BASES

EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
MEDIDA DE SEGURANÇA: POLÍTICA DE SEGURANÇA
Há uma Política de Segurança Cibernética (PSC) ou equivalente publicada, incluindo
1 Políticas ou Normas para Proteção de Dados Pessoais (PPD)?
X

Existe e é executado um processo de análise crítica da PSC e das normas ou PPD

2 devidamente formalizado?
X

MEDIDA DE SEGURANÇA: GESTÃO DE RISCOS

É realizada periodicamente uma análise/avaliação de riscos dos recursos de
processamento da informação, sistemas de segurança cibernética e quaisquer outros
1 ativos considerados críticos, indicando o nível de risco ao qual a aplicação e a X
organização está exposta e considerando a identificação das ameaças aplicáveis e análise
de impacto nos negócios?
MEDIDA DE SEGURANÇA: SEGURANÇA NAS OPERAÇÕES
Há projeções de capacidade futura que consideram os requisitos de novos negócios e
1 sistemas, as tendências de utilização e as tendências atuais e projetadas de capacidade de X X X
processamento de informação da organização?
Há mecanismos para monitoramento do uso dos recursos, de forma a atender as
2 necessidades de capacidade futura e garantir o desempenho requerido das aplicações?
X X X

São implementados mecanismos e procedimentos para evitar ataques de negação de

3 serviço, tais como balanceamento de carga, IPS, proxy, firewall, etc.?
X X X

MEDIDA DE SEGURANÇA: ORGANIZAÇÃO DA SEGURANÇA

Há uma matriz de responsabilidades com atribuição das responsabilidades pela segurança
1 cibernética na organização, de forma a evidenciar a segregação de funções e assegurar que X X
colaboradores e partes externas entendam suas responsabilidades?
MEDIDA DE SEGURANÇA: CLASSIFICAÇÃO DA INFORMAÇÃO
A informação é classificada em termos do seu valor, requisitos legais, sensibilidade e
1 criticidade para evitar modificação ou divulgação não autorizada, incluindo classificação X X X X
dos dados pessoais?
A classificação de categorias de informação relacionada com dado pessoal inclui, mas não
2 estão limitadas, a classificação de informações pessoais sensíveis e não-sensíveis?
X X X X
3 O esquema de classificação está alinhado com a política (norma) de controle de acesso? X
A informação é rotulada e tratada de acordo com o esquema de classificação da
4 informação adotado?
X X X X
5 Os ativos são tratados de acordo com o esquema de classificação da informação adotado? X X X X
MEDIDA DE SEGURANÇA: PROTEÇÃO FÍSICA E DO AMBIENTE
1 O local que processa as informações é restrito somente ao pessoal autorizado? X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
As portas externas do local que processa as informações são adequadamente protegidas
2 contra acesso externo?
X
3 Há uma área de recepção para controlar o acesso ao local que processa as informações? X
4 O local que processa as informações é restrito somente ao pessoal autorizado? X
No perímetro de segurança, há portas corta-fogo providas com alarme e com nível de
5 resistência adequado?
X
6 Há uma sistema de detecção de intrusos que cubra todas as portas e janelas? X
As instalações de processamento da informação gerenciadas pela organização são
7 fisicamente separadas de outras gerenciadas por partes externas?
X
8 A permissão de acesso aos visitantes é analisada criticamente em intervalos regulares? X X
9 É registrada a data e hora de acesso dos visitantes? X X
10 A autenticação da identidade dos visitantes é realizada por meios apropriados? X X
Os visitantes são instruídos sobre os requisitos de segurança e procedimentos a serem
11 observados em visita às áreas seguras?
X X
O acesso as áreas onde são processadas informações sensíveis são controladas por meio de
12 mecanismos de autenticação em duas etapas?
X
Há uma manutenção de trilha de auditoria eletrônica ou livro de registro físico de todos
13 os acessos?
X
Todos os funcionários, fornecedores e partes externas são identificados pelo uso de crachá
14 ou qualquer outra forma visível de identificação?
X
A perda, furto ou desaparecimento da forma visível de identificação são comunicados
15 imediatamente a área competente para atualização e distribuição da relação de X
identificações perdidas, sumidas e furtadas?
16 Há uma revisão periódica, atualização e revogação dos direitos de acesso às áreas seguras? X
São projetadas e aplicadas proteção física contra desastres naturais, ataques maliciosos ou
17 acidentes?
X
O conhecimento da existência e localização das áreas seguras é repassado apenas ao
18 pessoal cuja atividade necessite de tal informação?
X X
19 O trabalho nas áreas seguras é supervisionado? X X
Existe formalmente definido e é executado um procedimento para assegurar o fechamento
20 das portas e janelas após o encerramento das atividades?
X
Existe formalmente definido e é executado um procedimento para assegurar o
21 desligamento de todos os equipamentos eletroeletrônicos não necessários, após o X
encerramento das atividades?
É vedada a utilização de dispositivos fotográficos, gravadores de áudio e/ou vídeo nas áreas
22 seguras?
X X
23 As áreas de entrega e carregamento são restritas ao pessoal identificado e autorizado? X
As áreas de entrega e carregamento são protegidas de forma que os entregadores e
24 carregadores não têm acesso a outras partes do edifício?
X
Os materiais entregues são inspecionados para detectar, em especial, a presença de
25 explosivos, materiais químicos ou outros materiais perigosos, bem como alterações X
indevidas?
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
Os materiais entregue são registrados de acordo com os procedimentos de gerenciamento
26 de ativos?
X
As áreas que manipulam informações reservadas possuem dispositivos para destruição de
27 documentos?
X
Existe aviso visível indicando que é vedado comer, beber e/ou fumar nas proximidades das
28 salas de processamento da informação?
X
Há mecanismos de monitoramento das condições ambientais dos locais de processamento
29 da informação?
X
30 Há proteção contra raios no edifício? X X
As linhas de energia e de telecomunicações que entram nas instalações de processamento
31 da informação são subterrâneas ou ficam em baixo do piso?
X
32 Os cabos de energia são segregados dos cabos de comunicação? X
MEDIDA DE SEGURANÇA: GESTÃO DE MUDANÇAS
1 Existe e é executado um processo formal de Gestão de Mudanças na organização? X X X X
É realizado o controle de mudanças em atualizações de software e outros componentes das
2 soluções de TIC?
X X X
3 Mudanças significativas são identificadas e registradas? X X X X
4 Mudanças são planejadas e testadas? X X X X
Há uma avaliação de impactos potenciais, riscos e consequências, incluindo impactos de
5 segurança cibernética, quando da identificação de necessidade de mudanças?
X X X
6 Há um procedimento formal de aprovação das mudanças propostas? X X X
Há uma verificação do atendimento de requisitos de segurança cibernética quando da
7 implementação e mudanças?
X X X
8 As mudanças são comunicadas para todas as partes interessadas? X
Há procedimentos de recuperação, incluindo procedimentos e responsabilidades para
9 interrupção e recuperação de mudanças em caso de insucesso ou na ocorrência de eventos X X X X
inesperados?
Há um processo emergencial de mudança para permitir uma implementação rápida e
10 controlada de mudanças, necessárias para resolver um incidente de segurança X X X
cibernética?
Há um inventário completo e atualizado dos ativos de informação, contemplando e
classificando os ativos relacionados com dados pessoais e todos os sistemas que processam
11 tais dados, contendo o fornecedor, o número da versão, o status atual de desenvolvimento X X X X
(por exemplo, quais softwares estão instalados e em quais sistemas), e a(s) pessoa(s) na
organização responsável(is) pelos ativos?
No que couber, o inventário de ativos é elaborado e atualizado com base no relatório de
12 impacto à proteção de dados pessoais, previsto na Lei 13.709/2018)?
X X X X
Há um processo de análise e monitoramento de vulnerabilidades, com avaliação de risco
13 de vulnerabilidades e aplicação de correções?
X X X
Existe um prazo formalmente definido para o tratamento de vulnerabilidades técnicas
14 relevantes identificadas?
X X X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
Existe e é executado um processo de análise de riscos de aplicação de uma correção
15 disponibilizada?
X X X
As correções (patches) são testadas e avaliadas antes de serem instaladas para assegurar
16 a efetividade e que não tragam efeitos que não possam ser tolerados?
X X X
Existe um registro de auditoria de todos os procedimentos de correções, mudanças e/ou
17 tratamento de vulnerabilidades realizados?
X X X
Ao desenvolver ou fazer mudanças significativas em sistemas de informação que
processam dados pessoais, é avaliada se tais mudanças demandam atualizar a
18 documentação relacionada com o relatório de impacto à proteção de dados pessoais
X
previsto pela Lei 13.709/2018?
Os resultados da avaliação citada pelo item anterior são usados para determinar os
19 controles que devem ser usados para tratar os riscos identificados durante o processo de X
avaliação, atualizando o relatório de impacto à proteção de dados pessoais?
Os recursos de segurança cibernética e de tecnologia da informação encontram-se em
20 versões comprovadamente seguras, estáveis e atualizadas?
X X X
MEDIDA DE SEGURANÇA: CONTINUIDADE DE NEGÓCIO
Há um Plano de Continuidade Operacional (PCO) formalmente estabelecido, com o
objetivo de restabelecer o funcionamento dos principais ativos que suportam as operações
1 da organização, reduzindo o tempo de queda e os impactos provocados por um eventual
X
incidente, incluindo mecanismos de tolerância a falhas?
Há uma classificação do nível de criticidades das atividades da organização/unidade
2 organizacional?
X
3 Há Planos de Contingência para as atividades consideradas críticas? X
São definidas uma ou mais estratégias de continuidade para manter as funcionalidades
4 dos processos de negócios frente aos incidentes identificados?
X
As estratégias de continuidade consideram o estudo dos tempos máximos de recuperação
e restauração compatíveis com as necessidades dos processos de negócio: RTO (Recovery
Time Objective) – o tempo máximo que o negócio pode suportar sem a solução tecnológica;
5 RPO (Recovery Point Objective) – ponto de recuperação dos dados, ou seja, uma vez X
recuperada a solução, qual a quantidade de dados máxima que poderá ser perdida sem
que o negócio seja afetado; e NRO (Network Recovery Time) – o tempo máximo de
recuperação da rede?
Os proprietários dos ativos de informação participaram da elaboração e revisão dos
6 Planos supracitados?
X
São realizados, em intervalos de tempo predefinidos, simulações e/ou testes planejados,
levando-se em consideração as menores indisponibilidades e impactos possíveis nos
7 processos de negócio, de forma que seja possível identificar falhas que venham a X X X X
comprometer qualquer parte do processo de continuidade, com vistas a promover revisões
e atualizações periódicas dos Planos relacionados?
É realizada uma revisão dos Planos nas seguintes situações: no mínimo, uma vez por ano;
em função dos resultados dos testes realizados; após alguma mudança significativa nos
8 ativos de informação, nas atividades ou em algum de seus componentes; mudanças na
X
legislação; ou alterações nos riscos (operacional e financeiro)?
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
O resultado dos testes são documentados e enviados ao Comitê de Segurança Cibernética
9 ou equivalente e aos proprietários dos ativos de informação, que devem, formalmente, X
tomar ciência e solicitar as providências cabíveis quando necessárias?
Os Planos estão guardados em locais geograficamente separados e armazenado em um
10 sistema computadorizado de gestão, que possuam controles de segurança e sejam de fácil X
acesso às pessoas autorizadas a manuseá-los?
Há redundância dos recursos de processamento da informação suficiente para atender aos
11 requisitos de disponibilidade previstos em contrato?
X X X
MEDIDA DE SEGURANÇA: TRATAMENTO E RESPOSTA A INCIDENTES
Estão estabelecidas as responsabilidades e procedimentos de gestão dos incidentes de
1 segurança cibernética?
X X
Existe um time de detecção, tratamento e resposta a incidentes de segurança cibernética
2 (CSIRT)?
X
Existe e é executado um procedimento de notificação formal para relatar os incidentes de
3 segurança cibernética?
X
Existe um canal apropriado para notificar os eventos de segurança da cibernética de forma
4 rápida?
X
Somente colaboradores autorizados podem averiguar um incidente de segurança
5 cibernética suspeito?
X
Todos os incidentes notificados ou detectados são registrados, com a finalidade de
6 assegurar registro histórico das atividades do CSIRT?
X
Existem formalmente e são executados procedimentos específicos para resposta aos
incidentes, contemplando: a definição de incidente; o escopo da resposta; quando e por
quem as autoridades (incluindo as autoridades de proteção de dados) devem ser
7 contatadas; papéis, responsabilidades e autoridades; avaliação de impacto do incidente;
X
medidas para reduzir a probabilidade e mitigar o impacto do incidente; descrição da
natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos?
Os ativos de informação estão configurados de forma a registrar todos os eventos
relevantes de segurança cibernética, contendo, pelo menos, a identificação inequívoca do
8 usuário, a natureza do evento, a data, hora e fuso horário, o identificador do ativo de X X X
informação, as coordenadas geográficas, se disponíveis, e outras informações que possam
identificar a possível origem do evento?
Os ativos de informação que não permitem os registros de eventos acima listados são
9 mapeados e documentados quanto ao tipo e formato de registros de auditoria que o sistema X X X
permite armazenar?
Os ativos de informação estão configurados de forma a armazenar seus registros de
10 auditoria não apenas localmente, como também remotamente?
X X X
11 As informações sobre o incidentes são tratados com adequado grau de sigilo? X
O CSIRT detém os recursos materiais, tecnológicos e humanos, suficientes para prestar os
12 serviços oferecidos?
X
Os membros do CSIRT são devidamente capacitados para operar os recursos disponíveis
13 para a condução dos serviços oferecidos?
X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
Existem informações formalmente identificadas sobre quando e quais autoridades devem
14 ser contatadas e como os incidentes de segurança cibernética identificados serão X
reportados em tempo hábil?
Existe e é executado um processo formal para registro e notificação de quaisquer
15 fragilidades de segurança cibernética, suspeita ou observada, nos sistemas ou serviços?
X
Há um sistema para monitoramento de aplicações, alertas e vulnerabilidades utilizado
16 para auxiliar na detecção e tratamento de incidentes de segurança cibernética?
X X
17 Existe e é executado procedimento para detecção e correção de vulnerabilidades? X
Os colaboradores estão cientes dos procedimentos para notificação dos diferentes tipos de
18 incidentes de segurança cibernética (fragilidades e quebras de segurança) que possam X
impactar na segurança dos recursos de processamento da informação?
Existe e é executado um processo de avaliação dos eventos de segurança cibernética para
19 identificar se eles deverão ser classificados como incidentes de segurança cibernética?
X
Os incidentes de segurança cibernética são reportados de acordo com procedimentos
20 formalmente documentados?
X
Os conhecimentos obtidos da análise e resolução dos incidentes de segurança cibernética
21 são registrados e mantidos atualizados com a finalidade de serem usados para reduzir a X
probabilidade ou o impacto de incidentes futuros?
Existem e são executados procedimentos específicos para tratamento de artefatos
22 maliciosos?
X
São divulgados alertas ou advertências imediatas como uma reação diante de um incidente
23 de segurança cibernética?
X
São divulgados, de forma proativa, alertas sobre vulnerabilidades e problemas de
24 incidentes de segurança cibernética em geral, cujos impactos sejam de médio e longo X
prazo, possibilitando que a organização se prepare contra novas ameaças?
Há procedimentos de prospecção e/ou monitoramento do uso de novas técnicas das
25 atividades de intrusão e tendências relacionadas, as quais ajudarão a identificar futuras X
ameaças?
É realizada, em intervalos predefinidos, uma avaliação de segurança cibernética, de forma
a analisar detalhadamente a infraestrutura de segurança cibernética da organização com
26 base em requisitos da própria organização ou em melhores práticas de mercado (por X
exemplo: revisão da infraestrutura, revisão de processos, varredura da rede; testes de
penetração, etc.)?
Há um serviço de detecção de intrusão, que detectam as tentativas de intrusões em redes
de computadores, com vistas a identificar e iniciar os procedimentos de resposta a
incidente de segurança cibernética e, ainda, possibilitar o envio de alerta em consonância
27 com padrão de comunicação previamente definido entre a CSIRT e o Centro de
X X
Tratamento de Incidentes de Segurança em Redes de Computadores da Administração
Pública Federal - CTIR Gov?
O CSIRT comunica a ocorrência de incidentes de segurança cibernética ao CTIR Gov,
conforme procedimentos definidos pelo próprio CTIR Gov, com vistas a permitir que
28 sejam dadas soluções integradas para a Administração Pública Federal, bem como a
X
geração de estatísticas?
MEDIDA DE SEGURANÇA: CONTROLES DE COLETA E PRESERVAÇÃO DE EVIDÊNCIAS
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
O agente responsável pelo CSIRT, durante o processo de tratamento do incidente, coleta
e preserva as mídias de armazenamento dos dispositivos afetados e todos os registros de
1 eventos de: autenticação, tanto os bem-sucedidos quanto os malsucedidos; acesso a
X
recursos e dados privilegiados e acesso e alteração nos registros de auditoria?
Nos casos em que seja inviável preservar as mídias de armazenamento em razão da
necessidade de pronto restabelecimento do serviço afetado, o agente responsável pelo
CSIRT coleta e armazena cópia dos arquivos afetados pelo incidente, tais como: logs,
configurações do sistema operacional, arquivos do sistema de informação, e outros
2 julgados necessários, mantendo-se a estrutura de diretórios original, bem como os
X
“metadados” desses arquivos, como data, hora de criação e permissões; registrando em
relatório a impossibilidade de preservar as mídias afetadas e listando todos os
procedimentos adotados?
As ações de restabelecimento do serviço, realizados pela equipe técnica, não comprometem
3 a coleta, e preservação da integridade das evidências?
X
É gerado, pelo agente responsável, um arquivo contendo a lista dos resumos criptográficos
4 de todos os arquivos coletados como evidência?
X
Os arquivos coletados como evidências são gravados, acompanhado do arquivo com a lista
5 dos resumos criptográficos?
X
6 Todo material coletado é lacrado e custodiado pelo agente responsável pelo CSIRT? X
O agente responsável pelo CSIRT, preencher Termo de Custódia dos Ativos de
7 Informação relacionados ao incidente de segurança?
X
8 O material coletado ficará à disposição da autoridade comunicada? X
MEDIDA DE SEGURANÇA: CONTROLES CRIPTOGRÁFICOS
1 Há uma política ou norma para uso de controles criptográficos? X
É realizada, em intervalo de tempo predefinido, a revisão dos critérios da política de uso
2 de controles criptográficos (parâmetros, algoritmos, tamanho de chave, etc.)?
X
Há utilização de criptografia para a proteção de informações sensíveis transmitidas em
3 linhas de comunicação?
X X X X
Há utilização de criptografia para a proteção de informações sensíveis ou críticas
4 armazenadas em dispositivos móveis, mídias removíveis ou em banco de dados?
X X X X
Utilizam-se assinaturas digitais ou códigos de autenticação de mensagens (MAC) para
5 verificar a autenticidade ou integridade de informações sensíveis ou críticas, armazenadas X X
ou transmitidas?
Usam-se técnicas de criptografia para obter evidência da ocorrência ou não ocorrência de
6 um evento ou ação, de forma a assegurar o não-repúdio?
X
Usam-se técnicas criptográficas para autenticar usuários e outros sistemas que requeiram
7 acesso para transações com usuários de sistemas, entidades e recursos?
X
Existem e são executados procedimentos específicos para geração de chaves para
8 diferentes sistemas criptográficos e diferentes aplicações?
X
Existem e são executados procedimentos específicos para gerar e obter certificados de
9 chaves públicas?
X
Existem e são executados procedimentos específicos para distribuir chaves para os
10 usuários devidos, incluindo a forma como as chaves são ativadas, quando recebidas?
X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
Existem e são executados procedimentos específicos para armazenar chaves com nível de
11 segurança adequado, incluindo a forma como os usuários autorizados obtêm acesso a elas?
X
Existem e são executados procedimentos específicos para mudar ou atualizar chaves,
12 incluindo regras quando as chaves são mudadas e como isto deve ser conduzido?
X
Existem e são executados procedimentos específicos para lidar com chaves
13 comprometidas?
X
Existem e são executados procedimentos específicos para revogar chaves, incluindo regras
14 de como elas são retiradas ou desativadas, por exemplo quando chaves tiverem sido X
comprometidas ou quando um usuário deixa a organização?
Existem e são executados procedimentos específicos para recuperar chaves perdidas ou
15 corrompidas?
X
Existem e são executados procedimentos específicos para realizar cópias de segurança das
16 chaves de maneira adequada?
X
Existem e são executados procedimentos específicos para destruir chaves de maneira
17 adequada?
X
Existem e são executados procedimentos específicos para manter registro e auditoria das
18 atividades relacionadas com o gerenciamento de chaves?
X
Para os caso de uso de hardware e software para execução de funções criptográficas, estes
19 estão em conformidade com acordos, as leis, as regulamentações ou outros instrumentos X X
regulatórios sobre o uso de criptografia?
Todo agente responsável usuário de recurso criptográfico é encarregado pela sua operação
20 e sigilo, possui credencial de segurança e assina o respectivo Termo de Uso de Recursos X
Criptográficos?
O recurso criptográfico, baseado em algoritmo de Estado, segue padrões mínimos
21 definidos pela Norma Complementar no 09/IN01/DSIC/GSI/PR?
X
É realizada avaliação de risco para identificar o nível requerido de proteção dos dados
22 pessoais, auxiliando determinar o tipo, a força e a qualidade necessários do algoritmo X
criptográfico ser usado?
MEDIDA DE SEGURANÇA: CÓPIA DE SEGURANÇA
Há uma política ou norma de backup que aborde os procedimentos operacionais que
padronizam os processos de geração de cópias de segurança e recuperação de arquivos,
1 assim como os processos de controle de acesso, armazenamento, movimentação e descarte
X
das mídias que contêm cópias de segurança?
Existem orientações formais indicando qual a frequência mínima para realização de
2 revisões sobre os procedimentos de backup e recuperação?
X
São registrados os procedimentos operacionais dos processos de geração de cópias de
3 segurança e recuperação de arquivos, assim como os processos de controle de acesso, X
armazenamento, movimentação e descarte das mídias que contêm cópias de segurança?
Há um registro ou classificação das informações que necessitam de backup; necessitam de
4 backup com uso de criptografia; são críticas para a continuidade da operação do serviço X
e necessitam de restauração rápida em caso de incidente ou desastre?
Há procedimentos definidos e executados para os casos de ocorrência de falhas nos
processos de geração de cópias de segurança e recuperação de arquivos, de forma e
5 assegurar o registro da documentação necessária (registrar como os erros nos
X
procedimentos de backup são identificados, informados e corrigidos)?
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
Estão estabelecidos os responsáveis pela execução dos procedimentos de backup para cada
6 tipo de informação?
X
Está estabelecido a abrangência dos procedimentos de backup para cada tipo de
7 informação (por exemplo, completa ou diferencial)?
X
Nos casos de impossibilidade de geração de cópias de segurança, é feita a comunicação
8 formal a unidade organizacional responsável, bem como o registro das dificuldades X
encontradas?
Existe uma frequência estabelecida para geração dos backups para cada tipo de
9 informação?
X
10 São estabelecidos os ativos utilizados para cada backup de cada tipo de informação? X
Há níveis apropriados de proteção física e ambiental das informações das cópias de
11 segurança (de acordo com cada ativo de backup)?
X
12 É dada ciência e compromisso dos responsáveis pelos procedimentos de backup? X
As mídias que contêm cópias de segurança são transportadas em embalagens protegidas
13 contra danos físicos e somente por pessoal autorizado?
X
Os algoritmos e tamanho de chaves de criptografia dos backups possuem níveis de
14 segurança adequados?
X X X
15 São definidos os responsáveis pela execução dos testes de backup? X
É definido a abrangência dos testes de backup e sua periodicidade, de forma que os testes
sejam planejados observando as dependências e relacionamentos entre sistemas,
16 considerando inclusive os ambientes de continuidade de negócios, com o objetivo de X
minimizar a possibilidade de que a ausência de sincronismo entre os dados inviabilize ou
dificulte sua recuperação?
17 São definidos os ativos envolvidos em cada tipo de teste de backup? X
Os ativos envolvidos nos procedimentos de backup são testados em intervalos de tempo
18 predefinidos?
X X X
19 É dada ciência e compromisso dos responsáveis pelos testes de backup? X
Os testes de capacidade restauram os dados copiados em uma mídia de teste dedicada, sem
20 sobrepor a mídia original no caso em que o processo de restauração ou backup falhe e X X X
cause irreparável dano ou perda dos dados?
É realizado monitoramento e verificação periódica dos procedimentos de backup e testes
21 de backup (revisão de rotinas automáticas, cronogramas, responsáveis, etc.)?
X
As mídias que contêm cópias de segurança são armazenadas em uma localidade remota
22 (“offsite”), a uma distância suficiente que garanta sua integridade e disponibilidade contra X X
possíveis danos advindos de um desastre ocorrido no sítio primário?
Os responsáveis pelo processo de geração de cópias de segurança e recuperação de dados
23 possuem as capacidades necessárias para execução dessas atividades?
X
O período de retenção das cópias de segurança e os requisitos de releitura são predefinidos,
24 levando-se em consideração os requisitos de negócio, contratuais, regulamentares ou X
legais?
As mídias utilizadas no processo de realização do backup possuem identificação única na
25 qual constem o tipo do backup realizado; número da mídia e quantidade de mídias X
utilizadas na realização do backup; periodicidade do backup (diário, semanal ou mensal);
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
descrição dos locais ou serviços que foram copiados; data de realização do backup; versão
e descrição do software utilizado para a realização do backup; tempo de retenção?
Nos casos de substituição da solução de backup (hardware e software), as informações
contidas nas mídias da antiga solução são transferidas em sua totalidade para as mídias
26 compatíveis com a nova solução, respeitando os critérios definidos pelo fabricante e pela
X X X
unidade organizacional responsável?
O descarte das mídias utilizadas para cópia de informações respeita a temporalidade
27 prevista na legislação, a política, as normas, os procedimentos de segurança internos e a X
classificação das informações?
O processo de descarte das mídias deve ser realizado utiliza procedimentos seguros, tais
28 como incineração, trituração e desmagnetização?
X
O descarte das mídias que contiverem informações sigilosas é realizado de forma a
29 impossibilitar sua recuperação total?
X
MEDIDA DE SEGURANÇA: CONTROLE DE ACESSO LÓGICO
Há uma política ou norma de controle de acesso lógico formalizada e embasada no
1 princípio do menor privilégio?
X
Acordos de confidencialidade, termos de responsabilidade, termos de sigilo são assinados
2 pelos usuários?
X
3 As credenciais e contas de acesso são únicas? X X X X
É exigido autorização prévia da autoridade competente para liberação das credenciais de
4 acesso?
X
Há um processo de solicitação formal do proprietário do ativo de informação ou gestor
5 dos serviços para acesso aos recursos e serviços de TIC?
X X
O processo de atribuição de permissões de acesso às informações e para o acesso remoto
6 por meio de canal seguro, é embasado em norma de classificação da informação e em X
legislação específica para a concessão de acesso às informações sigilosas?
O usuário recebe formalmente as informações de seus direitos e deveres de forma a
7 declarar-se ciente do ambiente computacional e das permissões de acesso a ele concedidos?
X
Há controles automatizados de revogação das contas dos usuários que mudaram de cargos,
8 funções ou deixaram a organização?
X X X X
9 As atividades dos usuários são monitoradas? X X X X
A conta de acesso no perfil de administrador ou privilegiado está atribuída a usuários
10 cadastrados para execução de tarefas específicas conforme necessidade de uso dos recursos X
ou sistemas?
11 Há política de senha definindo tamanho mínimo e formato e é implementada? X
As informações das credenciais de acesso dos usuários estão gravadas em recursos de
12 tecnologia da informação protegidos e sob a forma criptografada?
X X X
As informações das credenciais de acesso dos usuários são transmitidas de forma
13 protegida?
X X X
Um mecanismo de recuperação de senha está implementado de forma a assegurar a
14 recuperação da senha de maneira segura, sem fornecimento de senha por parte da X X X
aplicação, e que obrigue a alteração de senha do usuário no primeiro acesso?
Uma análise crítica de direitos de acesso é realizada em um período de tempo previamente
15 definido ou a qualquer momento depois de qualquer mudança nos direitos de usuários ou
X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
para verificação de incidentes de segurança, incluindo acesso privilegiado a dados
pessoais?
Os direitos de acesso dos usuários são suspensos durante a execução de processos de
16 avaliação de incidentes de segurança ou durante processo administrativo que apure o uso X X X X X
irregular de credencial de acesso?
Os direitos de acesso dos usuários são bloqueados temporariamente por um período de
17 tempo predeterminado após um número máximo de 10 de tentativas sucessivas de acesso X X X X
mal sucedidas?
Há um mecanismo de liberação de acesso com métodos de autenticação forte, em especial
18 para processamento de dado pessoal sensível, ou mediante a utilização de autenticação em X X X
duas etapas, biometria, tXens, smart cards, certificado digital?
Há um mecanismo de identificação de dispositivos de acesso habitual do usuário, bem
19 como notificação em caso de acessos realizado pelo usuário em dispositivos não habituais?
X
Há mecanismos para encerramento (expirar) de qualquer sessão cuja inatividade do
20 usuário exceda um período de tempo predeterminado?
X X X
São bloqueados os direitos de acesso de usuários que não acessaram a aplicação por um
21 período de tempo predeterminado contados do último acesso?
X X
Na ocorrência de erro na entrada de dados, o sistema não emite mensagem indicando qual
22 parte da entrada esteja correta ou incorreta?
X X X
23 As senhas digitadas durante um processo de logon estão ocultadas? X X X
Existem restrições de autenticação do usuário para acesso simultâneo a serviço(s),
24 sistema(s) e/ou rede(s) ao mesmo tempo?
X X X
São definidos meios adequados para acessar redes e serviços de rede de fora da
25 organização?
X
Existem mecanismos automáticos para inibir que equipamentos externos se conectem na
26 rede corporativa de computadores?
X X
27 Os acessos são concedidos aos endereços de IP previamente cadastrados? X X
As credenciais de acesso e logs são armazenados separadamente dos dados das aplicações
28 e dos sistemas?
X X X
Existe e é executada um política de "mesa limpa" e de "tela protegida", de forma a reduzir
29 os riscos de acesso não autorizado, perda ou dano à informação durante e fora do horário X
normal de trabalho?
É avaliada a necessidade de permitir que operadores e administradores usem linguagens
30 de consulta, que habilitam recuperação maciça automatizada de bancos de dados que X
contêm dados pessoais?
Nos casos em que o uso de linguagens de consulta é consistente com o requisito de proteção,
são implementadas medidas técnicas para limitar a utilização ao mínimo necessário para
31 satisfazer a finalidade da atividade? (Por exemplo, significa que as restrições de acesso X X
limitam o uso da linguagem de consulta a alguns campos contendo dados pessoais nos
registros)?
São definidas medidas para tratar ocorrências de comprometimento do controle de acesso
32 dos usuários como: divulgação indevida; e corrupção ou comprometimento de senhas?
X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
O acesso aos sistema de informação que processam dados pessoais são concedidos,
33 conforme previsto pela política de proteção de dados pessoais e política de controle de X X X
acesso?
O acesso a dados pessoais é limitado ao mínimo de dados necessários para desenvolvimento
34 da atividade institucional?
X X X X
Procedimento específico é estabelecido para avaliar a necessidade de designar direitos de
acesso para operações que envolvam o processamento em larga escala de dados pessoais
35 (por exemplo, consultas em lote, modificação em lote, exportação em lote, exclusão em
X
lote)?
Os acessos privilegiados à dados pessoais são limitados de acordo com um período
36 específico, definido na política de controle de acesso?
X X X
A concessão e o uso dos direitos de acesso privilegiado para processamento de dados
37 pessoais são registrados?
X X X
O acesso a informações relativas à coleta de dados pessoais para responder pedidos de
38 entidades responsáveis pela proteção de dados pessoais é segregada de todas as outras X X X X
formas de acesso aos dados pessoais?
MEDIDA DE SEGURANÇA: REGISTRO DE EVENTOS E RASTREABILIDADE
1 O log registra identificação do usuário, incluindo administrador e acessos privilegiados? X X X
O log registra endereço IP ou outro atributo que permita a identificação de onde o usuário
2 efetuou o acesso?
X X X
3 O log registra as ações executadas pelos usuários? X X X
4 O log registra data e hora do evento com alguma fonte de tempo sincronizada? X X X
5 O log registra estado de falha ou sucesso da operação? X X X
O log registra arquivos, endereços, protocolos de rede acessados/executados pelo usuário
6 e tipo de acesso realizado?
X X X
7 O log registra tentativas de acesso aceitas e rejeitadas? X X X
O log registra tráfego entre segmentos de rede e/ou recursos computacionais por parte de
8 dispositivos como firewall, switch, roteador, IPS, IDS e soluções de controle de acesso?
X X X
O log registra alertas dos sistemas sobre características específicas (ex.: espaço
9 insuficiente, IPs duplicados, indisponibilidade de serviços, timeout, etc.)?
X X X
10 O log registra registro das atualizações periódicas, de versões e de segurança dos sistemas? X X X
11 Os logs gerados são protegidos, quando da geração, contra edição e exclusão? X X X
12 Os logs são protegidos contra falhas de armazenamento no momento da geração? X X X
13 Os logs são protegidos contra o acesso indevido? X X X
É realizada cópias de segurança dos logs de acordo com períodos de retenção, que
14 consideram os requisitos de negócio, contratuais, regulamentares ou legais?
X X X
São executados, em intervalos regulares previamente estabelecidos, testes de recuperação
15 dos logs?
X X X
Existe log para registro de eventos de administrador e operador: acessos e alterações em
16 arquivos de sistemas ou dados de quaisquer usuários, inclusive os de perfil privilegiado?
X X X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
Estão definidos, pelo controlador dos dados pessoais, procedimentos descrevendo quando
17 e como as informações de registro que contenham dado pessoal podem ser disponibilizadas X
ou utilizadas para propósitos de monitoramento de segurança e diagnósticos operacionais?
Existe e é executado, em um intervalo de tempo predefinido, um processo formal de revisão
18 dos logs?
X
Os períodos de retenção dos logs são predefinidos, levando-se em consideração os
19 requisitos de negócio, contratuais, regulamentares ou legais?
X
Todos os recursos computacionais e sistemas, salvo exceções autorizadas, tem suas
20 configurações de data/hora sincronizadas, de forma a prover a possibilidade de correlação X X X
de eventos e incidentes ocorridos e a consequente definição de causas e soluções?
MEDIDA DE SEGURANÇA: COMPARTILHAMENTO, USO E PROTEÇÃO DA INFORMAÇÃO
São estabelecidos acordos para transferência segura de informações do negócio entre a
1 organização e partes externas?
X
Existem e são executados procedimentos para proteger a informação transferida contra
2 interceptação, cópia, modificação, desvio e destruição?
X X X X X
Existem e são executados procedimentos para detecção e proteção contra código malicioso
3 que pode ser transmitido por meio do uso de recursos eletrônicos de comunicação?
X X X X
São aplicadas medidas para reduzir o risco de vazamento de dados pessoais durante a
4 transferência de informações, contemplando no que couber: implementação de X X
criptografia, desidentificação, mascaramento ou ofuscação?
Existem e são executados procedimentos para proteção de informações eletrônicas
5 sensíveis que sejam transmitidas na forma de anexos?
X X
Há uma política ou diretrizes que especifiquem o uso aceitável dos recursos eletrônicos de
6 comunicação?
X
Há e é conhecida uma política que especifique as responsabilidades de funcionários,
fornecedores e partes externas que possam comprometer a organização por meio de, por
7 exemplo, difamação, assédio, falsa identidade, retransmissão de "correntes", compras não
X
autorizadas, etc.?
Usam-se técnicas de criptografia para, por exemplo, proteger a confidencialidade, a
8 integridade e a autenticidade das informações?
X X X
Existem e são conhecidas as diretrizes de retenção e descarte para toda a correspondência
9 de negócios, incluindo mensagens, de acordo com regulamentações e legislação locais e X X
nacionais?
Os procedimentos de descarte seguro de mídias contendo dados pessoais são proporcionais
10 à sensibilidade e ao nível de impacto do processamento inadequado desses dados?
X
Há controles e restrições associados à retransmissão em recursos de comunicação como,
11 por exemplo, a retransmissão automática de mensagens eletrônicas (e-mails) para X
endereços externos?
As pessoas são orientadas a adotar precauções apropriadas não revelando informações
12 confidenciais, como não manter conversas confidenciais em locais públicos, escritórios X
abertos, canais de comunicação inseguros e locais de reunião, etc.?
São utilizados controles de proteção adequados para informações que trafegam em
13 mensagens eletrônicas?
X
São gerados logs e relatórios detalhados sobre a transferência dos dados e comportamento
14 do usuário de forma a garantir a rastreabilidade e recuperação das operações e dados?
X X X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
É realizada uma análise de impacto na privacidade dos dados pessoais considerando o
15 descrito pelo relatório de impacto à proteção de dados pessoais, previsto na Lei X X X
13.709/2018, quando da concepção de qualquer novo projeto, produto ou serviço?
MEDIDA DE SEGURANÇA: DESENVOLVIMENTO SEGURO
1 Existe e é executado um processo formal de desenvolvimento de sistema seguro? X X
Requisitos de segurança são identificados e considerados em todas as fases do projeto do
2 sistema?
X X
As áreas de desenvolvimento, teste, homologação e produção são segregadas a fim de
3 reduzir as possibilidades de modificação ou uso indevido dos recursos de processamento X X X
da informação, com controles de segurança adequados para cada ambiente?
O acesso ao ambiente de produção é diferenciado do acesso aos ambientes de
4 desenvolvimento, teste e homologação?
X X X
Todos os sistemas de informação são testados e homologados antes de serem instalados no
5 ambiente de produção?
X X X
Os procedimentos para a instalação e a configuração dos sistemas de informação são
6 elaborados e testados?
X X X
Os dados utilizados nos testes dos sistemas de informação são diferentes dos utilizados no
7 ambiente de produção?
X X
O acesso aos códigos-fonte e formulários dos sistemas de informação é controlado e
8 autorizado pelo proprietário do ativo de informação?
X X
Procedimentos de verificação de funcionamento e de desempenho são realizados após
9 atualizações ou manutenções dos sistemas de informação?
X X X
Em caso de desenvolvimento de sistemas de informação por terceiros, o proprietário do
10 ativo da informação supervisiona todo o processo: do planejamento até a implantação?
X X X X
11 Existem controles de versão para garantir a gestão dos códigos-fonte? X
Os dados de entrada dos sistemas de informação são testados para garantir que são
12 corretos e apropriados?
X X
Os dados de saída dos sistemas de informação são testados para assegurar que o
13 processamento das informações armazenadas está correto e apropriado?
X X
São identificados os responsáveis pela definição e validação dos requisitos de segurança
14 que o sistema deve atender?
X X
Os controles de segurança são implementados como componentes, de forma que sejam
15 catalogados e reutilizados em outros sistemas?
X
16 São sempre considerados controles de acesso durante a etapa de desenvolvimento? X X
Os controles de segurança são implementados por múltiplas camadas, de acordo com a
17 criticidade das informações tratadas pelo sistema?
X
18 As mensagens de erro do sistema não revelam detalhes da sua estrutura interna? X
19 Há controles para seleção e proteção adequada aos dados de teste? X X
Os controles de acesso, aplicáveis aos sistemas de aplicações operacionais, também são
20 aplicados aos sistemas de aplicações em teste?
X X
É obtida autorização cada vez que for utilizada uma cópia da informação operacional para
21 uso em ambiente de teste?
X X X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
Quando não permitido por lei ou por consentimento explícito do titular de dados pessoais,
22 os dados pessoais não são usados para fins de desenvolvimento e teste sem anonimização X X X
prévia?
A informação operacional é apagada do ambiente de teste, imediatamente após finalizar
23 os testes?
X X X
A cópia e o uso de informação operacional são registrados de forma a prover uma trilha
24 para auditoria?
X X
É realizada análise estática e/ou análise dinâmica dos requisitos de segurança cibernética
25 do sistema?
X
Os sistemas em desenvolvimento e os em produção são executados em diferentes sistemas
26 ou processadores e em diferentes domínios ou diretórios?
X X X
Os compiladores, editores e outras ferramentas de desenvolvimento ou utilitários de
27 sistemas não são acessíveis aos sistemas operacionais, quando em ambiente de produção?
X
28 Os ambientes de testes emulam o ambiente de produção o mais próximo possível? X X X
Quando há a cópia dos dados de produção para os ambientes de desenvolvimento, teste e
29 homologação há autorização do proprietário do ativo de informação?
X X X
Todo código de teste, de “backups” ou arquivos desnecessários, de informações sigilosas
30 nos comentários de código e das contas criadas são removidos antes do sistema entrar em X X
produção?
No desenvolvimento ou manutenção de soluções de TIC são realizados testes para
31 assegurar que os recursos alocados são suficientes, tais como testes de carga, stress, etc.?
X X X
É implementado limite do número de requisições por usuário de acordo com um
32 determinado intervalo de tempo predefinido?
X X
MEDIDA DE SEGURANÇA: SEGURANÇA EM REDES
Há um documento formal estabelecendo as responsabilidades e procedimentos sobre o
1 gerenciamento de equipamentos de rede?
X
A responsabilidade operacional pelas redes é separada da operação dos recursos
2 computacionais, onde apropriado?
X
Existem controles para proteção da confidencialidade e integridade dos dados que
3 trafegam sobre redes públicas ou sobre as redes sem fio (wireless), de forma a e proteger X X
os sistemas e aplicações a elas conectadas?
Existem mecanismos apropriados de registro e monitoração para habilitar a gravação e
4 detecção de ações que possam afetar, ou ser relevante para a segurança cibernética?
X X X
5 Os sistemas sobre as redes são autenticados? X X
A conexão à rede corporativa de sistemas ou dispositivos não pertencentes ao rol de
6 equipamentos da empresa é restrita?
X X
A rede corporativa é segmentada em domínios lógicos de acordo com cada rede local,
7 atendendo às necessidades de fornecimento de serviço público e proteção da rede X
corporativa?
As transferências de informações que requerem acesso remoto à rede corporativa
8 obedecem a regras específicas e possuem responsabilidades definidas?
X X X
O acesso externo aos sistemas é provido de meios de segurança que protegem a
9 confidencialidade e integridade dos dados trafegados, tais como o uso de VPN?
X X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
A capacidade dos provedores de serviços de rede é determinada e monitorada
10 regularmente para gerenciar os serviços acordados de maneira segura?
X
Os switches e roteadores tem as credenciais padrões dos fabricantes substituídas antes de
11 serem instalados na rede corporativa?
X
Os switches e roteadores são configurados para solicitar credenciais de autenticação do
12 domínio para realização de atividades de administração?
X
13 Os roteadores de borda, quando possível, autenticam localmente? X
Os switches e roteadores estão configurados de maneira que os administradores de rede
14 autorizados a se autenticar neles possuam uma credencial ou conta de acesso associada e X
centralizada?
Existem e são executados procedimentos para o caso de perda das credenciais de acesso
15 administrativo dos switches e roteadores?
X X
Os switches e roteadores são instalados em locais apropriados, tais como racks, e seu
16 acesso físico e lógico restrito aos administradores de rede?
X
Verificações periódicas são realizadas junto aos fabricantes dos switches e roteadores
sobre a disponibilidade de atualizações e patches dos respectivos sistemas operacionais e
17 aplicações para que os recursos de tecnologia da informação estejam atualizados sempre
X
que possível?
A instalação das atualizações e patches nos switches e roteadores são homologadas antes
18 de serem aplicadas no ambiente de produção?
X
Existem mecanismos de tolerância à falha para os switches e roteadores considerados
19 fundamentais para o funcionamento da rede corporativa?
X
Os serviços e portas não utilizados dos switches e roteadores estão desativados ou
20 desinstalados?
X
21 Existe uma Lista de Controle de Acesso para proteção da rede corporativa? X
Existem e são executados processos periódicos de cópias de segurança das configurações e
22 sistemas operacionais dos switches e roteadores?
X
23 O acesso remoto aos switches e roteadores é realizado por meio seguro? X
Existe um mecanismo de monitoramento diário dos switches e roteadores verificando seu
24 funcionamento e desempenho?
X
Existem mecanismos que permitam a emissão de alertas quando ocorrer problemas no
25 funcionamento, desempenho e segurança dos switches e roteadores?
X
Os switches e roteadores possuem registros de auditoria (logs) habilitados de maneira a
verificar, no mínimo: desempenho do equipamento; tráfego de rede em cada interface;
26 falhas no processo de identificação e autenticação (log-on), indicando o número de X
tentativas de acesso, endereço de origem, identificação do usuário, data e hora de acesso e
serviço solicitado; e alteração nas contas e senhas de acesso?
Os registros de auditoria (logs) dos switches e roteadores são redirecionados para um
27 servidor de registro centralizado, possibilitando o armazenamento e a rastreabilidade X
para verificação periódica?
O período de retenção para os registros de auditoria (logs) está implementado para evitar
28 estouro de capacidade?
X
Existem e são executados procedimentos de resposta às quebras de segurança detectadas
29 pelo firewall?
X X X X X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
As alteração nas configurações do firewall são registradas na documentação técnica do
30 firewall?
X X
Análises de riscos são realizadas periodicamente para identificar vulnerabilidades
31 relacionadas com o sistema operacional que hospeda o firewall e com o próprio software X X
do firewall?
Boletins de segurança com vulnerabilidades divulgados pelos fabricantes são consultados
32 regularmente?
X
Auditorias periódicas são realizadas para verificar a aderência e a efetividade das regras
33 de segurança implementadas no firewall com a Política de Segurança Cibernética ou X X
equivalente e demais normas correlatas?
São realizadas auditorias periódicas para análise dos registros de auditoria (logs) gerados
34 pelo firewall?
X X
O firewall está instalado em um hardware dedicado e adequadamente dimensionado para
35 suportar o serviço com bom desempenho em condições normais de operação?
X
O número de aplicações executadas está limitado para que o firewall realize apenas tarefas
36 pertinentes à sua função?
X X
O software de firewall utilizado na rede corporativa foi previamente homologado e
37 aprovado?
X X
38 O firewall está instalado em local protegido por mecanismos de controle do acesso físico? X X
As contas de acesso de administração, de gerenciamento e de manutenção do firewall
39 foram alteradas?
X X
As credencias com o privilégio de manutenção e de restauração do firewall estão
40 armazenadas de maneira adequada?
X
A formação das credenciais de acesso das contas de acesso de administração, de
41 gerenciamento e de manutenção do firewall está em conformidade com a Política de X X
Segurança Cibernética ou equivalente?
O acesso para administração, gerenciamento e manutenção do firewall é restrito aos
42 administradores de rede autorizados?
X X
As regras configuradas no firewall estão de acordo com as orientações de cada fornecedor
43 e com a Política de Segurança Cibernética ou equivalente?
X
Os servidores da rede corporativa estão alocados fisicamente em um local restrito, com
44 mecanismos de controle de acesso físico, de forma a evitar ameaças físicas e ambientais e X X
evitar a visualização de informações por pessoas não autorizadas?
As condições ambientais são monitoradas a fim de reduzir e controlar riscos que possam
45 afetar negativamente os servidores da rede corporativa?
X X
Os servidores da rede corporativa estão instalados em gabinetes com mecanismos de
46 controle antifurto, caso necessário?
X X
Os servidores da rede corporativa estão configurados de forma a não realizar a
47 inicialização do sistema operacional por intermédio de mídias móveis, a não ser quando X X
for necessária a reinstalação do sistema operacional?
Os servidores da rede corporativa possuem o recurso de configuração de senha na BIOS
48 (Basic Input/Output System) habilitado e padronizado?
X X
49 Os serviços não utilizados pelos servidores da rede corporativa são desabilitados? X
 BASES
EQUIPA- UNIDADES
ID CONTROLE DE DOCS LOCAIS PESSOAS SISTEMAS
MENTOS ORGANIZ.
DADOS
São monitorados e controlados o espaço em disco, uso de memória, processador e tráfego
50 nas interfaces de rede dos servidores da rede corporativa, a fim de impedir que sejam X
afetados o desempenho e informações armazenadas e processadas?
Os servidores da rede corporativa possuem hardware adequadamente dimensionado para
51 suportar os serviços configurados?
X
Os servidores da rede corporativa possuem redundância de fonte de alimentação e serem
52 ligados em pontos elétricos (tomadas elétricas) estabilizados e distintos de outros X X
equipamentos elétricos que não sejam de informática?
Os servidores da rede corporativa possuem contingência de outro servidor capaz de
53 suportar os serviços executados pelo equipamento de origem, nos casos de X
indisponibilidade?
54 Os servidores da rede corporativa estão identificados de forma única e inventariados? X
Existe documentação com rotinas e procedimentos de instalação, configuração e
55 manutenção dos servidores da rede corporativa, classificada como reservada e tratada X X
conforme as normas de classificação da informação vigentes?
Os servidores da rede corporativa possuem ferramentas que possibilitem o seu
56 monitoramento de forma centralizada?
X X
O desempenho dos servidores da rede corporativa é monitorado conforme procedimento
57 definido?
X
Os servidores da rede corporativa possuem mecanismos de alerta para eventos
58 relacionados a problemas de funcionamento e quebra de segurança?
X
Os arquivos de registro de eventos (logs) são mantidos e auditados, como forma de manter
59 a consistência no funcionamento dos servidores da rede corporativa e identificação de X
possíveis problemas de sistemas?
Os arquivos de log gerados pelos servidores de rede estão armazenados em local
60 centralizado e protegidos contra acessos indevidos?
X X
Foi definido um período para retenção dos registro de eventos (logs) dos servidores da
61 rede corporativa, respeitando-se a legislação vigente?
X X
Existem rotinas de manutenção preventivas nos servidores da rede corporativa e estão de
62 acordo com as especificações do fabricante?
X
Existe um registro de falhas ocorridas, manutenções corretivas e preventivas nos
63 servidores da rede corporativa?
X