o objetivo desta obra é apresentar um método de mensuração dos níveis de maturidade dos controles de segurança da informação (si), utilizados nas empresas, com um conjunto de controles e avaliação dos riscos, sugeridos por um código de prática na gestão da si. as empresas participantes responderam a um questionário, contendo dimensões de controles da si e gestão de riscos. os controles utilizados nas organizações foram submetidos a uma avaliação a partir da análise da vulnerabilidade, ameaças e impacto com base em critérios definidos. estes critérios associados a uma escala de qualificação e valores permitem calcular e classificar o nível do risco, os valores encontrados foram comparados a uma tabela de qualificação do nível do risco, determinando o nível de maturidade do controle a partir da escala de maturidade de um framework. por fim calculou-se a média geral do grupo de controles do código de prática para a gestão da si. o método apresentou um resultado satisfatório e mostrou que alguns desses itens de controle não atingiam o nível de conformidade esperado pelas organizações, evidenciando a necessidade de se corrigir e melhorar a aplicação dos controles avaliados e revisar o plano de continuidade do negócio. o diferencial do método está na praticidade da aplicação, com padrões quantitativos e qualitativos, simples e específicos, mas sem deixar de ser estratégico, atendendo aos objetivos.