|
Checklist ISO 27001
Por Anderson Chipak · chipak.com.br
Gap Analysis ISO 27001 — 20 Perguntas
Avalie sua conformidade nos domínios A.5 a A.18 da ISO/IEC 27001. Escala 0–3 por questão (60 pontos máx).
checklist-iso27001.com.br/checklist/ — versão interativa com score automático
Empresa
Responsável
Data
Escala: 0 = Não implementado · 1 = Parcialmente implementado · 2 = Implementado · 3 = Otimizado e documentado
A.5 — Política de Segurança
1.A organização tem uma política de segurança da informação formalmente documentada e aprovada pela direção?
A.6 — Organização da Segurança da Informação
2.Existem papéis e responsabilidades de segurança claramente definidos e comunicados a todos os colaboradores?
A.7 — Segurança em Recursos Humanos
3.Colaboradores recebem treinamento de conscientização em segurança da informação ao menos uma vez por ano?
A.8 — Gestão de Ativos
4.Existe um inventário de ativos de informação (hardware, software, dados) mantido atualizado?
5.Dados são classificados por nível de sensibilidade (público, interno, confidencial, restrito) com regras de manuseio definidas?
A.9 — Controle de Acesso
6.O acesso a sistemas e dados segue o princípio do mínimo privilégio, com revisão periódica dos acessos concedidos?
7.Existe autenticação multifator (MFA) implementada para acesso remoto e sistemas críticos?
A.10 — Criptografia
8.Dados sensíveis em repouso e em trânsito são protegidos por criptografia com gerenciamento formal de chaves?
A.11 — Segurança Física
9.Áreas que processam informações críticas têm controles de acesso físico (crachá, biometria, câmera) e registro de entradas?
A.12 — Segurança nas Operações
10.Sistemas de produção têm procedimentos documentados de backup com testes regulares de restauração?
11.Existe processo formal de gestão de vulnerabilidades com varreduras periódicas e aplicação de patches em prazo definido?
A.13 — Segurança nas Comunicações
12.Redes são segmentadas (ex: VLAN de usuários separada de servidores) com monitoramento de tráfego entre zonas?
A.14 — Desenvolvimento Seguro
13.Requisitos de segurança são definidos e testados antes de qualquer sistema entrar em produção?
A.15 — Gestão de Fornecedores
14.Contratos com fornecedores que acessam dados da organização incluem cláusulas de segurança e LGPD (DPA)?
A.16 — Gestão de Incidentes
15.Existe um plano formal de resposta a incidentes de segurança com papéis definidos, testado ao menos uma vez por ano?
16.Todos os incidentes de segurança são registrados, analisados e geram ações corretivas documentadas?
A.17 — Continuidade de Negócios
17.A organização tem um plano de continuidade de negócios (BCP) ou recuperação de desastres (DRP) com RPO e RTO definidos?
A.18 — Conformidade
18.A organização realiza auditorias internas de segurança da informação ao menos uma vez por ano?
19.Existe processo para identificar e cumprir requisitos legais e regulatórios aplicáveis (LGPD, SOX, normas setoriais)?
SGSI — Sistema de Gestão
20.A alta direção revisa formalmente o SGSI (Sistema de Gestão de Segurança da Informação) ao menos uma vez por ano com registro em ata?
Apuração de score
| Domínio | Q# | Máx | Obtido | % |
|---|---|---|---|---|
| A.5–A.7 (Política, Org, RH) | 1–3 | 9 | _____ | _____ |
| A.8–A.9 (Ativos, Acesso) | 4–7 | 12 | _____ | _____ |
| A.10–A.12 (Cripto, Física, Ops) | 8–11 | 12 | _____ | _____ |
| A.13–A.15 (Rede, Dev, Fornec) | 12–14 | 9 | _____ | _____ |
| A.16–A.18+SGSI (Inc, Comply, SGSI) | 15–20 | 18 | _____ | _____ |
| TOTAL | 1–20 | 60 | _____ | _____ |
Interpretação: <33% = Não conforme · 33–66% = Em transição · 67–84% = Avançado · ≥85% = Certificação viável