# Item

0 Informaes Gerais Sobre a Empresa

0.1 Nome da Empresa
0.2 Ramo de Atuao / Breve Descrio
0.3 Quantidade de Pessoal (Funcionrios, terceiros, etc.)
0.4 Quantidade de Unidades no Brasil
0.5 Quantidade de Clientes
0.6 Estimativa de Ordem de Magnitude de Lucro Anual
0.7 Nome do Preenchedor
0.8 rea e Cargo do Preenchedor
0.9 Data de Preenchimento
1 Sobre a obteno da certificao ABNT NBR ISO/IEC 27001:2006
1.1 Questionamentos Gerais
1.1.1 Quais foram as motivaes que levaram a empresa a buscar a certificao?
1.1.2 Qual foi a data da obteno da certificao (ms/ano)?
1.1.3 Qual foi o intervalo de tempo entre a deciso pela certificao e a obteno?
1.2 Apoio Externo
1.2.1
A empresa contou com o apoio externo para obteno da certificao? Caso sim, favor
descrever os servios contratados nos itens abaixo.
1.2.2
Consultoria - execuo de anlises de risco/gaps, elaborao de documentao e/ou
processos, execuo de presentaes/workshops/treinamentos, etc.
1.2.3
Consultoria - venda de livros, templates de documentao, kits de auto-avaliao, material
para treinamento interno, etc.
1.2.4
Consultoria - venda/alugul de de servidores, sistemas e outras solues de
tecnologia/segurana.
1.2.5
Consultoria - implantao/desenvolvimento/integrao de servidores, sistemas e outras
solues de tecnologia/segurana.
1.2.6
Consultoria - operao de servidores, sistemas e outras solues de tecnologia/segurana -
datacenter, NOC, SOC, etc.
1.2.7 Outros - Descrever
1.3 Nvel de Maturidade - Incio do Processo
1.3.1
Por favor detalhe o nvel de maturidade no incio do processo de certificao nos itens
abaixo.
1.3.2 Havia definio formal de responsabilidade pela segurana da informao?
1.3.3 A segurana da informao possua o apoio da Alta Direo (C-level)?
1.3.4
Havia objetivos da segurana documentados? Caso sim, estes haviam sido alinhados aos
objetivos organizacionais?
1.3.5 Havia uma Poltica de Segurana da Informao (PSI/ISP) documentada?
1.3.6 Haviam normas de segurana subordinadas PSI?
1.3.7 Havia um programa/sistema de gerenciamento de segurana da informao?
1.3.8 Havia um programa de conscientizao sobre segurana?
1.3.9 Havia sido feita uma Anlise de Impacto ao Negcio (AIN/BIA)?
1.3.10 Havia sido feita uma anlise de risco (AR/RA) ou anlise de gaps?
1.3.11 Havia um processo formal para tratamento dos riscos/gaps identificados?
1.3.12 Havia um processo formal de gerenciamento de riscos?
1.3.13
Havia um inventrio de ativos? Caso sim, havia sido atribudo a estes ativos um nvel de
criticidade/risco/proteo necessria?
1.3.14 Favor descrever se haviam sido atribudos donos/responsveis pelos itens abaixo:
Questionrio - Processo de Auditoria ISO 27001
1.3.14.1 Ativos
1.3.14.2 Informaes
1.3.14.3 Riscos/gaps
1.3.14.4 Tratamento dos riscos/gaps
1.4 Escopo do Processo de Certificao
1.4.1 Pessoal Envolvido
1.4.1.1 Quantos envolvidos (funcionrios, terceiros, etc.)?
1.4.1.2 Quantas reas envolvidas do total?
1.4.1.3 Quantas foram as contrataes apenas para o processo? E permanentes?
1.4.1.4 Quantas foram as alteraes em cargos para o processo? E permanentes?
1.4.1.5 Quantas foram as demisses?
1.4.1.6
Haviam responsveis formais pelo processo de obteno da certificao? Caso sim, quais
eram seus cargos?
1.4.1.7 Foram ministrados treinamentos, palestras ou workshops?
1.4.1.8 Caso sim, quantos eventos foram?
1.4.1.9 Qual a estimativa de horas investidas nestes eventos (preparao e execuo)?
1.4.1.10 Qual a estimativa do nmero total de participantes dos eventos?
1.4.1.11 Qual a estimativa de investimentos feitos em pessoal para o processo?
1.4.2 Processos Alvo
1.4.2.1 Quantos processos no total fizeram parte do escopo da certificao?
1.4.2.2 Quantos processos foram criados?
1.4.2.3 Quantos processos foram alterados?
1.4.2.4 Quantos processos foram eliminados?
1.4.2.5
Os processos parte do escopo tiveram mtricas criadas/associadas a eles? Caso sim, quantos
deles?
1.4.2.6
Caso sim, essas mtricas foram associadas metas? (Ex.: de diretoria, gerncia, rea,
pessoais de funcionrios) Caso sim, quantas diretorias/gerncias/reas tiveram metas
associadas?
1.4.2.7
Caso as associaes tenham acontecido, estas foram refletidas na poltica de cargos e
salrios? (Ex.: promoes, demisses, PLR, etc.)
1.4.2.8 Qual a estimativa de investimentos feitos em processos para a certificao?
1.4.3 Tecnologia Utilizada - Hardware, Software, Servios
1.4.3.1 Quantos sistemas no total fizeram parte do escopo do processo?
1.4.3.1.1 Hardware? Ex.: Servidores, dispositivos de rede, telefonia, tokens, etc.
1.4.3.1.2 Software? Ex.: CRM, ERP, Domnios LDAP, Correio, Mensageria, etc.
1.4.3.1.3 Servios? Ex.: Venda, desenvolvimento, integrao, implantao, customizao, etc.
1.4.3.2 Quantos sistemas foram adquiridos/desenvolvidos/implantados?
1.4.3.3 Quantos sistemas sofreram alteraes?
1.4.3.4 Quantos sistemas foram descontinuados?
1.4.3.5 Houve implantao de um software para auxlio da gesto do SGSI? Caso sim, qual?
1.4.3.6 Qual a estimativa de investimentos em hardware para o processo?
1.4.3.7 Qual a estimativa de investimentos em software para o processo?
1.4.3.8 Qual a estimativa de investimentos em servios de tecnologia para o processo?
1.4.3.9 Qual a estimativa de investimento total em tecnologia para o processo?
1.5 Primeira Auditoria
1.5.1 Qual foi a empresa auditora?
1.5.2 Quanto tempo durou a primeira auditoria?
1.5.3 Quantas no-conformidades foram identificadas?
1.5.4 Quantos pontos de melhoria foram identificados?
1.5.5 Quantas excees foram solicitadas?
1.5.6 Qual foi o tempo estimado para execuo das mudanas necessrias?
1.5.7 Qual foi o custo estimado para execuo das mudanas necessrias?
1.6 Auditoria Certificadora
1.6.1 Qual foi a empresa certificadora?
1.6.2 Quanto tempo durou a auditoria certificadora?
1.6.3 Quantos pontos de melhoria foram identificados?
1.6.4 Quantas excees foram solicitadas?
1.6.5
Quantas e quais foram as principais alteraes realizadas entre a primeira e a segunda
auditoria em:
1.6.5.1 Pessoas
1.6.5.2 Processos
1.6.5.3 Tecnologia
1.7 Percepo Aps o Processo de Certificao
1.7.1 Pessoal Envolvido
1.7.1.1
Aps as mudanas a percepo que a conscientizao geral sobre segurana aumentou,
diminuu ou no sofreu alteraes?
1.7.1.2
Aps as mudanas a percepo que a conscientizao geral sobre a importncia da
certificao aumentou, diminuu ou no sofreu alteraes?
1.7.2 Processos Alvo
1.7.2.1
Aps as mudanas a percepo que os processos passaram a funcionar de maneira mais
gil, mais lenta, ou no houve alteraes?
1.7.2.2
Aps as mudanas a percepo que os processos passaram a apresentar resultados mais
consistentes, desorganizados, ou no houve alteraes?
1.7.2.3
Aps as mudanas a percepo que existe maior alinhamento entre os processos de
segurana e os objetivos organizacionais?
1.7.3 Sistemas Afetados
1.7.3.1
Aps as mudanas a percepo que o ambiente computacional est mais estvel, instvel,
ou sem alteraes?
1.7.3.2
Aps as mudanas a percepo que a complexidade de manuteno do ambiente est
maior, menor, ou sem alteraes?
1.7.3.3
Aps as mudanas a percepo que o TCO (Total Cost of Ownership) do ambiente
computacional est maior, menor, ou sem alteraes?
1.7.3.4
Aps as mudanas a percepo que o ambiente computacional est mais seguro, menos,
ou sem alteraes?
Descrio
Questionrio - Processo de Auditoria ISO 27001