6.2.12 - Frequência pelo menos anual de testes de vulnerabilidade e auditorias de segurança.

Detalhes do Critério

O que: O órgão setorial realiza testes para identificar vulnerabilidades em seus sistemas e auditorias para avaliar a eficácia de suas medidas de segurança da informação, com uma frequência mínima de uma vez por ano.

Por que: Testes de vulnerabilidade e auditorias são importantes para identificar falhas de segurança que podem ser exploradas e para verificar se as políticas e os controles de segurança estão sendo implementados e estão funcionando corretamente. A frequência anual garante uma avaliação regular da postura de segurança do órgão.

Onde: Nos sistemas e na infraestrutura de TIC do órgão setorial.

Quando: Pelo menos uma vez a cada ano.

Quem: A área de TIC do órgão setorial, possivelmente com o apoio de empresas especializadas em segurança da informação.

Como: Utilizando ferramentas, metodologias ou frameworks específicos para realizar os testes e as auditorias, além de documentar os resultados e as recomendações.

Quanto: Pelo menos uma vez por ano.

6.1.1 - Pelo menos 25% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.2 - 50% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.3 - 75% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.4 - 100% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.5 - Faz uso de clausulas contratuais de sigilo nas relações operacionais e nas prestações de serviços que envolvem dados pessoais.

6.1.6 - Pelo menos 25% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.7 - Pelo menos 50% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.8 - Pelo menos 75% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.9 - Pelo menos 100% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.10 - Em atendimento ao plano de adequação à LGPD, conforme decreto municipal vigente, foi elaborado o ROTDP (Registros das Operações de Tratamento de Dados Pessoais).

6.1.11 - Tem contribuído com revisão e atualização periódica do ROTDP.

6.1.12 - O órgão setorial concluiu a etapa de autoavaliação para o diagnóstico amplo da LGPD.

6.1.13 - Em atendimento ao plano de adequação à LGPD, conforme decreto municipal vigente, foi elaborado o RIPD.

6.1.14 - Tem contribuído com revisão e atualização periódica do RIPD.

6.1.15 - RIPD foi direcionado para repositório CGM.

6.1.16 - A equipe de TIC possui membros capacitados em cursos relacionados a Lei Geral de Proteção de Dados (LGPD)

6.1.17 - Membro da equipe de TIC participa formalmente do grupo de trabalho da LGPD

6.1.18 - Membro da equipe de TIC é o encarregado da LGPD no órgão setorial

6.2.1 - Atende pelo menos 25% das recomendações da OT 013 Segurança da informação

6.2.2 - Atende pelo menos 50% das recomendações da OT 013 Segurança da informação

6.2.3 - Atende pelo menos 75% das recomendações da OT 013 Segurança da informação

6.2.4 - Atende 100% das recomendações da OT 013 Segurança da informação

6.2.5 - Atende pelo menos 25% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.6 - Atende pelo menos 50% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.7 - Atende pelo menos 75% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.8 - Atende 100% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.9 - Definiu procedimentos para incidentes de segurança da informação.

6.2.10 - Possui controle de registro de logs

6.2.11 - Possui matriz de risco em sistemas da informação.

6.2.12 - Frequência pelo menos anual de testes de vulnerabilidade e auditorias de segurança.

6.2.12 - Frequência pelo menos anual de testes de vulnerabilidade e auditorias de segurança.

Detalhes do Critério

6.1.1 - Pelo menos 25% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.2 - 50% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.3 - 75% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.4 - 100% dos sistemas informam o motivo da coleta e solicita o consentimento do titular dos dados.

6.1.5 - Faz uso de clausulas contratuais de sigilo nas relações operacionais e nas prestações de serviços que envolvem dados pessoais.

6.1.6 - Pelo menos 25% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.7 - Pelo menos 50% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.8 - Pelo menos 75% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.9 - Pelo menos 100% dos contratos vigentes possuem as cláusulas de confidencialidade.

6.1.10 - Em atendimento ao plano de adequação à LGPD, conforme decreto municipal vigente, foi elaborado o ROTDP (Registros das Operações de Tratamento de Dados Pessoais).

6.1.11 - Tem contribuído com revisão e atualização periódica do ROTDP.

6.1.12 - O órgão setorial concluiu a etapa de autoavaliação para o diagnóstico amplo da LGPD.

6.1.13 - Em atendimento ao plano de adequação à LGPD, conforme decreto municipal vigente, foi elaborado o RIPD.

6.1.14 - Tem contribuído com revisão e atualização periódica do RIPD.

6.1.15 - RIPD foi direcionado para repositório CGM.

6.1.16 - A equipe de TIC possui membros capacitados em cursos relacionados a Lei Geral de Proteção de Dados (LGPD)

6.1.17 - Membro da equipe de TIC participa formalmente do grupo de trabalho da LGPD

6.1.18 - Membro da equipe de TIC é o encarregado da LGPD no órgão setorial

6.2.1 - Atende pelo menos 25% das recomendações da OT 013  Segurança da informação

6.2.2 - Atende pelo menos 50% das recomendações da OT 013  Segurança da informação

6.2.3 - Atende pelo menos 75% das recomendações da OT 013  Segurança da informação

6.2.4 - Atende 100% das recomendações da OT 013  Segurança da informação

6.2.5 - Atende pelo menos 25% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.6 - Atende pelo menos 50% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.7 - Atende pelo menos 75% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.8 - Atende 100% das recomendações da OT 007 - Backup e armazenamento de dados

6.2.9 - Definiu procedimentos para incidentes de segurança da informação.

6.2.10 - Possui controle de registro de logs

6.2.11 - Possui matriz de risco em sistemas da informação.

6.2.12 - Frequência pelo menos anual de testes de vulnerabilidade e auditorias de segurança.

6.2.12 - Frequência pelo menos anual de testes de vulnerabilidade e auditorias de segurança.

Detalhes do Critério

6.2.1 - Atende pelo menos 25% das recomendações da OT 013 Segurança da informação

6.2.2 - Atende pelo menos 50% das recomendações da OT 013 Segurança da informação

6.2.3 - Atende pelo menos 75% das recomendações da OT 013 Segurança da informação

6.2.4 - Atende 100% das recomendações da OT 013 Segurança da informação