# 6.2.12 - Frequência pelo menos anual de testes de vulnerabilidade e auditorias de segurança.

#### Detalhes do Critério

**O que:** O órgão setorial realiza testes para identificar vulnerabilidades em seus sistemas e auditorias para avaliar a eficácia de suas medidas de segurança da informação, com uma frequência mínima de uma vez por ano.

**Por que:** Testes de vulnerabilidade e auditorias são importantes para identificar falhas de segurança que podem ser exploradas e para verificar se as políticas e os controles de segurança estão sendo implementados e estão funcionando corretamente. A frequência anual garante uma avaliação regular da postura de segurança do órgão.

**Onde:** Nos sistemas e na infraestrutura de TIC do órgão setorial.

**Quando:** Pelo menos uma vez a cada ano.

**Quem:** A área de TIC do órgão setorial, possivelmente com o apoio de empresas especializadas em segurança da informação.

**Como:** Utilizando ferramentas, metodologias ou frameworks específicos para realizar os testes e as auditorias, além de documentar os resultados e as recomendações.

**Quanto:** Pelo menos uma vez por ano.