Workspace ISO 27001 ISMS: do escopo à prontidão para certificação em 22 passos

Você: A CloudSync Solutions é uma empresa SaaS B2B com sede em São Paulo, 45 colaboradores. Rodamos em GCP, usamos GitHub, Google Workspace, Okta para IAM, Stripe para pagamentos e SendGrid para email. Maria Santos é CISO, João Silva é CTO. Lidamos com dados de projetos de clientes e estamos sujeitos à LGPD.

Agente: Preparei o perfil da organização. Vou rodar o classificador de stack tecnológico e o verificador de completude do perfil.

O classificador identificou 8 entradas: GCP como IaaS, GitHub como SaaS (DevOps), Google Workspace como SaaS (Produtividade), Okta como SaaS (Segurança/IAM). Um alerta — AWS CloudFront aparece sem especificação de região.

Completude do perfil: PASS (92 %). Pequena lacuna: a faixa de receita é estimada — considere confirmar com finanças.

Também atualizei o dashboard do projeto para marcar o Organization Profile como concluído.

Você: Defina o escopo do ISMS para a CloudSync Solutions. Nossa plataforma SaaS e a infraestrutura de suporte devem estar no escopo. Sistemas de marketing e RH ficam fora.

Agente: Redigi a declaração de escopo com base no perfil da organização. Vou rodar as checagens de integridade de escopo e de justificativas de exclusão.

Integridade das fronteiras do escopo: PASS. O escopo cobre a plataforma SaaS, infraestrutura em GCP, processamento de dados de clientes e todos os serviços de TI de suporte. As fronteiras estão claramente definidas por unidade organizacional, localização (sede em São Paulo + regiões GCP) e tecnologia.

Verificação de justificativas de exclusão: WARNING. Duas exclusões precisam de justificativas mais fortes. “Sistemas de marketing” foi aceita — não há processamento de dados de clientes. Mas “Sistemas de RH” precisa de esclarecimento: o RH mantém dados pessoais de empregados sujeitos à LGPD, e a Cláusula 4.3 exige justificar por que o tratamento de dados de RH não afeta os objetivos do ISMS. Sinalizei para revisão e sugeri adicionar uma frase explicando que os dados de RH são geridos sob um programa separado de conformidade com a LGPD.

Você: Construa o inventário de ativos com base no perfil da organização e no escopo.

Agente: Identifiquei 18 ativos de informação dentro do escopo do ISMS e os classifiquei por tipo. Vou validar a rotulagem e as atribuições de ownership.

Consistência de rotulagem: PASS. Todos os 18 ativos seguem a convenção de nomenclatura (prefixo de tipo + ID sequencial). Os níveis de classificação (Confidencial, Interno, Público) estão atribuídos de forma consistente — dados de projetos de clientes e chaves de API são Confidenciais; documentação interna é Interna.

Verificação de accountability de owner: WARNING. Dois ativos têm owners em nível de equipe (“Time de Engenharia”) em vez de indivíduos nomeados. A Cláusula A.5.9 da ISO 27001 exige owners identificáveis. Sinalizei AST‑011 (Pipeline CI/CD) e AST‑014 (Dashboard de monitoramento) para reatribuição a pessoas específicas.

Você: Com base no perfil da organização e no escopo, avalie nossos riscos de segurança da informação.

Agente: Identifiquei 7 riscos e montei o registro de riscos com score de probabilidade × impacto. Vou rodar a suíte de validação.

O verificador de metodologia confirmou que todos os 11 requisitos da Cláusula 6.1.2 foram atendidos — escalas, matriz e limiar de aceitação 12 estão corretamente definidos.

Cada um dos 7 riscos passou na validação de completude: ativo, ameaça, vulnerabilidade, consequência, scores P×I, owner e decisão de tratamento estão presentes.

O detector de duplicados não encontrou riscos sobrepostos — todos os 7 cobrem cenários distintos.

O validador de cobertura ativo–risco cruzou o inventário de ativos: 5 dos 6 ativos Confidenciais possuem entradas de risco correspondentes. Porém, AST‑008 (Cofre de chaves de API) é classificado como Confidencial mas não tem entrada no registro — adicionei R‑08 cobrindo extração não autorizada de chaves com score 4×5=20 (Tratar, controles A.5.17, A.8.24).

O mapeador risco–controle verificou que todos os 8 riscos tratados estão ligados a controles específicos do Anexo A. E o verificador de risco residual confirmou que todos os scores pós‑tratamento ficam abaixo do limiar de aceitação 12.

Você: Gere a Declaração de Aplicabilidade com base na nossa avaliação de riscos. Inclua rastreamento de status de implementação.

Agente: Mapeei todos os 93 controles do Anexo A contra o registro de riscos e o perfil da organização. Vou rodar a suíte de validação da SoA.

Sugestões de inclusão de controles: 78 controles marcados como aplicáveis, 15 excluídos. A ferramenta sinalizou 2 controles que podem precisar de reavaliação: A.7.4 (Monitoramento de segurança física) — marcado como excluído, mas a infraestrutura inclui um escritório com acesso a sala de servidores. E A.5.23 (Segurança da informação para serviços em nuvem) — deveria ser aplicável dada a dependência do GCP.

Auditoria de justificativas: PASS. Todas as 15 exclusões possuem justificativas documentadas referenciando fronteiras de escopo ou contexto organizacional específico. A auditoria também sinalizou 12 controles com evidências mas status de implementação ainda “Não Iniciado” — considere atualizar conforme a implementação avança.

Consistência SoA–risco: PASS. Todo risco tratado no registro de riscos está mapeado a pelo menos um controle aplicável na SoA, e nenhum controle aplicável carece de risco ou requisito de negócio correspondente.

Resumo de status de implementação: Não Iniciado: 34, Planejado: 28, Implementado: 14, Verificado: 2. O verificador de consistência agora rastreia esses dados para que você veja de relance o andamento da implementação.

Verificação de evidências de políticas: o verificador de consistência também escaneou o diretório de políticas. 3 controles incluídos referenciam arquivos de evidência que ainda não existem — A.5.24 cita “Incident-Management-Procedure.md”, mas esse arquivo não foi gerado. Registrei como lembrete para o passo do Policy Generator.

Você: Avalie o estado atual do nosso ISMS em relação à ISO 27001.

Agente: Escaneei o workspace em busca de artefatos obrigatórios e atribuí um nível de maturidade para cada cláusula. Eis o que encontrei.

O scanner de artefatos obrigatórios produziu um checklist rastreável — a declaração de escopo do ISMS e o registro de riscos estão presentes, mas a Política de Segurança da Informação, a Declaração de Aplicabilidade e os resultados de Auditoria Interna ainda faltam.

Para maturidade por cláusula, atribuí nível 3 (“Definido”) à Cláusula 6 (Planejamento), com base na metodologia de risco e no registro existentes, enquanto a Cláusula 9 (Avaliação de desempenho) está em nível 0 (“Inexistente”), pois ainda não há monitoramento, auditoria ou revisão pela direção.

Com base no risco de auditoria, a priorização de remediação é:

1. Imediato — Política de Segurança da Informação (Cláusula 5.2), justificativas de exclusão de escopo
2. Curto prazo — Declaração de Aplicabilidade, Plano de Tratamento de Riscos, Objetivos de Segurança
3. Médio prazo — Procedimentos operacionais (controle de acesso, gestão de incidentes, segurança de fornecedores)
4. Prontidão para auditoria — Auditoria interna, revisão pela direção, processo de CAPA

Você: Gere a Política de Segurança da Informação para a CloudSync Solutions.

Agente: Redigi a POL‑001 com base no seu perfil organizacional e contexto de risco. Vou validar os metadados do documento e a cobertura de tópicos obrigatórios.

Verificação de metadados: PASS. O documento POL‑001 tem versão, owner (Maria Santos), aprovador (João Silva), data de entrada em vigor, próxima data de revisão e classificação (Interno) — todos presentes.

Verificador de tópicos obrigatórios: PASS. Todos os tópicos necessários estão cobertos — comprometimento da direção (5.1), propósito (5.2), papéis e responsabilidades (5.3), gestão de riscos (6.1), requisitos de conformidade e agenda de revisão.

Após gerar todas as 16 políticas, rodei a checagem de rastreabilidade tratamento–política. Ela cruzou as 8 decisões “Tratar” do plano de tratamento de riscos com as políticas geradas. 7 de 8 possuem cadeias completas — a política que implementa cada controle existe. Uma lacuna: R‑06 (vulnerabilidades em APIs, controles A.8.25–A.8.26) mapeia para um Procedimento de Desenvolvimento Seguro, mas ele ainda não foi gerado, já que procedimentos de desenvolvimento de software são opcionais para o seu escopo. Recomendo adicioná‑lo, considerando que a plataforma SaaS é o ativo principal.

Você: Defina controles de segurança física para o nosso escritório em São Paulo.

Agente: Com base no perfil da organização, seu escritório tem uma localização única com sala de servidores e layout open‑plan. Redigi o documento de perímetro de segurança física com controles para três zonas: entrada do prédio, andar do escritório e sala de servidores. Vou validar.

Checagem de prevenção a tailgating: PASS. Os controles incluem entrada por crachá na recepção do prédio, registro de visitantes com exigência de acompanhamento e entrada tipo mantrap para a sala de servidores com dupla autenticação (crachá + PIN).

Também fiz a referência cruzada com a SoA — A.7.1 (Perímetros de segurança física), A.7.2 (Entrada física) e A.7.4 (Monitoramento de segurança física) estão todos endereçados.

Também validei os controles de segurança fora do escritório (A.7.9) — criptografia de dispositivos, requisitos de VPN e cadastro em MDM estão todos cobertos para a força de trabalho remota.

Você: Crie a política de segurança de fornecedores com base no stack tecnológico e na avaliação de riscos.

Agente: Classifiquei os 8 fornecedores em três tiers com base em acesso a dados e criticidade. Vou validar a política.

Classificação por tier:

• Tier 1 (Crítico): GCP (IaaS — hospeda todos os dados de clientes), Okta (IAM — controla autenticação)
• Tier 2 (Importante): GitHub (código‑fonte), Stripe (processamento de pagamentos), Google Workspace (comunicação interna)
• Tier 3 (Padrão): SendGrid (envio de email), CloudFront (CDN), ferramentas de monitoramento

Geração de cláusulas por tier: PASS. Fornecedores Tier 1 exigem relatórios SOC 2 Type II anuais, cláusula de direito de auditoria, notificação de incidentes em até 24 horas e garantias de residência de dados. Fornecedores Tier 2 exigem evidências SOC 2 ou ISO 27001 e notificação em até 48 horas. Fornecedores Tier 3 exigem questionários de segurança básicos.

Reforço de direito de auditoria: PASS. Todas as cláusulas de fornecedores Tier 1 e Tier 2 incluem direito contratual de auditoria conforme A.5.19 e A.5.21.

Você: Construa o registro de fornecedores críticos com base na política de segurança de fornecedores e no perfil da organização.

Agente: Identifiquei 8 fornecedores críticos a partir do perfil da organização e os mapeei contra a política de fornecedores por tier. Vou validar o registro.

Verificação de completude do registro de fornecedores: PASS. Todos os 8 fornecedores possuem: classificação de acesso a dados, limiares de SLA (uptime, resposta a incidentes), rating de dependência BCP (Crítico/Importante/Padrão), data da última avaliação de segurança, data da próxima avaliação e owner interno nomeado.

Verificação de referência cruzada com BCP: WARNING. Dois fornecedores Tier 1 (GCP e Okta) estão sinalizados como pontos únicos de falha no mapeamento de dependências BCP, mas o Plano de Continuidade de Negócios ainda não foi redigido. Registrei para validação cruzada quando o BCP for produzido no Passo 19.

Verificação de programação de avaliações: PASS. Todos os fornecedores Tier 1 têm ciclos de avaliação anuais. Fornecedores Tier 2 têm ciclos bienais. Nenhuma avaliação está vencida.

Você: Construa o registro de requisitos legais para a CloudSync Solutions.

Agente: Com base no perfil da organização, identifiquei 12 obrigações legais e contratuais. Vou validar o registro.

O analisador de cobertura regulatória encontrou obrigações em três categorias: estatutárias (proteção de dados LGPD, Marco Civil da Internet), regulatórias (requisitos de cibersegurança do BACEN de clientes do setor financeiro) e contratuais (cláusulas de DPA em contratos enterprise, compromissos de SLA). Todas as 12 entradas possuem controles do Anexo A mapeados.

Verificação de completude de requisitos legais: PASS. Cada obrigação possui referência de fonte, justificativa de aplicabilidade, owner responsável, frequência de revisão e controles mapeados. Um aviso: a entrada da LGPD referencia “processamento baseado em consentimento”, mas o perfil da organização indica legítimo interesse como base legal principal — considere alinhar esses dados.

Você: Crie templates de NDA e um registro de acompanhamento para a CloudSync Solutions.

Agente: Redigi templates de NDA para três categorias de pessoal: empregados, terceirizados e parceiros. Cada template é adaptado ao contexto da CloudSync — referenciando as obrigações da LGPD, as classificações de ativos Confidenciais do inventário e cenários específicos de manuseio de dados da plataforma SaaS. Vou validar.

Validador de cláusulas NDA: PASS. Todos os três templates incluem as 9 cláusulas obrigatórias — definição de informação confidencial, obrigações da parte receptora, divulgações permitidas, prazo e sobrevivência, devolução/destruição de informações, remédios para violação, lei aplicável, jurisdição e divisibilidade.

Verificação de completude do registro NDA: WARNING. O registro de acompanhamento cobre 42 de 45 pessoas. Três contratações recentes de terceirizados (iniciadas em fevereiro de 2026) ainda não possuem NDAs assinados registrados. Sinalizei para acompanhamento imediato com o RH.

Você: Crie a documentação de segurança de RH para a CloudSync Solutions. Precisamos de procedimentos de triagem para novas contratações de engenharia, cláusulas de segurança em contratos de trabalho e um procedimento completo de saída para quando colaboradores deixam a empresa — incluindo revogação de acesso em todos os nossos sistemas.

Agente: Redigi 4 documentos de segurança de RH com base no perfil da organização. Vou rodar as ferramentas de validação.

Verificador de completude de cláusulas de RH: PASS. O template de cláusulas de segurança de emprego inclui todos os 5 elementos obrigatórios — referência a NDA/confidencialidade, política de uso aceitável, cláusula de cessão de PI, consequências disciplinares para violações de segurança e obrigações pós-desligamento. Ele também referencia as obrigações de proteção de dados da LGPD e requisitos de devolução de ativos.

Validador de cobertura de procedimento de saída: PASS. O procedimento de segurança de desligamento cobre revogação de acesso para todos os 4 sistemas identificados no perfil da organização — Okta (SSO), GCP (infraestrutura), GitHub (código-fonte) e Google Workspace (email/docs). O procedimento inclui checklist de devolução de ativos, plano de transferência de conhecimento, lembrete de NDA e entrevista de desligamento. Um aviso: considere adicionar um período de monitoramento pós-saída para detentores de contas privilegiadas.

Você: Construa o programa de privacidade para a CloudSync Solutions. Estamos sujeitos à LGPD e temos clientes enterprise na UE sob o GDPR. Crie o conjunto completo — política de privacidade, ROPA, template de DPIA, procedimento de direitos de titulares e procedimento de notificação de violações.

Agente: Redigi 5 documentos do programa de privacidade com base no perfil da organização e no registro de requisitos legais. Vou validar.

Verificador de completude do ROPA: PASS. Todas as 5 atividades de processamento (armazenamento de dados de clientes, autenticação de usuários, processamento de pagamentos, comunicações por email, analytics) possuem entradas completas — finalidade, base legal, categorias de dados, destinatários, período de retenção e status de transferência internacional documentados para cada uma.

Validador de base legal: PASS com 1 aviso. 4 de 5 atividades de processamento usam legítimo interesse ou necessidade contratual como base legal. O processamento de analytics usa consentimento — a ferramenta sinalizou para consideração de DPIA, já que processamento baseado em consentimento de dados pessoais pode requerer uma Avaliação de Impacto à Proteção de Dados conforme o Artigo 35 do GDPR e o Artigo 38 da LGPD.

Validador de prazos de notificação de violações: PASS. O procedimento de notificação de violações inclui tanto o requisito de “prazo razoável” da LGPD com notificação à ANPD quanto a notificação de 72 horas à autoridade supervisora do GDPR para titulares de dados da UE. Matriz de classificação de severidade, etapas de contenção e revisão pós-violação estão todos documentados.

Você: Crie os procedimentos operacionais para os controles que precisam deles.

Agente: Rodei o analisador de cobertura de SOPs contra a Declaração de Aplicabilidade. Dos 78 controles aplicáveis, 24 requerem procedimentos operacionais documentados. 10 já estão cobertos por políticas existentes. Vou criar os 14 SOPs restantes. Começarei pelos de maior prioridade.

Redigi SOP-001 (Provisionamento e Desprovisionamento de Acesso), SOP-002 (Execução de Resposta a Incidentes) e SOP-003 (Backup e Restauração). Rodando a validação de cada um…

Verificador de completude de SOPs: SOP-001 PASS — inclui finalidade, escopo, papéis, procedimento passo a passo, critérios de escalação e controles relacionados (A.5.15, A.5.18). SOP-002 PASS — cobre todos os níveis de severidade de incidentes com árvores de decisão. SOP-003 WARNING — os passos de restauração referenciam “procedimento do Console GCP” sem especificar caminhos de navegação exatos. Expandi os passos com comandos específicos do GCP e caminhos no console. Re-verificação: PASS.

O índice de SOPs agora rastreia todos os 24 procedimentos requeridos com status de conclusão e datas de última revisão.

Você: Documente nossos princípios de arquitetura segura com base no stack tecnológico da CloudSync.

Agente: Redigi um catálogo de princípios de arquitetura segura adaptado à plataforma SaaS da CloudSync baseada em GCP. O catálogo cobre 10 categorias: segmentação de rede, autenticação e controle de acesso, proteção de dados em repouso e em trânsito, design seguro de APIs, logging e monitoramento, gestão de segredos, segurança de containers, infraestrutura como código, resiliência e integridade da cadeia de fornecedores. Vou validar.

Verificação de cobertura de princípios de arquitetura: PASS. Todas as 10 categorias possuem princípios documentados com orientação de implementação específica para o seu stack — por exemplo, segmentação de rede referencia design de VPC do GCP com acesso privado a serviços, e gestão de segredos referencia a integração existente de Okta + GCP Secret Manager do perfil da organização.

Cada princípio está referenciado aos controles aplicáveis do Anexo A e às políticas relevantes geradas no Passo 7.

Você: Configure o framework de monitoramento e avaliação do nosso ISMS.

Agente: Construí o Registro de Objetivos de SI conforme a Cláusula 6.2, com 6 objetivos de segurança mensuráveis, cada um vinculado a políticas específicas do ISMS e decisões de tratamento de riscos. Vou validar.

Verificador de completude de objetivos: PASS. Todos os 6 objetivos possuem métricas, metas, métodos de medição, prazos e owners responsáveis definidos. Exemplo: “Reduzir tempo médio de correção de vulnerabilidades críticas para menos de 72 horas até o 3T/2026” — métrica: MTTP, meta: <72h, fonte: alertas de segurança do GitHub, owner: João Silva.

Também gerei 8 KPIs alinhados aos objetivos do ISMS. Vou validar o rastreamento de CAPA.

Geração de KPIs: PASS. Cada KPI tem métrica definida, meta, frequência de medição, fonte de dados e owner responsável. Exemplos: “Porcentagem de revisões de acesso concluídas no prazo” (meta: 100 %, trimestral, fonte: logs de auditoria do Okta, owner: Maria Santos).

Completude de CAPA: WARNING. Dois dos três achados de auditoria (Finding 01 e Finding 02) possuem registros CAPA completos — causa raiz, ação corretiva, owner, prazo e critérios de efetividade. O Finding 03 (verificação de backups) tem causa raiz e ação corretiva definidos, mas está sem critérios de verificação de efetividade. Sinalizei para completar.

Reconciliação NC–CAPA de auditoria: o reconciliador cruzou o relatório de auditoria interna com o log de CAPA. Todas as 3 NCs de auditoria (NC‑001 a NC‑003) possuem entradas CAPA correspondentes. Ele também verificou os controles reprovados no relatório de monitoramento — a métrica de revisão de acesso (72 % de conclusão vs. meta de 100 %) foi corretamente vinculada à CAPA‑001. Nenhum achado órfão.

Rastreamento de ações corretivas: PASS. Todos os CAPAs têm owners atribuídos e prazos dentro de 90 dias da data do achado.

Você: Crie o plano de continuidade de negócios para a CloudSync Solutions.

Agente: Realizei uma Análise de Impacto no Negócio com base no inventário de ativos e no perfil da organização. A BIA identificou 5 processos de negócio críticos: disponibilidade da plataforma SaaS, processamento de dados de clientes, processamento de pagamentos (Stripe), serviços de autenticação (Okta) e comunicações internas (Google Workspace). Vou construir o BCP e validar.

Redigi o BCP com procedimentos de recuperação para cada processo crítico, mais um Plano de Recuperação de Desastres separado para a infraestrutura GCP. Rodando a validação…

Validador de RTO/RPO do BCP: PASS. Todos os 5 processos críticos possuem metas de RTO e RPO definidas, consistentes com os SLAs contratuais. Plataforma SaaS: RTO 4 horas, RPO 1 hora. Processamento de pagamentos: RTO 2 horas, RPO 0 (replicação em tempo real via Stripe). Um aviso: o plano de DR referencia failover multi-região, mas o perfil da organização lista apenas uma única região GCP — considere documentar a região secundária planejada.

Verificador de registros de exercícios: WARNING. O template de registro de exercícios está completo, mas nenhum exercício foi conduzido ainda. Criei um cronograma para o primeiro exercício tabletop (2T/2026) e um teste completo de DR (3T/2026), ambos com critérios de sucesso definidos e listas de participantes.

Você: Crie o relatório de auditoria interna do nosso ISMS.

Agente: Preparei o plano de auditoria para 20–24 de março de 2026, com Carlos Mendes, do time de Qualidade, como auditor líder. Vou rodar a checagem de imparcialidade.

Validação de imparcialidade: PASS. Carlos Mendes não possui responsabilidades operacionais, de gestão ou de desenho do ISMS — independência confirmada.

Completei o checklist de auditoria para todas as cláusulas e controles do Anexo A. Foram identificados três achados:

Finding 01 (Evidências de revisão de acesso, A.5.15): Não conformidade menor. A Política de Controle de Acesso exige revisões trimestrais, mas não há registros do 1T/2026. Causa raiz: a transição para Okta foi concluída, porém os fluxos de revisão ainda não foram agendados.

Finding 02 (Procedimento de gestão de incidentes, A.5.24): Não conformidade menor. O PROC‑003 está em rascunho e não contempla passos específicos para incidentes em ambiente SaaS.

Finding 03 (Verificação de backups, A.8.13): Não conformidade maior. Existem backups em GCP, mas não há registros de testes de restauração. A suposição de que serviços gerenciados garantem integridade sem verificação manual é insuficiente.

Você: Compile o pacote de insumos para a revisão pela direção.

Agente: Compilei o input pack com referências rastreáveis para todos os artefatos do workspace. O verificador de insumos obrigatórios confirmou que os 10 itens da Cláusula 9.3 estão cobertos.

Também validei que cada ação definida na revisão tem owner, prazo e critério de aceitação — todas as checagens passaram.

Você: Rode o dashboard de rastreabilidade para verificar a consistência geral do ISMS.

Agente: Escaneei o workspace e verifiquei todos os 11 vínculos de rastreabilidade. Eis os resultados.

Progresso de implementação:

• Fase Plan (Cláusulas 4–6): 6/6 documentos completos
• Fase Do (Cláusulas 7–8): 16 políticas, SOPs, registro legal, NDAs, BCP e princípios de arquitetura encontrados
• Fase Check (Cláusula 9): 2/2 documentos completos
• Fase Act (Cláusula 10): 3/3 documentos completos

Vínculos de rastreabilidade: 9 de 11 vínculos estão plenamente consistentes. 2 alertas encontrados:

1. SoA → Políticas: 3 controles incluídos citam arquivos de evidência que foram modificados após a última atualização da SoA — talvez seja necessário atualizar a SoA para refletir o conteúdo atual das políticas.
2. Tratamento de riscos → Políticas: R‑06 (vulnerabilidades em APIs) tem tratamento “Tratar” com controles A.8.25–A.8.26, mas o Procedimento de Desenvolvimento Seguro que o implementa ainda não existe.

Prontidão para auditoria: 91 % — resolva os 2 alertas antes do Stage 1.

Agente: Completei o registro de riscos com 8 entradas. Rodando a suíte de validação…

O validador de cobertura ativo–risco encontrou uma lacuna: AST‑008 (Cofre de chaves de API, classificado como Confidencial) aparece no inventário de ativos, mas não tem entrada correspondente no registro de riscos. Isso é um sinal vermelho para o auditor — um ativo Confidencial sem avaliação de risco sugere análise incompleta.

Adicionei o risco R‑08: “Extração não autorizada de chaves de API do cofre de segredos” (Probabilidade: 4, Impacto: 5, Score: 20, Tratamento: Tratar, Controles: A.5.17, A.8.24).

Agora rodando o verificador de consistência da SoA com o registro de riscos atualizado…

O verificador confirmou que A.5.17 (Informações de autenticação) e A.8.24 (Uso de criptografia) estão marcados como aplicáveis na SoA — consistente com a nova entrada de risco. Porém, sinalizou que o campo de evidência de implementação de A.8.24 contém “[TBD]” — um placeholder que precisa ser substituído por uma referência real de política.

Atualizei a evidência de A.8.24 para referenciar a “Seção de Controles Criptográficos” na Política de Segurança da Informação. Rodando novamente… PASS.