Pular para o conteúdo Pular para o menu de tradução
Search Icon

Última modificação: março 19, 2025

Política nº 4204 Procedimento de auditoria

Visão geral

As auditorias de segurança planejadas e aleatórias são importantes para reduzir os riscos e avaliar a preparação da PCSD para um incidente de segurança. A equipe de InfoSec realizará auditorias periódicas nos dispositivos conectados à rede da PCSD.

Finalidade

O objetivo desse procedimento é garantir que todos os dispositivos sejam configurados de acordo com a política de segurança da PCSD. Todos os dispositivos conectados à rede da PCSD estão sujeitos a auditoria a qualquer momento. As auditorias podem ser realizadas para:

  • Garantir a integridade, a confidencialidade e a disponibilidade de informações e recursos
  • Garantir a conformidade com a política de segurança do PCSD

Escopo

Este procedimento abrange todos os dispositivos pertencentes ou operados pela PCSD. Esse procedimento também abrange qualquer dispositivo presente na rede da PCSD, inclusive dispositivos que podem não ser de propriedade ou operados pela PCSD.

Procedimento

A PCSD, por meio deste documento, autoriza a equipe de InfoSec ou um auditor externo a acessar seus dispositivos na medida do necessário, dentro de um escopo predeterminado, que será escrito e aprovado pela equipe de InfoSec. Isso permitirá que o auditor realize auditorias programadas e aleatórias de todos e quaisquer dispositivos da PCSD.

Preocupações específicas

  • Os dispositivos PCSD podem oferecer suporte a funções comerciais essenciais e armazenar informações confidenciais.
  • A configuração inadequada dos dispositivos pode levar à perda de confidencialidade, disponibilidade ou integridade desses sistemas.

Diretrizes

Modelos de configuração padrão e aprovados devem ser usados na implementação de dispositivos:

  • Os agentes de segurança do host, como antivírus, devem ser instalados e atualizados.
  • Realize varreduras de rede para verificar se apenas as portas de rede e os compartilhamentos de rede necessários estão em uso.
  • Verificar a associação ao grupo administrativo.
  • Conduzir linhas de base quando os sistemas forem implantados e após mudanças significativas no sistema.
  • As alterações nos modelos de configuração devem ser coordenadas com os membros de TI apropriados.
  • Deve seguir todos os outros procedimentos aplicáveis aos dispositivos implantados.

Responsabilidade

  • A Equipe InfoSec ou um auditor externo deve conduzir auditorias de todos os dispositivos pertencentes ou operados pela PCSD.
  • Os proprietários de dispositivos são incentivados a auditar seus próprios dispositivos conforme necessário; no entanto, isso não permite que um proprietário de dispositivo realize uma auditoria da rede PCSD ou em qualquer dispositivo que não seja de propriedade do funcionário.

Achados relevantes

  • Todas as constatações relevantes descobertas como resultado de uma auditoria devem ser listadas no sistema de rastreamento do PCSD para garantir uma resolução imediata e/ou controles atenuantes apropriados.

Propriedade do relatório de auditoria

  • Todos os resultados e descobertas gerados pela Equipe InfoSec ou por um auditor externo devem ser fornecidos à gerência apropriada do PCSD dentro de uma semana após a conclusão do projeto.
  • Esse relatório se tornará propriedade da PCSD e será considerado confidencial.

Status da última atualização:

Atualizado em janeiro de 2015

Políticas e procedimentos relacionados

Translation Tool