Checklist

Checklist de preparacao ISO 27001

Lista de verificacao com 25 pontos criticos para avaliar o estado de preparacao da sua organizacao para uma auditoria ISO 27001.

Esta lista de verificacao permite avaliar o grau de maturidade do Sistema de Gestao de Seguranca da Informacao (SGSI) da sua organizacao frente aos requisitos da ISO/IEC 27001:2022. Cada ponto referencia a clausula normativa correspondente.

Pontos de verificacao

Contexto e lideranca

Foram identificadas as questoes internas e externas relevantes para o SGSI[4.1]

Foram determinadas as partes interessadas e seus requisitos de seguranca da informacao[4.2]

O escopo do SGSI esta definido e documentado, incluindo limites e aplicabilidade[4.3]

A alta direcao emitiu uma politica de seguranca da informacao alinhada com os objetivos estrategicos[5.2]

Foram atribuidos papeis, responsabilidades e autoridades para o SGSI[5.3]

Planejamento de riscos

Existe um processo documentado de avaliacao de riscos de seguranca da informacao[6.1.2]

Foram identificados os riscos associados a perda de confidencialidade, integridade e disponibilidade[6.1.2]

Existe um plano de tratamento de riscos com proprietarios atribuidos[6.1.3]

Foi elaborada a Declaracao de Aplicabilidade (SoA) com justificativa de inclusoes e exclusoes[6.1.3]

Foram estabelecidos objetivos de seguranca da informacao mensuraveis e coerentes com a politica[6.2]

Suporte e recursos

Foram alocados recursos adequados para o estabelecimento, implementacao e melhoria do SGSI[7.1]

O pessoal com papeis no SGSI possui competencia demonstravel (formacao, experiencia)[7.2]

Existe um programa de conscientizacao sobre seguranca da informacao para todo o pessoal[7.3]

Os canais de comunicacao interna e externa sobre seguranca da informacao estao definidos[7.4]

A informacao documentada do SGSI esta controlada (versionamento, aprovacao, distribuicao)[7.5]

Operacao

Os processos operacionais do SGSI sao planejados, implementados e controlados conforme previsto[8.1]

As avaliacoes de riscos sao realizadas em intervalos planejados ou diante de mudancas significativas[8.2]

O plano de tratamento de riscos e implementado e os registros dos resultados sao conservados[8.3]

Os controles do Anexo A selecionados estao implementados e operacionais[8.1]

As mudancas que podem afetar a seguranca da informacao sao gerenciadas de forma controlada[8.1]

Avaliacao e melhoria

Os processos e controles do SGSI sao monitorados e medidos com indicadores definidos[9.1]

Sao realizadas auditorias internas do SGSI em intervalos planejados[9.2]

A alta direcao revisa o SGSI em intervalos planejados para assegurar sua conveniencia e eficacia[9.3]

As nao conformidades sao registradas, analisadas e acoes corretivas documentadas sao tomadas[10.1]

Sao identificadas oportunidades de melhoria continua do SGSI e acoes sao implementadas[10.2]

CriticoRecomendadoOpcional

Perguntas frequentes

O tempo de preparacao tipico varia entre 6 e 12 meses, dependendo do tamanho da organizacao, da maturidade dos controles existentes e da disponibilidade de recursos dedicados. Um diagnostico de brechas (gap analysis) permite estimar com precisao o esforco necessario.

As nao conformidades mais recorrentes incluem: falta de evidencia na avaliacao de riscos (6.1.2), Declaracao de Aplicabilidade incompleta (6.1.3), ausencia de indicadores de eficacia de controles (9.1) e deficiencias no programa de auditoria interna (9.2).

Nao. A norma exige que a organizacao determine quais controles do Anexo A sao aplicaveis com base em sua avaliacao de riscos. Os controles que nao se aplicam devem ser justificados na Declaracao de Aplicabilidade (SoA). O criterio de selecao deve ser rastreavel a analise de riscos documentada.

Avaliacao profissional do estado de preparacao

Diagnostico em 72 horas operacionais. Metodologia ISO. Sem vinculacao com certificadores.

Solicitar diagnostico

Loading content…

Perguntas frequentes