Pular para o conteúdo principal

Gap Analysis ISO 27701

📥Download deste documento em formato editávelDOCX
Recomendado

Versão: 1.0 Data da Análise: [PREENCHER_DATA] Analista: [PREENCHER_NOME] Próxima Revisão: [PREENCHER_DATA]

1. Objetivo

Este documento apresenta a análise de gaps entre as práticas atuais da organização e os requisitos da norma ISO/IEC 27701:2019, que estende a ISO 27001 e ISO 27002 para incluir requisitos específicos de gestão de informações de privacidade (PIMS - Privacy Information Management System).

2. Sobre a ISO 27701

2.1 Visão Geral

ItemDescrição
NormaISO/IEC 27701:2019
TítuloTécnicas de segurança — Extensão à ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de privacidade
TipoExtensão certificável
Pré-requisitosISO 27001 implementada ou em implementação
AplicaçãoControladores e/ou Operadores de dados

2.2 Estrutura da Norma

SeçãoConteúdoAplicabilidade
5Requisitos específicos PIMS relacionados à ISO 27001Todos
6Orientações específicas PIMS relacionadas à ISO 27002Todos
7Orientações adicionais para controladores (PII Controllers)Controladores
8Orientações adicionais para operadores (PII Processors)Operadores
Anexo AControles específicos para controladoresControladores
Anexo BControles específicos para operadoresOperadores

2.3 Papel da Organização

Papel LGPDPapel ISO 27701Anexo Aplicável
ControladorPII ControllerAnexo A (+ Seção 7)
OperadorPII ProcessorAnexo B (+ Seção 8)
Papel Principal

Esta organização atua predominantemente como OPERADOR (PII Processor) de dados pessoais, portanto o foco principal da análise está no Anexo B e Seção 8 da norma.

3. Pré-requisitos

3.1 Status da ISO 27001

RequisitoStatusObservações
ISO 27001 certificada[SIM/NÃO/EM ANDAMENTO][DATA/PREVISÃO]
SGSI implementado[SIM/NÃO/PARCIAL]
Auditoria interna realizada[SIM/NÃO][DATA]
Análise crítica pela direção[SIM/NÃO][DATA]

3.2 Gaps Críticos na ISO 27001

GapImpacto na 27701Ação Necessária
[GAP 1][IMPACTO][AÇÃO]
[GAP 2][IMPACTO][AÇÃO]

4. Metodologia de Análise

4.1 Escala de Avaliação

NívelDescriçãoCritério
0 - InexistenteControle não existeNenhuma evidência
1 - InicialControle ad hocPráticas informais
2 - RepetívelControle parcialmente documentadoAlguma documentação
3 - DefinidoControle documentado e implementadoPolítica + processo
4 - GerenciadoControle monitorado e medidoMétricas definidas
5 - OtimizadoMelhoria contínuaCiclo PDCA completo

4.2 Classificação de Gaps

ClassificaçãoDescriçãoPrazo Sugerido
CríticoAusência de controle obrigatório30 dias
AltoControle parcialmente implementado60 dias
MédioControle implementado, documentação insuficiente90 dias
BaixoMelhorias de otimização180 dias

5. Análise de Gaps - Seção 5 (Requisitos PIMS)

5.1 Contexto da Organização (5.2)

RequisitoDescriçãoNível AtualGapPrioridade
5.2.1Entendimento da organização e seu contexto[0-5][DESCRIÇÃO][PRIORIDADE]
5.2.2Entendimento das necessidades das partes interessadas[0-5][DESCRIÇÃO][PRIORIDADE]
5.2.3Determinação do escopo do PIMS[0-5][DESCRIÇÃO][PRIORIDADE]
5.2.4Sistema de Gestão de Informações de Privacidade[0-5][DESCRIÇÃO][PRIORIDADE]

5.2 Liderança (5.3)

RequisitoDescriçãoNível AtualGapPrioridade
5.3.1Liderança e comprometimento[0-5][DESCRIÇÃO][PRIORIDADE]
5.3.2Política[0-5][DESCRIÇÃO][PRIORIDADE]
5.3.3Papéis, responsabilidades e autoridades[0-5][DESCRIÇÃO][PRIORIDADE]

5.3 Planejamento (5.4)

RequisitoDescriçãoNível AtualGapPrioridade
5.4.1.2Avaliação de riscos de privacidade[0-5][DESCRIÇÃO][PRIORIDADE]
5.4.1.3Tratamento de riscos de privacidade[0-5][DESCRIÇÃO][PRIORIDADE]

5.4 Suporte (5.5)

RequisitoDescriçãoNível AtualGapPrioridade
5.5.1Recursos[0-5][DESCRIÇÃO][PRIORIDADE]
5.5.2Competência[0-5][DESCRIÇÃO][PRIORIDADE]
5.5.3Conscientização[0-5][DESCRIÇÃO][PRIORIDADE]
5.5.4Comunicação[0-5][DESCRIÇÃO][PRIORIDADE]
5.5.5Informação documentada[0-5][DESCRIÇÃO][PRIORIDADE]

5.5 Operação (5.6)

RequisitoDescriçãoNível AtualGapPrioridade
5.6.1Planejamento e controle operacional[0-5][DESCRIÇÃO][PRIORIDADE]
5.6.2Avaliação de riscos de privacidade[0-5][DESCRIÇÃO][PRIORIDADE]
5.6.3Tratamento de riscos de privacidade[0-5][DESCRIÇÃO][PRIORIDADE]

5.6 Avaliação de Desempenho (5.7)

RequisitoDescriçãoNível AtualGapPrioridade
5.7.1Monitoramento, medição, análise e avaliação[0-5][DESCRIÇÃO][PRIORIDADE]
5.7.2Auditoria interna[0-5][DESCRIÇÃO][PRIORIDADE]
5.7.3Análise crítica pela direção[0-5][DESCRIÇÃO][PRIORIDADE]

5.7 Melhoria (5.8)

RequisitoDescriçãoNível AtualGapPrioridade
5.8.1Não conformidade e ação corretiva[0-5][DESCRIÇÃO][PRIORIDADE]
5.8.2Melhoria contínua[0-5][DESCRIÇÃO][PRIORIDADE]

6. Análise de Gaps - Seção 6 (Orientações ISO 27002)

6.1 Resumo por Domínio

DomínioControlesConformesParciaisNão Conformes%
6.3 Organizacionais[X][X][X][X][XX]%
6.4 Pessoas[X][X][X][X][XX]%
6.5 Físicos[X][X][X][X][XX]%
6.6 Tecnológicos[X][X][X][X][XX]%
Total[X][X][X][X][XX]%

6.2 Principais Gaps Identificados

ControleDescriçãoGapPrioridade
6.X.X[DESCRIÇÃO][GAP][PRIORIDADE]
6.X.X[DESCRIÇÃO][GAP][PRIORIDADE]
6.X.X[DESCRIÇÃO][GAP][PRIORIDADE]

7. Análise de Gaps - Seção 8 (Orientações para Operadores)

Foco Principal

Esta seção é obrigatória para a organização como operador de dados pessoais.

7.1 Condições para Coleta e Processamento (8.2)

ControleDescriçãoNívelGapPrioridade
8.2.1Acordo com o cliente[0-5][DESCRIÇÃO][PRIORIDADE]
8.2.2Propósitos da organização[0-5][DESCRIÇÃO][PRIORIDADE]
8.2.3Uso de marketing e publicidade[0-5][DESCRIÇÃO][PRIORIDADE]
8.2.4Instruções infracionais[0-5][DESCRIÇÃO][PRIORIDADE]
8.2.5Obrigações do cliente[0-5][DESCRIÇÃO][PRIORIDADE]
8.2.6Registros relacionados ao tratamento[0-5][DESCRIÇÃO][PRIORIDADE]

7.2 Obrigações para com Titulares (8.3)

ControleDescriçãoNívelGapPrioridade
8.3.1Obrigações para com titulares[0-5][DESCRIÇÃO][PRIORIDADE]

7.3 Privacy by Design e Default (8.4)

ControleDescriçãoNívelGapPrioridade
8.4.1Limitação de coleta[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.2Limitação de processamento[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.3Precisão e qualidade[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.4Objetivos de minimização[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.5Desidentificação e eliminação no fim do processamento[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.6Arquivos temporários[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.7Retenção[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.8Descarte[0-5][DESCRIÇÃO][PRIORIDADE]
8.4.9Controles de transmissão[0-5][DESCRIÇÃO][PRIORIDADE]

7.4 Compartilhamento, Transferência e Divulgação (8.5)

ControleDescriçãoNívelGapPrioridade
8.5.1Base para transferência entre jurisdições[0-5][DESCRIÇÃO][PRIORIDADE]
8.5.2Países e organizações para transferência[0-5][DESCRIÇÃO][PRIORIDADE]
8.5.3Registros de divulgação para terceiros[0-5][DESCRIÇÃO][PRIORIDADE]
8.5.4Notificação de solicitações de divulgação[0-5][DESCRIÇÃO][PRIORIDADE]
8.5.5Divulgações legalmente obrigatórias[0-5][DESCRIÇÃO][PRIORIDADE]
8.5.6Divulgação de subcontratados[0-5][DESCRIÇÃO][PRIORIDADE]
8.5.7Contratação de subcontratado[0-5][DESCRIÇÃO][PRIORIDADE]
8.5.8Mudança de subcontratado[0-5][DESCRIÇÃO][PRIORIDADE]

8. Análise de Gaps - Anexo B (Controles para Operadores)

8.1 Resumo do Anexo B

SeçãoControlesConformesParciaisNão Conformes
B.8.2[X][X][X][X]
B.8.3[X][X][X][X]
B.8.4[X][X][X][X]
B.8.5[X][X][X][X]
Total[X][X][X][X]

8.2 Detalhamento de Gaps Críticos

IDControleRequisitoGap IdentificadoEvidência Necessária
B.8.2.1Acordo com clienteDPA documentado[GAP]DPA assinado
B.8.2.6Registros de tratamentoROPA mantido[GAP]ROPA atualizado
B.8.4.7RetençãoPolítica de retenção[GAP]Política documentada
B.8.5.7SubcontratadosContratos com suboperadores[GAP]DPAs com terceiros

9. Resumo Consolidado de Gaps

9.1 Visão Geral

CategoriaTotal RequisitosConformesGap CríticoGap AltoGap MédioGap Baixo
Seção 5 (PIMS)[X][X][X][X][X][X]
Seção 6 (ISO 27002)[X][X][X][X][X][X]
Seção 8 (Operador)[X][X][X][X][X][X]
Anexo B[X][X][X][X][X][X]
Total[X][X][X][X][X][X]

9.2 Nível de Conformidade Atual

Conformidade ISO 27701
────────────────────────────────────────────────
█████████████████████░░░░░░░░░░  [XX]%
────────────────────────────────────────────────
Meta para Certificação: 100%

9.3 Top 10 Gaps Prioritários

#SeçãoControleDescriçãoPrioridadeEsforço
1[X.X][ID][DESCRIÇÃO]Crítico[ALTO/MÉDIO/BAIXO]
2[X.X][ID][DESCRIÇÃO]Crítico[ALTO/MÉDIO/BAIXO]
3[X.X][ID][DESCRIÇÃO]Alto[ALTO/MÉDIO/BAIXO]
4[X.X][ID][DESCRIÇÃO]Alto[ALTO/MÉDIO/BAIXO]
5[X.X][ID][DESCRIÇÃO]Alto[ALTO/MÉDIO/BAIXO]
6[X.X][ID][DESCRIÇÃO]Médio[ALTO/MÉDIO/BAIXO]
7[X.X][ID][DESCRIÇÃO]Médio[ALTO/MÉDIO/BAIXO]
8[X.X][ID][DESCRIÇÃO]Médio[ALTO/MÉDIO/BAIXO]
9[X.X][ID][DESCRIÇÃO]Baixo[ALTO/MÉDIO/BAIXO]
10[X.X][ID][DESCRIÇÃO]Baixo[ALTO/MÉDIO/BAIXO]

10. Plano de Ação

10.1 Fase 1 - Gaps Críticos (30 dias)

#GapAçãoResponsávelPrazoRecursosStatus
1[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]
2[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]
3[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]

10.2 Fase 2 - Gaps Altos (60 dias)

#GapAçãoResponsávelPrazoRecursosStatus
1[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]
2[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]
3[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]

10.3 Fase 3 - Gaps Médios (90 dias)

#GapAçãoResponsávelPrazoRecursosStatus
1[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]
2[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]

10.4 Fase 4 - Otimização (180 dias)

#GapAçãoResponsávelPrazoRecursosStatus
1[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]
2[GAP][AÇÃO][NOME][DATA][RECURSOS][ ]

11. Cronograma para Certificação

11.1 Timeline

FaseAtividadeInícioTérminoDependências
1Gap Analysis (este documento)[DATA][DATA]-
2Remediação de gaps críticos[DATA][DATA]Fase 1
3Remediação de gaps altos[DATA][DATA]Fase 2
4Documentação e evidências[DATA][DATA]Fases 2-3
5Auditoria interna[DATA][DATA]Fase 4
6Correção de não conformidades[DATA][DATA]Fase 5
7Análise crítica pela direção[DATA][DATA]Fase 6
8Auditoria de certificação - Fase 1[DATA][DATA]Fase 7
9Correções pós-auditoria Fase 1[DATA][DATA]Fase 8
10Auditoria de certificação - Fase 2[DATA][DATA]Fase 9
11Certificação esperada[DATA]-Fase 10

11.2 Marcos (Milestones)

MarcoData AlvoCritério de Sucesso
Gaps críticos resolvidos[DATA]0 gaps críticos
Pronto para auditoria interna[DATA]> 80% conformidade
Auditoria interna OK[DATA]Não conformidades menores apenas
Pronto para certificação[DATA]> 95% conformidade
Certificado obtido[DATA]Certificado emitido

12. Recursos Necessários

12.1 Investimento Estimado

ItemValor EstimadoObservações
Consultoria especializadaR$ [VALOR]Gap analysis + implementação
TreinamentosR$ [VALOR]Equipe interna
Ferramentas/SistemasR$ [VALOR]Se necessário
Auditoria de certificaçãoR$ [VALOR]Organismo certificador
Contingência (15%)R$ [VALOR]
TotalR$ [VALOR]

12.2 Recursos Humanos

FunçãoDedicaçãoResponsabilidades
Gerente de Projeto[XX]%Coordenação geral
DPO[XX]%Liderança técnica
CISO[XX]%Alinhamento com SGSI
Analistas[XX]%Implementação
Consultores externos[XX]%Apoio especializado

13. Riscos do Projeto

RiscoProbabilidadeImpactoMitigação
Atraso na ISO 27001[ALTA/MÉDIA/BAIXA][ALTO/MÉDIO/BAIXO][MITIGAÇÃO]
Falta de recursos[ALTA/MÉDIA/BAIXA][ALTO/MÉDIO/BAIXO][MITIGAÇÃO]
Não conformidades críticas[ALTA/MÉDIA/BAIXA][ALTO/MÉDIO/BAIXO][MITIGAÇÃO]
Mudanças na norma[ALTA/MÉDIA/BAIXA][ALTO/MÉDIO/BAIXO][MITIGAÇÃO]

14. Aprovações

FunçãoNomeAssinaturaData
Analista[PREENCHER]_______________//___
DPO[PREENCHER]_______________//___
CISO[PREENCHER]_______________//___
Sponsor Executivo[PREENCHER]_______________//___

15. Controle de Versões

VersãoDataAutorAlterações
1.0[DATA][NOME]Versão inicial

Anexos

Anexo I - Mapeamento LGPD x ISO 27701

Artigo LGPDRequisitoControle ISO 27701
Art. 37ROPA8.2.6, B.8.2.6
Art. 38RIPD5.4.1.2, 5.4.1.3
Art. 39OperadorSeção 8, Anexo B
Art. 41DPO5.3.3, 6.3.1.1
Art. 46SegurançaSeção 6
Art. 48Incidentes6.13.1
Art. 50GovernançaSeção 5

Anexo II - Documentos de Referência

  • ISO/IEC 27701:2019
  • ISO/IEC 27001:2022
  • ISO/IEC 27002:2022
  • Lei 13.709/2018 (LGPD)
  • ROPA atual
  • Políticas de segurança e privacidade

Este gap analysis deve ser revisado sempre que houver mudanças significativas no escopo, na norma ou no status de implementação.