Tipos de
Auditoria
As
Resoluções 01, 02 e 08 definem os seguintes tipos de
auditoria a serem realizadas nas entidades da ICP-
Brasil:
Pré-operacional
- realizada antes de a entidade ingressar na ICP-Brasil; pode ter
como resultado:
-
Autorização do credenciamento da
entidade
-
Não autorização do
credenciamento
Operacional
- realizada anualmente ou a qualquer momento, se houver suspeitas
de irregularidades; pode ter como resultado:
-
Manutenção do credenciamento da
entidade;
-
Suspensão da emissão de certificados
pela entidade, até a correção das irregularidades
verificadas;
-
Descredenciamento da entidade;
-
Substituição / treinamento de
pessoal;
Executores das
Auditorias
As
Resoluções também definem quem realiza as auditorias
em cada uma das entidades:
É
importante também frisar que:
-
As auditorias devem ser realizadas por
técnicos com comprovada experiência nas áreas de
segurança da informação (ambientes físico e
lógico), criptografia, infra-estrutura de chaves pública
e sistemas críticos;
-
Os auditores devem ser totalmente independentes da
entidade auditada, aplicando-se, no que couber, as regras de
suspeição e impedimento estabelecidas nos artigos 134 e
135 do Código de Processo Civil.