam de fácil 
acesso às pessoas autorizadas a manuseá-los? 
 X 
11 Há redundância dos recursos de processamento da informação suficiente para atender aos requisitos de disponibilidade previstos em contrato? X X X 
MEDIDA DE SEGURANÇA: TRATAMENTO E RESPOSTA A INCIDENTES 
1 Estão estabelecidas as responsabilidades e procedimentos de gestão dos incidentes de segurança cibernética? X X 
2 Existe um time de detecção, tratamento e resposta a incidentes de segurança cibernética (CSIRT)? X 
3 Existe e é executado um procedimento de notificação formal para relatar os incidentes de segurança cibernética? X 
4 Existe um canal apropriado para notificar os eventos de segurança da cibernética de forma rápida? X 
5 Somente colaboradores autorizados podem averiguar um incidente de segurança cibernética suspeito? X 
6 Todos os incidentes notificados ou detectados são registrados, com a finalidade de assegurar registro histórico das atividades do CSIRT? X 
7 
Existem formalmente e são executados procedimentos específicos para resposta aos 
incidentes, contemplando: a definição de incidente; o escopo da resposta; quando e por 
quem as autoridades (incluindo as autoridades de proteção de dados) devem ser 
contatadas; papéis, responsabilidades e autoridades; avaliação de impacto do incidente; 
medidas para reduzir a probabilidade e mitigar o impacto do incidente; descrição da 
natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos? 
 X 
8 
Os ativos de informação estão configurados de forma a registrar todos os eventos 
relevantes de segurança cibernética, contendo, pelo menos, a identificação inequívoca do 
usuário, a natureza do evento, a data, hora e fuso horário, o identificador do ativo de 
informação, as coordenadas geográficas, se disponíveis, e outras informações que possam 
identificar a possível origem do evento? 
X X X 
9 
Os ativos de informação que não permitem os registros de eventos acima listados são 
mapeados e documentados quanto ao tipo e formato de registros de auditoria que o sistema 
permite armazenar? 
X X X 
10 Os ativos de informação estão configurados de forma a armazenar seus registros de auditoria não apenas localmente, como também remotamente? X X X 
11 As informações sobre o incidentes são tratados com adequado grau de sigilo? X 
12 O CSIRT detém os recursos materiais, tecnológicos e humanos, suficientes para prestar os serviços oferecidos? X 
13 Os membros do CSIRT são devidamente capacitados para operar os recursos disponíveis para a condução dos serviços oferecidos? X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
14 
Existem informações formalmente identificadas sobre quando e quais autoridades devem 
ser contatadas e como os incidentes de segurança cibernética identificados serão 
reportados em tempo hábil? 
 X 
15 Existe e é executado um processo formal para registro e notificação de quaisquer fragilidades de segurança cibernética,suspeita ou observada, nos sistemas ou serviços? X 
16 Há um sistema para monitoramento de aplicações, alertas e vulnerabilidades utilizado para auxiliar na detecção e tratamento de incidentes de segurança cibernética? X X 
17 Existe e é executado procedimento para detecção e correção de vulnerabilidades? X 
18 
Os colaboradores estão cientes dos procedimentos para notificação dos diferentes tipos de 
incidentes de segurança cibernética (fragilidades e quebras de segurança) que possam 
impactar na segurança dos recursos de processamento da informação? 
 X 
19 Existe e é executado um processo de avaliação dos eventos de segurança cibernética para identificar se eles deverão ser classificados como incidentes de segurança cibernética? X 
20 Os incidentes de segurança cibernética são reportados de acordo com procedimentos formalmente documentados? X 
21 
Os conhecimentos obtidos da análise e resolução dos incidentes de segurança cibernética 
são registrados e mantidos atualizados com a finalidade de serem usados para reduzir a 
probabilidade ou o impacto de incidentes futuros? 
 X 
22 Existem e são executados procedimentos específicos para tratamento de artefatos maliciosos? X 
23 São divulgados alertas ou advertências imediatas como uma reação diante de um incidente de segurança cibernética? X 
24 
São divulgados, de forma proativa, alertas sobre vulnerabilidades e problemas de 
incidentes de segurança cibernética em geral, cujos impactos sejam de médio e longo 
prazo, possibilitando que a organização se prepare contra novas ameaças? 
 X 
25 
Há procedimentos de prospecção e/ou monitoramento do uso de novas técnicas das 
atividades de intrusão e tendências relacionadas, as quais ajudarão a identificar futuras 
ameaças? 
 X 
26 
É realizada, em intervalos predefinidos, uma avaliação de segurança cibernética, de forma 
a analisar detalhadamente a infraestrutura de segurança cibernética da organização com 
base em requisitos da própria organização ou em melhores práticas de mercado (por 
exemplo: revisão da infraestrutura, revisão de processos, varredura da rede; testes de 
penetração, etc.)? 
 X 
27 
Há um serviço de detecção de intrusão, que detectam as tentativas de intrusões em redes 
de computadores, com vistas a identificar e iniciar os procedimentos de resposta a 
incidente de segurança cibernética e, ainda, possibilitar o envio de alerta em consonância 
com padrão de comunicação previamente definido entre a CSIRT e o Centro de 
Tratamento de Incidentes de Segurança em Redes de Computadores da Administração 
Pública Federal - CTIR Gov? 
 X X 
28 
O CSIRT comunica a ocorrência de incidentes de segurança cibernética ao CTIR Gov, 
conforme procedimentos definidos pelo próprio CTIR Gov, com vistas a permitir que 
sejam dadas soluções integradas para a Administração Pública Federal, bem como a 
geração de estatísticas? 
 X 
MEDIDA DE SEGURANÇA: CONTROLES DE COLETA E PRESERVAÇÃO DE EVIDÊNCIAS 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
1 
O agente responsável pelo CSIRT, durante o processo de tratamento do incidente, coleta 
e preserva as mídias de armazenamento dos dispositivos afetados e todos os registros de 
eventos de: autenticação, tanto os bem-sucedidos quanto os malsucedidos; acesso a 
recursos e dados privilegiados e acesso e alteração nos registros de auditoria? 
 X 
2 
Nos casos em que seja inviável preservar as mídias de armazenamento em razão da 
necessidade de pronto restabelecimento do serviço afetado, o agente responsável pelo 
CSIRT coleta e armazena cópia dos arquivos afetados pelo incidente, tais como: logs, 
configurações do sistema operacional, arquivos do sistema de informação, e outros 
julgados necessários, mantendo-se a estrutura de diretórios original, bem como os 
“metadados” desses arquivos, como data, hora de criação e permissões; registrando em 
relatório a impossibilidade de preservar as mídias afetadas e listando todos os 
procedimentos adotados? 
 X 
3 As ações de restabelecimento do serviço, realizados pela equipe técnica, não comprometem a coleta, e preservação da integridade das evidências? X 
4 É gerado, pelo agente responsável, um arquivo contendo a lista dos resumos criptográficos de todos os arquivos coletados como evidência? X 
5 Os arquivos coletados como evidências são gravados, acompanhado do arquivo com a lista dos resumos criptográficos? X 
6 Todo material coletado é lacrado e custodiado pelo agente responsável pelo CSIRT? X 
7 O agente responsável pelo CSIRT, preencher Termo de Custódia dos Ativos de Informação relacionados ao incidente de segurança? X 
8 O material coletado ficará à disposição da autoridade comunicada? X 
MEDIDA DE SEGURANÇA: CONTROLES CRIPTOGRÁFICOS 
1 Há uma política ou norma para uso de controles criptográficos? X 
2 É realizada, em intervalo de tempo predefinido, a revisão dos critérios da política de uso de controles criptográficos (parâmetros, algoritmos, tamanho de chave, etc.)? X 
3 Há utilização de criptografia para a proteção de informações sensíveis transmitidas em linhas de comunicação? X X X X 
4 Há utilização de criptografia para a proteção de informações sensíveis ou críticas armazenadas em dispositivos móveis, mídias removíveis ou em banco de dados? X X X X 
5 
Utilizam-se assinaturas digitais ou códigos de autenticação de mensagens (MAC) para 
verificar a autenticidade ou integridade de informações sensíveis ou críticas, armazenadas 
ou transmitidas? 
 X X 
6 Usam-se técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de um evento ou ação, de forma a assegurar o não-repúdio? X 
7 Usam-se técnicas criptográficas para autenticar usuários e outros sistemas que requeiram acesso para transações com usuários de sistemas, entidades e recursos? X 
8 Existem e são executados procedimentos específicos para geração de chaves para diferentes sistemas criptográficos e diferentes aplicações? X 
9 Existem e são executados procedimentos específicos para gerar e obter certificados de chaves públicas? X 
10 Existem e são executados procedimentos específicos para distribuir chaves para os usuários devidos, incluindo a forma como as chaves são ativadas, quando recebidas? X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
11 Existem e são executados procedimentos específicos para armazenar chaves com nível de segurança adequado, incluindo a forma como os usuários autorizados obtêm acesso a elas? X 
12 Existem e são executados procedimentos específicos para mudar ou atualizar chaves, incluindo regras quando as chaves são mudadas e como isto deve ser conduzido? X 
13 Existem e são executados procedimentos específicos para lidar com chaves comprometidas? X 
14 
Existem e são executados procedimentos específicos para revogar chaves, incluindo regras 
de como elas são retiradas ou desativadas, por exemplo quando chaves tiverem sido 
comprometidas ou quando um usuário deixa a organização? 
 X 
15 Existem e são executados procedimentos específicos para recuperar chaves perdidas ou corrompidas? X 
16 Existem e são executados procedimentos específicos para realizar cópias de segurança das chaves de maneira adequada? X 
17 Existem e são executados procedimentos específicos para destruir chaves de maneira adequada? X 
18 Existem e são executados procedimentos específicos para manter registro e auditoria das atividades relacionadas com o gerenciamento de chaves? X 
19 
Para os caso de uso de hardware e softwarepara execução de funções criptográficas, estes 
estão em conformidade com acordos, as leis, as regulamentações ou outros instrumentos 
regulatórios sobre o uso de criptografia? 
 X X 
20 
Todo agente responsável usuário de recurso criptográfico é encarregado pela sua operação 
e sigilo, possui credencial de segurança e assina o respectivo Termo de Uso de Recursos 
Criptográficos? 
 X 
21 O recurso criptográfico, baseado em algoritmo de Estado, segue padrões mínimos definidos pela Norma Complementar no 09/IN01/DSIC/GSI/PR? X 
22 
É realizada avaliação de risco para identificar o nível requerido de proteção dos dados 
pessoais, auxiliando determinar o tipo, a força e a qualidade necessários do algoritmo 
criptográfico ser usado? 
 X 
MEDIDA DE SEGURANÇA: CÓPIA DE SEGURANÇA 
1 
Há uma política ou norma de backup que aborde os procedimentos operacionais que 
padronizam os processos de geração de cópias de segurança e recuperação de arquivos, 
assim como os processos de controle de acesso, armazenamento, movimentação e descarte 
das mídias que contêm cópias de segurança? 
 X 
2 Existem orientações formais indicando qual a frequência mínima para realização de revisões sobre os procedimentos de backup e recuperação? X 
3 
São registrados os procedimentos operacionais dos processos de geração de cópias de 
segurança e recuperação de arquivos, assim como os processos de controle de acesso, 
armazenamento, movimentação e descarte das mídias que contêm cópias de segurança? 
 X 
4 
Há um registro ou classificação das informações que necessitam de backup; necessitam de 
backup com uso de criptografia; são críticas para a continuidade da operação do serviço 
e necessitam de restauração rápida em caso de incidente ou desastre? 
 X 
5 
Há procedimentos definidos e executados para os casos de ocorrência de falhas nos 
processos de geração de cópias de segurança e recuperação de arquivos, de forma e 
assegurar o registro da documentação necessária (registrar como os erros nos 
procedimentos de backup são identificados, informados e corrigidos)? 
 X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
6 Estão estabelecidos os responsáveis pela execução dos procedimentos de backup para cada tipo de informação? X 
7 Está estabelecido a abrangência dos procedimentos de backup para cada tipo de informação (por exemplo, completa ou diferencial)? X 
8 
Nos casos de impossibilidade de geração de cópias de segurança, é feita a comunicação 
formal a unidade organizacional responsável, bem como o registro das dificuldades 
encontradas? 
 X 
9 Existe uma frequência estabelecida para geração dos backups para cada tipo de informação? X 
10 São estabelecidos os ativos utilizados para cada backup de cada tipo de informação? X 
11 Há níveis apropriados de proteção física e ambiental das informações das cópias de segurança (de acordo com cada ativo de backup)? X 
12 É dada ciência e compromisso dos responsáveis pelos procedimentos de backup? X 
13 As mídias que contêm cópias de segurança são transportadas em embalagens protegidas contra danos físicos e somente por pessoal autorizado? X 
14 Os algoritmos e tamanho de chaves de criptografia dos backups possuem níveis de segurança adequados? X X X 
15 São definidos os responsáveis pela execução dos testes de backup? X 
16 
É definido a abrangência dos testes de backup e sua periodicidade, de forma que os testes 
sejam planejados observando as dependências e relacionamentos entre sistemas, 
considerando inclusive os ambientes de continuidade de negócios, com o objetivo de 
minimizar a possibilidade de que a ausência de sincronismo entre os dados inviabilize ou 
dificulte sua recuperação? 
 X 
17 São definidos os ativos envolvidos em cada tipo de teste de backup? X 
18 Os ativos envolvidos nos procedimentos de backup são testados em intervalos de tempo predefinidos? X X X 
19 É dada ciência e compromisso dos responsáveis pelos testes de backup? X 
20 
Os testes de capacidade restauram os dados copiados em uma mídia de teste dedicada, sem 
sobrepor a mídia original no caso em que o processo de restauração ou backup falhe e 
cause irreparável dano ou perda dos dados? 
X X X 
21 É realizado monitoramento e verificação periódica dos procedimentos de backup e testes de backup (revisão de rotinas automáticas, cronogramas, responsáveis, etc.)? X 
22 
As mídias que contêm cópias de segurança são armazenadas em uma localidade remota 
(“offsite”), a uma distância suficiente que garanta sua integridade e disponibilidade contra 
possíveis danos advindos de um desastre ocorrido no sítio primário? 
 X X 
23 Os responsáveis pelo processo de geração de cópias de segurança e recuperação de dados possuem as capacidades necessárias para execução dessas atividades? X 
24 
O período de retenção das cópias de segurança e os requisitos de releitura são predefinidos, 
levando-se em consideração os requisitos de negócio, contratuais, regulamentares ou 
legais? 
 X 
25 
As mídias utilizadas no processo de realização do backup possuem identificação única na 
qual constem o tipo do backup realizado; número da mídia e quantidade de mídias 
utilizadas na realização do backup; periodicidade do backup (diário, semanal ou mensal); 
 X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
descrição dos locais ou serviços que foram copiados; data de realização do backup; versão 
e descrição do software utilizado para a realização do backup; tempo de retenção? 
26 
Nos casos de substituição da solução de backup (hardware e software), as informações 
contidas nas mídias da antiga solução são transferidas em sua totalidade para as mídias 
compatíveis com a nova solução, respeitando os critérios definidos pelo fabricante e pela 
unidade organizacional responsável? 
X X X 
27 
O descarte das mídias utilizadas para cópia de informações respeita a temporalidade 
prevista na legislação, a política, as normas, os procedimentos de segurança internos e a 
classificação das informações? 
 X 
28 O processo de descarte das mídias deve ser realizado utiliza procedimentos seguros, tais como incineração, trituração e desmagnetização? X 
29 O descarte das mídias que contiverem informações sigilosas é realizado de forma a impossibilitar sua recuperação total? X 
MEDIDA DE SEGURANÇA: CONTROLE DE ACESSO LÓGICO 
1 Há uma política ou norma de controle de acesso lógico formalizada e embasada no princípio do menor privilégio? X 
2 Acordos de confidencialidade, termos de responsabilidade, termos de sigilo são assinados pelos usuários? X 
3 As credenciais e contas de acesso são únicas? X X X X 
4 É exigido autorização prévia da autoridade competente para liberação das credenciais de acesso? X 
5 Há um processo de solicitação formal do proprietário do ativo de informação ou gestor dos serviços para acesso aos recursos e serviços de TIC? X X 
6 
O processo de atribuição de permissões de acesso às informações e para o acesso remoto 
por meio de canal seguro, é embasado em norma de classificação da informação e em 
legislação específica para a concessão de acesso às informações sigilosas? 
 X 
7 O usuário recebe formalmente as informações de seus direitos e deveres de forma a declarar-se ciente do ambiente computacional e das permissões de acesso a ele concedidos? X 
8 Há controles automatizados de revogação das contas dos usuários que mudaram de cargos, funções ou deixaram a organização? X X X X 
9 As atividades dos usuários são monitoradas? X XX X 
10 
A conta de acesso no perfil de administrador ou privilegiado está atribuída a usuários 
cadastrados para execução de tarefas específicas conforme necessidade de uso dos recursos 
ou sistemas? 
 X 
11 Há política de senha definindo tamanho mínimo e formato e é implementada? X 
12 As informações das credenciais de acesso dos usuários estão gravadas em recursos de tecnologia da informação protegidos e sob a forma criptografada? X X X 
13 As informações das credenciais de acesso dos usuários são transmitidas de forma protegida? X X X 
14 
Um mecanismo de recuperação de senha está implementado de forma a assegurar a 
recuperação da senha de maneira segura, sem fornecimento de senha por parte da 
aplicação, e que obrigue a alteração de senha do usuário no primeiro acesso? 
X X X 
15 Uma análise crítica de direitos de acesso é realizada em um período de tempo previamente definido ou a qualquer momento depois de qualquer mudança nos direitos de usuários ou X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
para verificação de incidentes de segurança, incluindo acesso privilegiado a dados 
pessoais? 
16 
Os direitos de acesso dos usuários são suspensos durante a execução de processos de 
avaliação de incidentes de segurança ou durante processo administrativo que apure o uso 
irregular de credencial de acesso? 
X X X X X 
17 
Os direitos de acesso dos usuários são bloqueados temporariamente por um período de 
tempo predeterminado após um número máximo de 10 de tentativas sucessivas de acesso 
mal sucedidas? 
X X X X 
18 
Há um mecanismo de liberação de acesso com métodos de autenticação forte, em especial 
para processamento de dado pessoal sensível, ou mediante a utilização de autenticação em 
duas etapas, biometria, tXens, smart cards, certificado digital? 
X X X 
19 Há um mecanismo de identificação de dispositivos de acesso habitual do usuário, bem como notificação em caso de acessos realizado pelo usuário em dispositivos não habituais? X 
20 Há mecanismos para encerramento (expirar) de qualquer sessão cuja inatividade do usuário exceda um período de tempo predeterminado? X X X 
21 São bloqueados os direitos de acesso de usuários que não acessaram a aplicação por um período de tempo predeterminado contados do último acesso? X X 
22 Na ocorrência de erro na entrada de dados, o sistema não emite mensagem indicando qual parte da entrada esteja correta ou incorreta? X X X 
23 As senhas digitadas durante um processo de logon estão ocultadas? X X X 
24 Existem restrições de autenticação do usuário para acesso simultâneo a serviço(s), sistema(s) e/ou rede(s) ao mesmo tempo? X X X 
25 São definidos meios adequados para acessar redes e serviços de rede de fora da organização? X 
26 Existem mecanismos automáticos para inibir que equipamentos externos se conectem na rede corporativa de computadores? X X 
27 Os acessos são concedidos aos endereços de IP previamente cadastrados? X X 
28 As credenciais de acesso e logs são armazenados separadamente dos dados das aplicações e dos sistemas? X X X 
29 
Existe e é executada um política de "mesa limpa" e de "tela protegida", de forma a reduzir 
os riscos de acesso não autorizado, perda ou dano à informação durante e fora do horário 
normal de trabalho? 
 X 
30 
É avaliada a necessidade de permitir que operadores e administradores usem linguagens 
de consulta, que habilitam recuperação maciça automatizada de bancos de dados que 
contêm dados pessoais? 
 X 
31 
Nos casos em que o uso de linguagens de consulta é consistente com o requisito de proteção, 
são implementadas medidas técnicas para limitar a utilização ao mínimo necessário para 
satisfazer a finalidade da atividade? (Por exemplo, significa que as restrições de acesso 
limitam o uso da linguagem de consulta a alguns campos contendo dados pessoais nos 
registros)? 
X X 
32 São definidas medidas para tratar ocorrências de comprometimento do controle de acesso dos usuários como: divulgação indevida; e corrupção ou comprometimento de senhas? X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
33 
O acesso aos sistema de informação que processam dados pessoais são concedidos, 
conforme previsto pela política de proteção de dados pessoais e política de controle de 
acesso? 
X X X 
34 O acesso a dados pessoais é limitado ao mínimo de dados necessários para desenvolvimento da atividade institucional? X X X X 
35 
Procedimento específico é estabelecido para avaliar a necessidade de designar direitos de 
acesso para operações que envolvam o processamento em larga escala de dados pessoais 
(por exemplo, consultas em lote, modificação em lote, exportação em lote, exclusão em 
lote)? 
 X 
36 Os acessos privilegiados à dados pessoais são limitados de acordo com um período específico, definido na política de controle de acesso? X X X 
37 A concessão e o uso dos direitos de acesso privilegiado para processamento de dados pessoais são registrados? X X X 
38 
O acesso a informações relativas à coleta de dados pessoais para responder pedidos de 
entidades responsáveis pela proteção de dados pessoais é segregada de todas as outras 
formas de acesso aos dados pessoais? 
X X X X 
MEDIDA DE SEGURANÇA: REGISTRO DE EVENTOS E RASTREABILIDADE 
1 O log registra identificação do usuário, incluindo administrador e acessos privilegiados? X X X 
2 O log registra endereço IP ou outro atributo que permita a identificação de onde o usuário efetuou o acesso? X X X 
3 O log registra as ações executadas pelos usuários? X X X 
4 O log registra data e hora do evento com alguma fonte de tempo sincronizada? X X X 
5 O log registra estado de falha ou sucesso da operação? X X X 
6 O log registra arquivos, endereços, protocolos de rede acessados/executados pelo usuário e tipo de acesso realizado? X X X 
7 O log registra tentativas de acesso aceitas e rejeitadas? X X X 
8 O log registra tráfego entre segmentos de rede e/ou recursos computacionais por parte de dispositivos como firewall, switch, roteador, IPS, IDS e soluções de controle de acesso? X X X 
9 O log registra alertas dos sistemas sobre características específicas (ex.: espaço insuficiente, IPs duplicados, indisponibilidade de serviços, timeout, etc.)? X X X 
10 O log registra registro das atualizações periódicas, de versões e de segurança dos sistemas? X X X 
11 Os logs gerados são protegidos, quando da geração, contra edição e exclusão? X X X 
12 Os logs são protegidos contra falhas de armazenamento no momento da geração? X X X 
13 Os logs são protegidos contra o acesso indevido? X X X 
14 É realizada cópias de segurança dos logs de acordo com períodos de retenção, que consideram os requisitos de negócio, contratuais, regulamentares ou legais? X X X 
15 São executados, em intervalos regulares previamente estabelecidos, testes de recuperação dos logs? X X X 
16 Existe log para registro de eventos de administrador e operador: acessos e alterações em arquivos de sistemas ou dados de quaisquer usuários, inclusive os de perfil privilegiado? X X X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
17 
Estão definidos, pelo controlador dos dados pessoais, procedimentos descrevendo quando 
e como as informações de registro que contenham dado pessoal podem ser disponibilizadas 
ou utilizadas para propósitos de monitoramento de segurança e diagnósticos operacionais? 
 X 
18 Existe e é executado, em um intervalo de tempo predefinido, um processo formal de revisão dos logs?X 
19 Os períodos de retenção dos logs são predefinidos, levando-se em consideração os requisitos de negócio, contratuais, regulamentares ou legais? X 
20 
Todos os recursos computacionais e sistemas, salvo exceções autorizadas, tem suas 
configurações de data/hora sincronizadas, de forma a prover a possibilidade de correlação 
de eventos e incidentes ocorridos e a consequente definição de causas e soluções? 
X X X 
MEDIDA DE SEGURANÇA: COMPARTILHAMENTO, USO E PROTEÇÃO DA INFORMAÇÃO 
1 São estabelecidos acordos para transferência segura de informações do negócio entre a organização e partes externas? X 
2 Existem e são executados procedimentos para proteger a informação transferida contra interceptação, cópia, modificação, desvio e destruição? X X X X X 
3 Existem e são executados procedimentos para detecção e proteção contra código malicioso que pode ser transmitido por meio do uso de recursos eletrônicos de comunicação? X X X X 
4 
São aplicadas medidas para reduzir o risco de vazamento de dados pessoais durante a 
transferência de informações, contemplando no que couber: implementação de 
criptografia, desidentificação, mascaramento ou ofuscação? 
X X 
5 Existem e são executados procedimentos para proteção de informações eletrônicas sensíveis que sejam transmitidas na forma de anexos? X X 
6 Há uma política ou diretrizes que especifiquem o uso aceitável dos recursos eletrônicos de comunicação? X 
7 
Há e é conhecida uma política que especifique as responsabilidades de funcionários, 
fornecedores e partes externas que possam comprometer a organização por meio de, por 
exemplo, difamação, assédio, falsa identidade, retransmissão de "correntes", compras não 
autorizadas, etc.? 
 X 
8 Usam-se técnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a autenticidade das informações? X X X 
9 
Existem e são conhecidas as diretrizes de retenção e descarte para toda a correspondência 
de negócios, incluindo mensagens, de acordo com regulamentações e legislação locais e 
nacionais? 
 X X 
10 Os procedimentos de descarte seguro de mídias contendo dados pessoais são proporcionais à sensibilidade e ao nível de impacto do processamento inadequado desses dados? X 
11 
Há controles e restrições associados à retransmissão em recursos de comunicação como, 
por exemplo, a retransmissão automática de mensagens eletrônicas (e-mails) para 
endereços externos? 
 X 
12 
As pessoas são orientadas a adotar precauções apropriadas não revelando informações 
confidenciais, como não manter conversas confidenciais em locais públicos, escritórios 
abertos, canais de comunicação inseguros e locais de reunião, etc.? 
 X 
13 São utilizados controles de proteção adequados para informações que trafegam em mensagens eletrônicas? X 
14 São gerados logs e relatórios detalhados sobre a transferência dos dados e comportamento do usuário de forma a garantir a rastreabilidade e recuperação das operações e dados? X X X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
15 
É realizada uma análise de impacto na privacidade dos dados pessoais considerando o 
descrito pelo relatório de impacto à proteção de dados pessoais, previsto na Lei 
13.709/2018, quando da concepção de qualquer novo projeto, produto ou serviço? 
X X X 
MEDIDA DE SEGURANÇA: DESENVOLVIMENTO SEGURO 
1 Existe e é executado um processo formal de desenvolvimento de sistema seguro? X X 
2 Requisitos de segurança são identificados e considerados em todas as fases do projeto do sistema? X X 
3 
As áreas de desenvolvimento, teste, homologação e produção são segregadas a fim de 
reduzir as possibilidades de modificação ou uso indevido dos recursos de processamento 
da informação, com controles de segurança adequados para cada ambiente? 
X X X 
4 O acesso ao ambiente de produção é diferenciado do acesso aos ambientes de desenvolvimento, teste e homologação? X X X 
5 Todos os sistemas de informação são testados e homologados antes de serem instalados no ambiente de produção? X X X 
6 Os procedimentos para a instalação e a configuração dos sistemas de informação são elaborados e testados? X X X 
7 Os dados utilizados nos testes dos sistemas de informação são diferentes dos utilizados no ambiente de produção? X X 
8 O acesso aos códigos-fonte e formulários dos sistemas de informação é controlado e autorizado pelo proprietário do ativo de informação? X X 
9 Procedimentos de verificação de funcionamento e de desempenho são realizados após atualizações ou manutenções dos sistemas de informação? X X X 
10 Em caso de desenvolvimento de sistemas de informação por terceiros, o proprietário do ativo da informação supervisiona todo o processo: do planejamento até a implantação? X X X X 
11 Existem controles de versão para garantir a gestão dos códigos-fonte? X 
12 Os dados de entrada dos sistemas de informação são testados para garantir que são corretos e apropriados? X X 
13 Os dados de saída dos sistemas de informação são testados para assegurar que o processamento das informações armazenadas está correto e apropriado? X X 
14 São identificados os responsáveis pela definição e validação dos requisitos de segurança que o sistema deve atender? X X 
15 Os controles de segurança são implementados como componentes, de forma que sejam catalogados e reutilizados em outros sistemas? X 
16 São sempre considerados controles de acesso durante a etapa de desenvolvimento? X X 
17 Os controles de segurança são implementados por múltiplas camadas, de acordo com a criticidade das informações tratadas pelo sistema? X 
18 As mensagens de erro do sistema não revelam detalhes da sua estrutura interna? X 
19 Há controles para seleção e proteção adequada aos dados de teste? X X 
20 Os controles de acesso, aplicáveis aos sistemas de aplicações operacionais, também são aplicados aos sistemas de aplicações em teste? X X 
21 É obtida autorização cada vez que for utilizada uma cópia da informação operacional para uso em ambiente de teste? X X X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
22 
Quando não permitido por lei ou por consentimento explícito do titular de dados pessoais, 
os dados pessoais não são usados para fins de desenvolvimento e teste sem anonimização 
prévia? 
X X X 
23 A informação operacional é apagada do ambiente de teste, imediatamente após finalizar os testes? X X X 
24 A cópia e o uso de informação operacional são registrados de forma a prover uma trilha para auditoria? X X 
25 É realizada análise estática e/ou análise dinâmica dos requisitos de segurança cibernética do sistema? X 
26 Os sistemas em desenvolvimento e os em produção são executados em diferentes sistemas ou processadores e em diferentes domínios ou diretórios? X X X 
27 Os compiladores, editores e outras ferramentas de desenvolvimento ou utilitários de sistemas não são acessíveis aos sistemas operacionais, quando em ambiente de produção? X 
28 Os ambientes de testes emulam o ambiente de produção o mais próximo possível? X X X 
29 Quando há a cópia dos dados de produção para os ambientes de desenvolvimento, teste e homologação há autorização do proprietário do ativo de informação? X X X 
30 
Todo código de teste, de “backups” ou arquivos desnecessários, de informações sigilosas 
nos comentários de código e das contas criadas são removidos antes do sistema entrar em 
produção? 
X X 
31 No desenvolvimento ou manutenção de soluções de TIC são realizados testes para assegurar que os recursosalocados são suficientes, tais como testes de carga, stress, etc.? X X X 
32 É implementado limite do número de requisições por usuário de acordo com um determinado intervalo de tempo predefinido? X X 
MEDIDA DE SEGURANÇA: SEGURANÇA EM REDES 
1 Há um documento formal estabelecendo as responsabilidades e procedimentos sobre o gerenciamento de equipamentos de rede? X 
2 A responsabilidade operacional pelas redes é separada da operação dos recursos computacionais, onde apropriado? X 
3 
Existem controles para proteção da confidencialidade e integridade dos dados que 
trafegam sobre redes públicas ou sobre as redes sem fio (wireless), de forma a e proteger 
os sistemas e aplicações a elas conectadas? 
 X X 
4 Existem mecanismos apropriados de registro e monitoração para habilitar a gravação e detecção de ações que possam afetar, ou ser relevante para a segurança cibernética? X X X 
5 Os sistemas sobre as redes são autenticados? X X 
6 A conexão à rede corporativa de sistemas ou dispositivos não pertencentes ao rol de equipamentos da empresa é restrita? X X 
7 
A rede corporativa é segmentada em domínios lógicos de acordo com cada rede local, 
atendendo às necessidades de fornecimento de serviço público e proteção da rede 
corporativa? 
 X 
8 As transferências de informações que requerem acesso remoto à rede corporativa obedecem a regras específicas e possuem responsabilidades definidas? X X X 
9 O acesso externo aos sistemas é provido de meios de segurança que protegem a confidencialidade e integridade dos dados trafegados, tais como o uso de VPN? X X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
10 A capacidade dos provedores de serviços de rede é determinada e monitorada regularmente para gerenciar os serviços acordados de maneira segura? X 
11 Os switches e roteadores tem as credenciais padrões dos fabricantes substituídas antes de serem instalados na rede corporativa? X 
12 Os switches e roteadores são configurados para solicitar credenciais de autenticação do domínio para realização de atividades de administração? X 
13 Os roteadores de borda, quando possível, autenticam localmente? X 
14 
Os switches e roteadores estão configurados de maneira que os administradores de rede 
autorizados a se autenticar neles possuam uma credencial ou conta de acesso associada e 
centralizada? 
 X 
15 Existem e são executados procedimentos para o caso de perda das credenciais de acesso administrativo dos switches e roteadores? X X 
16 Os switches e roteadores são instalados em locais apropriados, tais como racks, e seu acesso físico e lógico restrito aos administradores de rede? X 
17 
Verificações periódicas são realizadas junto aos fabricantes dos switches e roteadores 
sobre a disponibilidade de atualizações e patches dos respectivos sistemas operacionais e 
aplicações para que os recursos de tecnologia da informação estejam atualizados sempre 
que possível? 
 X 
18 A instalação das atualizações e patches nos switches e roteadores são homologadas antes de serem aplicadas no ambiente de produção? X 
19 Existem mecanismos de tolerância à falha para os switches e roteadores considerados fundamentais para o funcionamento da rede corporativa? X 
20 Os serviços e portas não utilizados dos switches e roteadores estão desativados ou desinstalados? X 
21 Existe uma Lista de Controle de Acesso para proteção da rede corporativa? X 
22 Existem e são executados processos periódicos de cópias de segurança das configurações e sistemas operacionais dos switches e roteadores? X 
23 O acesso remoto aos switches e roteadores é realizado por meio seguro? X 
24 Existe um mecanismo de monitoramento diário dos switches e roteadores verificando seu funcionamento e desempenho? X 
25 Existem mecanismos que permitam a emissão de alertas quando ocorrer problemas no funcionamento, desempenho e segurança dos switches e roteadores? X 
26 
Os switches e roteadores possuem registros de auditoria (logs) habilitados de maneira a 
verificar, no mínimo: desempenho do equipamento; tráfego de rede em cada interface; 
falhas no processo de identificação e autenticação (log-on), indicando o número de 
tentativas de acesso, endereço de origem, identificação do usuário, data e hora de acesso e 
serviço solicitado; e alteração nas contas e senhas de acesso? 
 X 
27 
Os registros de auditoria (logs) dos switches e roteadores são redirecionados para um 
servidor de registro centralizado, possibilitando o armazenamento e a rastreabilidade 
para verificação periódica? 
 X 
28 O período de retenção para os registros de auditoria (logs) está implementado para evitar estouro de capacidade? X 
29 Existem e são executados procedimentos de resposta às quebras de segurança detectadas pelo firewall? X X X X X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
30 As alteração nas configurações do firewall são registradas na documentação técnica do firewall? X X 
31 
Análises de riscos são realizadas periodicamente para identificar vulnerabilidades 
relacionadas com o sistema operacional que hospeda o firewall e com o próprio software 
do firewall? 
 X X 
32 Boletins de segurança com vulnerabilidades divulgados pelos fabricantes são consultados regularmente? X 
33 
Auditorias periódicas são realizadas para verificar a aderência e a efetividade das regras 
de segurança implementadas no firewall com a Política de Segurança Cibernética ou 
equivalente e demais normas correlatas? 
 X X 
34 São realizadas auditorias periódicas para análise dos registros de auditoria (logs) gerados pelo firewall? X X 
35 O firewall está instalado em um hardware dedicado e adequadamente dimensionado para suportar o serviço com bom desempenho em condições normais de operação? X 
36 O número de aplicações executadas está limitado para que o firewall realize apenas tarefas pertinentes à sua função? X X 
37 O software de firewall utilizado na rede corporativa foi previamente homologado e aprovado? X X 
38 O firewall está instalado em local protegido por mecanismos de controle do acesso físico? X X 
39 As contas de acesso de administração, de gerenciamento e de manutenção do firewall foram alteradas? X X 
40 As credencias com o privilégio de manutenção e de restauração do firewall estão armazenadas de maneira adequada? X 
41 
A formação das credenciais de acesso das contas de acesso de administração, de 
gerenciamento e de manutenção do firewall está em conformidade com a Política de 
Segurança Cibernética ou equivalente? 
 X X 
42 O acesso para administração, gerenciamento e manutenção do firewall é restrito aos administradores de rede autorizados? X X 
43 As regras configuradas no firewall estão de acordo com as orientações de cada fornecedor e com a Política de Segurança Cibernética ou equivalente? X 
44 
Os servidores da rede corporativa estão alocados fisicamente em um local restrito, com 
mecanismos de controle de acesso físico, de forma a evitar ameaças físicas e ambientais e 
evitar a visualização de informações por pessoas não autorizadas? 
 X X 
45 As condições ambientais são monitoradas a fim de reduzir e controlar riscos que possam afetar negativamente os servidores da rede corporativa? X X 
46 Os servidores da rede corporativa estão instalados em gabinetes com mecanismos de controle antifurto, caso necessário? X X 
47 
Os servidores da rede corporativa estão configurados de forma a não realizar a 
inicializaçãodo sistema operacional por intermédio de mídias móveis, a não ser quando 
for necessária a reinstalação do sistema operacional? 
 X X 
48 Os servidores da rede corporativa possuem o recurso de configuração de senha na BIOS (Basic Input/Output System) habilitado e padronizado? X X 
49 Os serviços não utilizados pelos servidores da rede corporativa são desabilitados? X 
 
ID CONTROLE 
BASES 
DE 
DADOS 
DOCS EQUIPA-
MENTOS 
LOCAIS PESSOAS SISTEMAS UNIDADES 
ORGANIZ. 
50 
São monitorados e controlados o espaço em disco, uso de memória, processador e tráfego 
nas interfaces de rede dos servidores da rede corporativa, a fim de impedir que sejam 
afetados o desempenho e informações armazenadas e processadas? 
 X 
51 Os servidores da rede corporativa possuem hardware adequadamente dimensionado para suportar os serviços configurados? X 
52 
Os servidores da rede corporativa possuem redundância de fonte de alimentação e serem 
ligados em pontos elétricos (tomadas elétricas) estabilizados e distintos de outros 
equipamentos elétricos que não sejam de informática? 
 X X 
53 
Os servidores da rede corporativa possuem contingência de outro servidor capaz de 
suportar os serviços executados pelo equipamento de origem, nos casos de 
indisponibilidade? 
 X 
54 Os servidores da rede corporativa estão identificados de forma única e inventariados? X 
55 
Existe documentação com rotinas e procedimentos de instalação, configuração e 
manutenção dos servidores da rede corporativa, classificada como reservada e tratada 
conforme as normas de classificação da informação vigentes? 
 X X 
56 Os servidores da rede corporativa possuem ferramentas que possibilitem o seu monitoramento de forma centralizada? X X 
57 O desempenho dos servidores da rede corporativa é monitorado conforme procedimento definido? X 
58 Os servidores da rede corporativa possuem mecanismos de alerta para eventos relacionados a problemas de funcionamento e quebra de segurança? X 
59 
Os arquivos de registro de eventos (logs) são mantidos e auditados, como forma de manter 
a consistência no funcionamento dos servidores da rede corporativa e identificação de 
possíveis problemas de sistemas? 
 X 
60 Os arquivos de log gerados pelos servidores de rede estão armazenados em local centralizado e protegidos contra acessos indevidos? X X 
61 Foi definido um período para retenção dos registro de eventos (logs) dos servidores da rede corporativa, respeitando-se a legislação vigente? X X 
62 Existem rotinas de manutenção preventivas nos servidores da rede corporativa e estão de acordo com as especificações do fabricante? X 
63 Existe um registro de falhas ocorridas, manutenções corretivas e preventivas nos servidores da rede corporativa? X