CIS
CIS
Compliance standard for information security.
Total Requirements
22
defined requirements
Mapped Controls
28
control mappings
Overall Compliance
67.9%
19/28 controls compliant
Related Risks
13
9 critical · 3 high
Compliance by Framework
Qriar IAM Security Framework
28 mapped controls
Assessment: Assessment 2026 v0.10
19 Compliant
9 Partial
0 Non-Compliant
Compliance Trend
Requirements Coverage
4.2
Estações de Trabalho Administrativas Dedicadas
1 controls
Estabelecer e manter estações de trabalho de administração dedicadas para tarefas administrativas.
| ID | Description | Reference |
|---|---|---|
| PAM-006 | Exigir Estações de Acesso Privilegiado (PAW) dedicadas para acessar consoles de ... | 4.2 |
4.3
Uso de Contas de Emergência
1 controls
Criar e manter contas de administrador de emergência que são usadas apenas quando necessário e monitoradas.
| ID | Description | Reference |
|---|---|---|
| PAM-005 | 2 contas de Emergência (Break Glass) monitoradas, cloud-only, fora do MFA e com ... | 4.3 |
4.7
Gestão de Contas de Serviço
1 controls
Gerenciar contas de serviço para garantir que sejam únicas e tenham privilégios mínimos.
| ID | Description | Reference |
|---|---|---|
| AUTH-005 | Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... | 4.7 |
4.8
Desativar Autenticação Legada
1 controls
Desativar protocolos de autenticação legados que não suportam MFA.
| ID | Description | Reference |
|---|---|---|
| AUTH-007 | Desabilitar protocolos legados (Basic Auth: POP3, IMAP, SMTP) globalmente. | 4.8 |
5.1
Inventário de Contas
1 controls
Estabelecer e manter um inventário de todas as contas gerenciadas na empresa.
| ID | Description | Reference |
|---|---|---|
| JML-001 | Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... | 5.1 |
5.2
Usar Senhas Únicas
2 controls
Usar senhas únicas para todas as contas empresariais.
| ID | Description | Reference |
|---|---|---|
| AUTH-004 | Verificação de senhas banidas em tempo real contra listas globais (pwned) e dici... | 5.2 |
| MON-002 | Bloqueio automático baseado em Risco (User/Sign-in Risk) para eventos de alto ri... | 5.2 |
5.3
Desativar Contas Dormentes
1 controls
Excluir ou desativar quaisquer contas dormentes após um período de inatividade.
| ID | Description | Reference |
|---|---|---|
| JML-005 | Deteção de contas órfãs (Reconciliação): Comparar AD vs. RH semanalmente para ac... | 5.3 |
5.4
Restringir Privilégios de Administrador
4 controls
Restringir privilégios de administrador a contas de administrador dedicadas em ativos empresariais.
| ID | Description | Reference |
|---|---|---|
| PAM-001 | Eliminar privilégios permanentes (Zero Standing Privileges). Acesso Admin apenas... | 5.4 |
| PAM-002 | Separar contas: adm-user (sem email/web) para gestão e user para uso diário. | 5.4 |
| PAM-004 | Implementar Modelo de Camadas (Tiering/Red Forest): Admins Tier 0 nunca logan em... | 5.4 |
| MON-004 | Alertas P1 para mudanças em grupos Tier 0 (Global/Domain Admins) com notificação... | 5.4 |
5.5
Gestão de Senhas de Admin Local
1 controls
Usar uma solução automatizada para gerenciar senhas de administrador local únicas em ativos empresariais.
| ID | Description | Reference |
|---|---|---|
| PAM-003 | Remover Admin Local e usar LAPS para senhas únicas e rotacionadas por estação. | 5.5 |
6.1
Processo de Concessão de Acesso
1 controls
Estabelecer e seguir um processo para conceder acesso a ativos empresariais e software.
| ID | Description | Reference |
|---|---|---|
| JML-001 | Automatizar aprovisionamento 'Birthright' via RH, criando contas desativadas até... | 6.1 |
6.2
Processo de Revogação de Acesso
1 controls
Estabelecer e seguir um processo para revogar acesso a ativos empresariais e software.
| ID | Description | Reference |
|---|---|---|
| AUTH-003 | Configurar Smart Lockout: Bloquear ator da ameaça (IP), não a conta do usuário (... | 6.2 |
6.3
Exigir MFA para Aplicações
1 controls
Exigir que todas as aplicações empresariais acessadas externamente usem autenticação multifator.
| ID | Description | Reference |
|---|---|---|
| AUTH-002 | Impor MFA para todos os usuários com Number Matching para mitigar fadiga de MFA. | 6.3 |
6.4
Exigir MFA para Acesso Remoto
1 controls
Exigir MFA para acesso remoto à rede.
| ID | Description | Reference |
|---|---|---|
| AUTH-001 | Impor MFA Resistente a Phishing (FIDO2/CBA) para todas as contas administrativas... | 6.4 |
6.5
Exigir MFA para Acesso Administrativo
2 controls
Exigir MFA para todo acesso administrativo a ativos empresariais.
| ID | Description | Reference |
|---|---|---|
| JML-002 | Gatilho de revisão em transferências: Mudança de cargo no RH inicia recertificaç... | 6.5 |
| JML-003 | Automatizar 'Kill Switch' de saída: Bloqueio e revogação de tokens em <15 min ap... | 6.5 |
6.6
Centralizar Controle de Acesso
2 controls
Usar serviços de diretório centralizado para controle de acesso a ativos empresariais.
| ID | Description | Reference |
|---|---|---|
| AUTH-005 | Bloquear login interativo e rotacionar segredos de Contas de Serviço a cada 90 d... | 6.6 |
| MON-005 | Monitorizar anomalias em Service Principals (volume de leitura, IPs novos, horár... | 6.6 |
6.7
Restringir Acesso de Terceiros
1 controls
Configurar controles de acesso para usuários de fornecedores e parceiros.
| ID | Description | Reference |
|---|---|---|
| JML-006 | Prazo de validade (TTL) rígido para contas de convidados (B2B), exigindo renovaç... | 6.7 |
6.8
Definir e Manter RBAC
1 controls
Definir e manter controle de acesso baseado em função (RBAC).
| ID | Description | Reference |
|---|---|---|
| JML-004 | Campanhas trimestrais de Certificação de Acesso com revogação automática se não ... | 6.8 |
8.2
Coleta de Logs de Auditoria
1 controls
Coletar logs de auditoria de ativos empresariais.
| ID | Description | Reference |
|---|---|---|
| MON-001 | Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... | 8.2 |
8.10
Reter Logs de Auditoria
1 controls
Reter logs de auditoria conforme exigido pelo framework de conformidade da empresa.
| ID | Description | Reference |
|---|---|---|
| MON-001 | Centralizar Logs de Auditoria/Sign-in em SIEM. Retenção: 90 dias (quente) / 365 ... | 8.10 |
13.6
Coletar Logs de Fluxo de Rede
1 controls
Coletar logs de fluxo de tráfego de rede e/ou tráfego de rede para revisar e alertar.
| ID | Description | Reference |
|---|---|---|
| MON-003 | Alertar consentimentos de Apps OAuth ilícitas ou de alto privilégio não verifica... | 13.6 |
14.2
Treinamento em Identificação de Ataques
1 controls
Treinar membros da força de trabalho para identificar ataques de engenharia social.
| ID | Description | Reference |
|---|---|---|
| MON-006 | Feedback do usuário ('Não fui eu') no MFA gera incidente de segurança imediato n... | 14.2 |
16.11
Limitar Acesso a Dados Sensíveis
1 controls
Limitar o acesso a dados sensíveis com base na necessidade de conhecimento.
| ID | Description | Reference |
|---|---|---|
| AUTH-006 | Forçar re-autenticação para ações críticas (ex: ver dados sensíveis) independent... | 16.11 |
Risk Exposure
Risk Distribution
Educational Content
Standard Overview
Compliance standard for information security.
How Compliance is Calculated
Compliance is calculated based on the maturity level of each control mapped to this standard. Controls with maturity level 3 or above are considered compliant. The overall compliance percentage represents the ratio of compliant controls to total mapped controls.
- Compliant: Maturity level 3 or above
- Partial: Maturity level 1-2
- Non-compliant: Maturity level 0 (not implemented)
Best Practices for Implementation
- Conduct a gap analysis to identify areas needing improvement
- Prioritize controls based on risk assessment results
- Establish clear ownership and accountability for each control
- Implement continuous monitoring and regular reviews
- Document evidence of compliance for audit readiness
- Train staff on security awareness and standard requirements