Auditorias de IT - Dora, ISO 27001, SOC 2, NIS2

Sistema de Gestão de Segurança da Informação

Inicie sessão para guardar o seu progresso nas checklists.

Iniciar Sessão

Guia Completo de ISO 27001:2022

Sistema de Gestão de Segurança da Informação (ISMS)

v2.0

10.000+

Palavras

Domínios

Controlos

14 Domínios de Controlo

Cobertura completa com action plans para cada domínio

93 Controlos de Segurança

Todos os controlos do Anexo A da ISO 27001:2022

ISMS Implementação

Sistema de Gestão de Segurança da Informação completo

O que está incluído:

✓14 domínios de controlo com detalhes completos
✓93 controlos de segurança do Anexo A
✓Action plans em 4 fases para cada domínio
✓Cronograma de implementação de 12+ meses
✓Checklists de conformidade por domínio
✓Templates de políticas e procedimentos
✓Matriz RBAC e gestão de acesso
✓Ferramentas e certificações recomendadas

✓ Padrão Internacional Reconhecido

ISO 27001:2022 é o padrão mais reconhecido mundialmente para sistemas de gestão de segurança da informação. Este guia cobre todos os requisitos atualizados e ajuda a implementar conformidade completa.

Informações do Documento:

Autor: Ricardo Silva

Versão: 1.0 (Fevereiro 2026)

Padrão: ISO 27001:2022

Classificação: Confidencial - Uso Interno

Total

Completos

Pendentes

Progresso

Controlos Organizacionais

Controlos relacionados com políticas, procedimentos e estruturas organizacionais

5.1 Políticas de segurança da informação

Definir e aprovar políticas de segurança da informação alinhadas com requisitos de negócio e regulamentares

5.2 Funções e responsabilidades de segurança da informação

Definir e alocar responsabilidades de segurança da informação

5.3 Segregação de funções

Segregar funções conflituantes para reduzir oportunidades de modificação não autorizada

5.4 Responsabilidades de gestão

Exigir que a gestão implemente segurança da informação conforme políticas estabelecidas

5.5 Contacto com autoridades

Manter contactos apropriados com autoridades relevantes

5.6 Contacto com grupos de interesse especial

Manter contactos com fóruns e associações profissionais de segurança

5.7 Inteligência de ameaças

Recolher e analisar informações sobre ameaças de segurança

5.8 Segurança da informação na gestão de projetos

Integrar segurança da informação na gestão de projetos

5.9 Inventário de ativos

Identificar ativos e definir responsabilidades de proteção

5.10 Uso aceitável de ativos

Identificar, documentar e implementar regras de uso aceitável

5.11 Devolução de ativos

Garantir que colaboradores devolvem todos os ativos na cessação de emprego

5.12 Classificação de informação

Classificar informação conforme necessidades de segurança

5.13 Rotulagem de informação

Desenvolver e implementar procedimentos de rotulagem

5.14 Transferência de informação

Proteger informação transferida dentro e fora da organização

5.15 Controlo de acessos

Estabelecer regras de controlo de acessos baseadas em requisitos de negócio

5.16 Gestão de identidades

Gerir ciclo de vida completo de identidades

5.17 Informação de autenticação

Alocar e gerir informação de autenticação

5.18 Direitos de acesso

Provisionar, rever e ajustar direitos de acesso

5.19 Segurança da informação em relações com fornecedores

Definir e acordar requisitos de segurança com fornecedores

5.20 Segurança da informação em acordos com fornecedores

Estabelecer requisitos de segurança em acordos com fornecedores

5.21 Gestão de segurança da informação na cadeia de fornecimento de TIC

Definir e implementar processos para gerir riscos na cadeia de fornecimento

5.22 Monitorização, revisão e gestão de mudanças de serviços de fornecedores

Monitorizar, rever e gerir mudanças em serviços de fornecedores

5.23 Segurança da informação para uso de serviços cloud

Estabelecer processos para aquisição, uso e gestão de serviços cloud

5.24 Planeamento e preparação de gestão de incidentes

Planear e preparar gestão de incidentes de segurança

5.25 Avaliação e decisão sobre eventos de segurança

Avaliar eventos e decidir se são classificados como incidentes

5.26 Resposta a incidentes de segurança

Responder a incidentes conforme procedimentos documentados

5.27 Aprendizagem com incidentes

Analisar e aprender com incidentes de segurança

5.28 Recolha de evidências

Estabelecer procedimentos para identificação, recolha e preservação de evidências

5.29 Segurança da informação durante disrupção

Planear como manter segurança durante disrupção

5.30 Preparação de TIC para continuidade de negócio

Planear, implementar e manter TIC para continuidade

5.31 Requisitos legais, estatutários, regulamentares e contratuais

Identificar e cumprir requisitos aplicáveis

5.32 Direitos de propriedade intelectual

Implementar procedimentos para proteger direitos de propriedade intelectual

5.33 Proteção de registos

Proteger registos contra perda, destruição e falsificação

5.34 Privacidade e proteção de PII

Identificar e cumprir requisitos de privacidade

5.35 Revisão independente de segurança da informação

Rever segurança da informação de forma independente

5.36 Conformidade com políticas, regras e normas

Rever conformidade regularmente

5.37 Procedimentos operacionais documentados

Documentar procedimentos operacionais e disponibilizar a utilizadores

Controlos de Pessoas

Controlos relacionados com recursos humanos e formação

6.1 Seleção

Verificar antecedentes de candidatos conforme leis e regulamentos

6.2 Termos e condições de emprego

Acordos contratuais devem incluir responsabilidades de segurança

6.3 Consciencialização, educação e formação em segurança

Fornecer formação regular em segurança

6.4 Processo disciplinar

Estabelecer processo disciplinar para violações de segurança

6.5 Responsabilidades após cessação ou mudança de emprego

Definir e comunicar responsabilidades após cessação

6.6 Acordos de confidencialidade ou não divulgação

Identificar e documentar requisitos de confidencialidade

6.7 Trabalho remoto

Implementar segurança quando pessoal trabalha remotamente

6.8 Relato de eventos de segurança

Fornecer mecanismos para relatar eventos observados

Controlos Físicos

Controlos relacionados com segurança física e ambiental

7.1 Perímetros de segurança física

Definir e usar perímetros de segurança física

7.2 Entrada física

Áreas seguras devem ser protegidas por controlos de entrada

7.3 Segurança de escritórios, salas e instalações

Desenhar e implementar segurança física para escritórios e salas

7.4 Monitorização de segurança física

Instalações devem ser monitorizadas continuamente

7.5 Proteção contra ameaças físicas e ambientais

Proteger contra ameaças físicas e ambientais

7.6 Trabalho em áreas seguras

Desenhar e aplicar medidas de segurança para trabalho em áreas seguras

7.7 Mesa limpa e ecrã limpo

Estabelecer regras de mesa limpa e ecrã limpo

7.8 Localização e proteção de equipamento

Equipamento deve ser localizado e protegido adequadamente

7.9 Segurança de ativos fora das instalações

Ativos fora das instalações devem ser protegidos

7.10 Meios de armazenamento

Gerir meios de armazenamento conforme esquema de classificação

7.11 Utilitários de suporte

Proteger instalações de processamento contra falhas de utilitários

7.12 Segurança de cablagem

Cabos de energia e telecomunicações devem ser protegidos

7.13 Manutenção de equipamento

Manter equipamento corretamente para disponibilidade e integridade

7.14 Eliminação ou reutilização segura de equipamento

Verificar que equipamento não contém dados sensíveis antes de eliminação

Controlos Tecnológicos

Controlos relacionados com sistemas, redes e tecnologia

8.1 Dispositivos de endpoint de utilizador

Proteger informação armazenada, processada ou acessível via dispositivos de endpoint

8.2 Direitos de acesso privilegiados

Restringir e controlar alocação de direitos de acesso privilegiados

8.3 Restrição de acesso a informação

Restringir acesso a informação e recursos conforme política de controlo de acessos

8.4 Acesso a código fonte

Restringir acesso de leitura e escrita a código fonte

8.5 Autenticação segura

Implementar tecnologias e procedimentos de autenticação segura

8.6 Gestão de capacidade

Monitorizar e ajustar uso de recursos

8.7 Proteção contra malware

Implementar proteção contra malware

8.8 Gestão de vulnerabilidades técnicas

Obter informação sobre vulnerabilidades técnicas e tomar ação

8.9 Gestão de configuração

Estabelecer e manter configurações de hardware, software e serviços

8.10 Eliminação de informação

Eliminar informação quando não mais necessária

8.11 Mascaramento de dados

Usar mascaramento conforme política de controlo de acessos

8.12 Prevenção de fuga de dados

Aplicar medidas de prevenção de fuga de dados

8.13 Cópia de segurança de informação

Manter cópias de segurança conforme política

8.14 Redundância de instalações de processamento

Implementar instalações de processamento com redundância suficiente

8.15 Registo

Produzir, guardar e proteger logs de eventos

8.16 Atividades de monitorização

Monitorizar redes, sistemas e aplicações para comportamento anómalo

8.17 Sincronização de relógio

Sincronizar relógios de sistemas com fonte de tempo aprovada

8.18 Uso de programas utilitários privilegiados

Restringir e controlar uso de programas utilitários privilegiados

8.19 Instalação de software em sistemas operacionais

Implementar procedimentos para controlar instalação de software

8.20 Segurança de redes

Gerir e controlar redes para proteger informação

8.21 Segurança de serviços de rede

Identificar e implementar mecanismos de segurança para serviços de rede

8.22 Segregação de redes

Segregar grupos de serviços, utilizadores e sistemas de informação

8.23 Filtragem web

Gerir acesso a websites externos

8.24 Uso de criptografia

Definir e implementar regras de uso de criptografia

8.25 Ciclo de vida de desenvolvimento seguro

Estabelecer regras para desenvolvimento seguro de software

8.26 Requisitos de segurança de aplicações

Identificar e especificar requisitos de segurança

8.27 Arquitetura de sistema seguro e princípios de engenharia

Estabelecer e aplicar princípios de engenharia de sistemas seguros

8.28 Codificação segura

Aplicar princípios de codificação segura

8.29 Testes de segurança em desenvolvimento e aceitação

Definir e implementar processos de teste de segurança

8.30 Desenvolvimento externalizado

Supervisionar e monitorizar atividades de desenvolvimento externalizado

8.31 Separação de ambientes de desenvolvimento, teste e produção

Separar ambientes de desenvolvimento, teste e produção

8.32 Gestão de mudanças

Controlar mudanças em instalações e sistemas de processamento

8.33 Informação de teste

Selecionar, proteger e controlar informação de teste

8.34 Proteção de sistemas de informação durante testes de auditoria

Planear e acordar testes de auditoria para minimizar disrupção

Sobre ISO 27001

Esta checklist foi criada para ajudar na implementação e conformidade com ISO 27001. Todos os itens devem ser revistos e adaptados às necessidades específicas da sua organização.

Para mais informações detalhadas sobre requisitos e melhores práticas, consulte a documentação oficial.