Seção Descrição da Auditoria Implementadas Advertência

S – Sim ou S – Sim ou
N – Não N – Não
Política de Acesso
É exigido a identificação do usuário ao
realizar qualquer tipo de acesso S S

Acesso a dados confidenciais da empresa, via É permitido acesso a dados confidenciais

S S
sistema interno. apenas para pessoas autorizadas

Existe procedimentos de confirmação de

que realmente quem está acessando é a S S
pessoa autorizada

É permitido acessar as dependências

administrativas da empresa sem N N
Acesso a locais físicos dentro da empresa identificação

É exigido apresentar identificação para

S S
acessar ao datacenter da empresa

Existe a possibilidade de compartilhamento

N S
de credenciais de acesso ao sistema
Controle de usuários no sistema
Existe a possibilidade de acesso a
conteúdo pessoal nos terminais da S S
empresa

Segurança Física
Segurança em escritórios, salas e instalações As salas que possuem o serviço de S S
de processamento processamento de informação ou contêm
armários fechados ou cofres, são
trancadas
 O serviço de processamento de informação
é protegido contra desastres naturais ou S S
causados pelo homem

Existe alguma ameaça potencial de

S -
propriedades vizinhas

O equipamento foi instalado em local

apropriado para minimizar o risco de
S -
ameaças potenciais, como roubo, fogo,
água, poeira
Instalação e proteção de equipamentos
Existe uma política especial para
alimentação, bebida e fumo nas
S S
proximidades das instalações de
processamento da informação
O equipamento é protegido contra falhas
de energia e outras anomalias na
alimentação elétrica, utilizando
Fornecimento de energia S -
fornecimento de energia permanente como
alimentação múltipla, nobreak, gerador de
reserva

O cabeamento elétrico e de
telecomunicações que transmite dados ou
Segurança do cabeamento N -
suporta os serviços de informação é
protegido contra interceptação ou danos

Os equipamentos têm manutenção de

acordo com intervalos e especificações do S S
fabricante
Manutenção de equipamentos
A manutenção é realizada apenas pelo
S S
pessoal autorizado
 São mantidos registros com todas as falhas
suspeitas ou ocorridas e de toda a S S
manutenção corretiva e preventiva

Todos os requisitos impostos pelas

N -
apólices de seguro são atendidos

Restrições Coletivas
Um serviço de bloqueio automático de tela
de computador está ativo. Isso irá travar o
S S
computador sempre que for deixado ocioso
Política de mesas e telas organizadas por um determinado tempo
Os colaboradores são avisados para deixar
qualquer material confidencial de forma S S
segura e trancada
Equipamentos, informações ou softwares
podem ser retirados da empresa com S S
autorização de superiores
Inspeções regulares são realizadas para
Remoção de Ativos detectar remoção de propriedade não S S
autorizada

Os colaboradores estão cientes que estas

S S
inspeções regulares estão realizadas

Os colaboradores estão cientes sobre a

restrição de uso de mídias pessoais, como
Restrições de uso de mídias pessoais e e-mail pendrive, CD, HD externo, S S
celular/smartphone em qualquer máquina
da empresa
 Os colaboradores estão cientes de que não
é permitido o uso do e-mail da organização S S
para fins pessoais

Os colaboradores estão cientes sobre a

proibição de ter qualquer conteúdo de
S S
caráter pessoal nos computadores da
empresa
Política contra software malicioso

Existe algum controle contra o uso de

S -
software malicioso

A política de segurança define

características de licenciamento de
S -
Medidas de proteção contra software software como proibição do uso de
malicioso software não autorizado

Existe um software de antivírus que está

instalado e atualizado nos computadores
S -
para verificar e isolar ou remover qualquer
vírus do computador

Políticas de cópias de segurança

Os dispositivos de armazenamento
contendo informações sensíveis são
Reutilização segura de equipamentos S -
fisicamente destruídos ou sobrescritos de
maneira segura
As cópias de segurança de informações
essenciais à empresa como servidor de
Cópias de segurança S -
produção, componentes críticos de rede,
configuração são realizadas regularmente

Registros de ações
Políticas de orientação ao usuário final
Especificações de políticas de segurança
A mídia que contém a cópia de segurança
e o procedimento para restaurar tal cópia
S -
são armazenados seguramente e bem
longe do local onde foram realizadas
A mídia é regularmente testada para
assegurar que os dados poderiam ser
restaurados no período de tempo definido S -
no procedimento operacional para
restauração
O pessoal do setor de operação mantêm
um registro de suas atividades como nome S -
da pessoa, erros, ação corretiva
Os registros de operação são verificados
regularmente de acordo com os S -
procedimentos operacionais
Todos os estatutos, regulamentações e
cláusulas contratuais relevantes foram
S -
explicitamente definidos e documentados
para cada sistema de informação
Os controles e responsabilidades
específicos para atender a estes requisitos S -
foram definidos e documentados
Todas as áreas dentro da organização
estão cientes das normas e políticas de S -
segurança da empresa