SSI-57. AUDITORIA DE SEGURANÇA DA INFORMAÇÃO
作者:JP FG
1. 57.1. Conceito de Auditoria de Segurança
1.1. 57.1.1. Processo sistemático de verificação da conformidade das práticas de segurança com políticas, normas e regulamentações.
1.2. 57.1.2. Avalia a eficácia dos controles implementados na organização.
2. 57.2. Objetivos da Auditoria
2.1. 57.2.1. Identificar vulnerabilidades e pontos fracos nos controles de segurança.
2.2. 57.2.2. Avaliar se os controles existentes são suficientes e eficazes.
2.3. 57.2.3. Verificar a conformidade com requisitos legais e regulatórios.
2.4. 57.2.4. Promover melhoria contínua nos processos de segurança.
3. 57.3. Tipos de Auditoria
3.1. 57.3.1. Auditoria Interna
3.1.1. 57.3.1.1. Realizada por equipe da própria organização.
3.1.2. 57.3.1.2. Foco em conformidade com políticas internas.
3.2. 57.3.2. Auditoria Externa
3.2.1. 57.3.2.1. Conduzida por empresa ou profissional independente.
3.2.2. 57.3.2.2. Foco em certificações e requisitos legais.
4. 57.4. Etapas do Processo de Auditoria
4.1. 57.4.1. Planejamento
4.1.1. 57.4.1.1. Definição do escopo, objetivos, equipe e cronograma.
4.2. 57.4.2. Execução
4.2.1. 57.4.2.1. Coleta de evidências e análise de conformidade.
4.3. 57.4.3. Relato de Resultados
4.3.1. 57.4.3.1. Emissão de relatório com não conformidades, riscos e recomendações.
4.4. 57.4.4. Acompanhamento
4.4.1. 57.4.4.1. Verificação da implementação das ações corretivas.
5. 57.5. Técnicas Utilizadas em Auditoria
5.1. 57.5.1. Entrevistas com colaboradores
5.2. 57.5.2. Revisão documental
5.3. 57.5.3. Análise de logs e registros
5.4. 57.5.4. Testes técnicos (ex: pentest, varredura de vulnerabilidades)
6. 57.6. Critérios de Avaliação
6.1. 57.6.1. Baseados em normas como:
6.1.1. 57.6.1.1. ISO/IEC 27001 e 27002
6.1.2. 57.6.1.2. NIST 800-53
6.1.3. 57.6.1.3. LGPD ou GDPR
6.1.4. 57.6.1.4. Políticas e procedimentos internos da empresa