Escolar Documentos
Profissional Documentos
Cultura Documentos
1.
OBJETIVO
APLICAO
consulta no BD.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 1
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
Template Planilha de Riscos por Processo (PRP), projetado em MS-Excel, praticamente uma
cpia do BDR, sendo que ao invs da PCAR, tem a planilha Riscos por Processo (RP), onde sero
identificados os riscos e seus detalhes do processo. Na RP onde ficam as informaes pertinentes
gesto de riscos por processo, e formado pelas seguintes planilhas, com os respectivos
contedos:
1. Planilha de Riscos do Processo (RP) Planilha editvel contendo: Cdigo do processo; cdigo e
descrio do ativo; cdigo, descrio e valor da ameaa; cdigo, descrio e valor da
vulnerabilidade; cenrio do incidente e probabilidade de ocorrer o incidente; consequncia e
valor do impacto.
2. Planilha de Ativos Planilha auxiliar no editvel contendo: Cdigo, descrio, host, virtual
host, aplicaes, servios, classe, valor do ativo e proprietrio;
3. Planilha de Classe de Ativos Planilha auxiliar no editvel contendo: Cdigo e nome da classe
do ativo;
4. Planilha de Processos Planilha auxiliar no editvel contendo: Cdigo, nome e descrio do
processo, local em que usado e gestor;
5. Planilha de Ameaas Planilha auxiliar no editvel contendo: Cdigo, tipo, descrio da
ameaa e motivao;
6. Planilha de Tipos de Ameaa Planilha auxiliar no editvel contendo: Cdigo, tipo, descrio
do tipo da ameaa;
7. Planilha de Vulnerabilidades Planilha auxiliar no editvel contendo: Cdigo, tipo, descrio
da vulnerabilidade e detalhamento;
Anlise dos Riscos o uso sistemtico de informaes para identificar fontes e estimar o risco. Efetuada
pelo Gestor de Riscos, com a colaborao dos gestores de processos das reas no escopo definido.
Avaliao de riscos o processo de comparar o risco estimado com critrios de risco predefinidos
para determinar a importncia do risco e sua prioridade no tratamento, aps a Anlise dos Riscos.
Ameaa tudo aquilo que tem potencial de causar algum tipo de dano aos ativos. O Gestor de
Riscos manter uma Planilha de Ameaas, encontrada no Banco de Dados de Riscos (BDR) e
uma cpia no TP-CQ-004 Template Planilha de Riscos por Processo para consulta pelas partes
interessadas que tm a responsabilidade de identificar e monitorar os riscos em suas reas de
atuao. Deve-se atribuir uma nota relativa de 1 a 5, conforme tabela 1:
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 2
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
Tabela 1 Graduao de Ameaas
AMEAA
Muito alta
Alta
Mediana
Baixa
Muito baixa
Nota 5
Nota 4
Nota 3
Nota 2
Nota 1
CRITRIO
Com potencial altamente crtico para explorar vulnerabilidades
Com alto potencial para explorar vulnerabilidades
Com potencial considervel para explorar vulnerabilidades
Com baixo potencial de explorar vulnerabilidades
Com baixo ou quase nenhum potencial de explorar vulnerabilidades
Vulnerabilidade uma condio ou situao que pode ser explorada por uma ameaa, acarretando
prejuzo. O Gestor de Riscos manter uma Planilha de Vulnerabilidades para consulta pelas partes
interessadas que tm a responsabilidade de identificar e monitorar os riscos em suas reas de
atuao. Deve-se atribuir uma nota relativa de 1 a 5, conforme tabela 2.
Tabela 2 Graduao de Vulnerabilidades
VULNERABILIDADES
Muito alta
Nota 5
Alta
Nota 4
Moderada
Nota 3
Baixa
Nota 2
Muito baixa
Nota 1
CRITRIO
Exposio mxima ou ausncia total de barreiras
Relevncia alta com tratamento complexo
Relevante com tratamento moderado.
Relevante, com tratamento simples.
Irrelevante, com tratamento muito simples.
Contexto o ambiente interno ou externo no qual a organizao busca atingir seus objetivos, cujos
parmetros devero ser levados em considerao ao gerenciar riscos, alm do estabelecimento do
escopo e dos critrios de risco para a poltica de gesto de riscos.
Controle um mecanismo de proteo ou uma medida que modifica o risco.
Critrios bsicos compreende a abordagem para a gesto de riscos, critrios para a avaliao do
dos riscos, critrios de impacto, de tratamento e aceitao do risco, escopo e organizao para
gesto de riscos.
Escopo a abrangncia do processo de gesto de riscos em relao aos processos de negcio e
ativos considerados.
Evento ou incidente a ocorrncia ou mudana em um conjunto especfico de circunstncias. Um
evento pode consistir em uma ou mais ocorrncias e pode ter vrias causas. A probabilidade de
ocorrer um incidente obtida pelo produto dos graus da ameaa e da vulnerabilidade.
Gestor de Riscos colaborador com vnculo empregatcio designado pela direo da empresa como
administrador do processo contnuo de gesto de riscos, sendo detentor de cargo ou no.
Identificao dos riscos o processo de identificar ameaas, vulnerabilidades e os impactos
decorrentes da ocorrncia de eventos que podem causar efeitos negativos em ativos da organizao.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 3
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
Impacto ou consequncia o efeito do incidente nos objetivos estratgicos ou nos processos de
negcio. Deve-se atribuir uma nota relativa de 1 a 5, conforme tabela 3:
Tabela 3 Graduao de Impacto
IMPACTO
Muito alto
Nota 5
Alto
Nota 4
Mediano
Nota 3
Baixo
Nota 2
Muito baixo
Nota 1
CRITRIO
Compromete grande parte dos objetivos estratgicos definidos no
contexto ou nos objetivos do processo de negcio.
Impacto elevado nos objetivos estratgicos definidos no contexto
podendo comprometer, em parte, o processo de negcio envolvido.
As consequncias nos objetivos estratgicos e nos processos de
negcio so contornveis com esforo razovel.
Pequeno impacto nos objetivos estratgicos e nos processos de
negcio, dependendo de solues razoveis.
Impacto irrelevante nos objetivos estratgicos e nos processos de
negcio podendo ser facilmente resolvido.
Monitoramento dos riscos ser realizado pelo Gestor de Riscos atravs da anlise dos fatores de
risco (valores de ativos, ameaas, vulnerabilidades, controles e probabilidade de ocorrncia). Os
ndices de segurana e de conformidade tambm devero ser recalculados periodicamente, de
acordo com os controles recomendados pela norma ABNT NBR ISO/IEC 27001:2005:
ndice de Segurana (IS) = 100 * RT / RA, onde:
RT a quantidade dos riscos tratados
RA a quantidade de riscos aplicveis.
ndice de Conformidade (IC) = 100 * CI / CA, onde:
CI a quantidade de controles implementados e
CA a quantidade de controles aplicveis.
.
Nvel de Risco obtido pelo produto da nota da probabilidade vezes a nota do impacto. Os valores
possveis so mostrados na Tabela 4, que classifica os riscos por importncia ou severidade [em
vermelho, os riscos altos ( 15), em amarelo, os riscos mdios (entre 8 e 12) e, em verde, os riscos
baixos ( 6)].
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
Probabilidade
DATA:
14/02/14
PGINA: 4
5
4
3
5
4
3
10
8
6
15
12
9
20
16
12
25
20
15
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
2
1
2
1
1
4
2
2
6
3
3
8
4
4
10
5
5
Impacto
PROBABILIDADE
CRITRIO
BILIDADE
20 ou 25
12,15 ou16
8, 9 ou 10
3, 4, 5 ou 6
1 ou 2
Muito alta
Alta
Mdia
Baixa
Muito baixa
Iminncia do incidente.
Alta chance de ocorrncia do incidente.
Possibilidade razovel de ocorrncia do incidente.
Pequena possibilidade de ocorrncia do incidente.
Possibilidade quase imperceptvel de ocorrncia do incidente.
Nota 5
Nota 4
Nota 3
Nota 2
Nota 1
Risco o efeito da incerteza nos objetivos (ABNT ISO GUIA 73: 2009) ou um evento ou
condio incerta que, se ocorrer, ter um efeito positivo ou negativo sobre, pelo menos, um objetivo
do projeto, como tempo, custo, mbito ou qualidade (PMI, PMBOK Guide 2004). Na ZCR,
usaremos o primeiro conceito para os procedimentos de gesto de risco e o segundo para os projetos
submetidos ao processo de Gesto de Mudanas.
De qualquer forma, podemos substituir o termo projeto por processo. Esse efeito positivo ou
negativo ser medido pela probabilidade de ocorrer um incidente vezes o grau de impacto. Essa
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 5
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
medida representa o nvel de risco daquele ativo, sendo classificado como alto, mdio ou baixo,
exatamente como definido na Tabela 4, para efeito de tratamento do risco.
Exemplo de medida de risco Suponha avaliar o risco de interromper o processo de Atendimento a
Clientes num Call Center devido ausncia de atendentes. O cenrio de incidente estudado neste
exemplo causado pela ameaa de greve dos rodovirios e pela vulnerabilidade expressa pelo
percentual de pessoas que tm conduo prpria.
Devido alta frequncia de greves desse tipo em Salvador, a ameaa alta e, considerando que no
setor, metade das pessoas dispe de conduo prpria, a vulnerabilidade ser mdia, logo a
probabilidade (P) de ocorrer o incidente ausncia de atendentes alta = 4 (vide Tabela 3). Se
a ausncia de atendentes, em apenas um dia, pode Comprometer grande parte dos objetivos do
processo de negcio, ento o impacto (I) muito alto = 5 (V. Tabela 1). E o nvel de risco ser
R = P x I = 4 x 5 R = 20.
Risco residual o risco remanescente aps o seu tratamento.
Tratamento do risco o processo de seleo e implementao de medidas ou controles para
modificar um risco. H diversas estratgias para tratamento de um risco. Cabe ao Gestor de Risco
selecionar a estratgia mais adequada em funo do nvel do risco, do tempo mximo para
recuperao da operacionalidade do processo, do valor de reposio do ativo, do conhecimento para
tratar o risco, etc. (Vide Tabela 6 Estratgias para Tratamento dos Riscos).
Critrios de tratamento do risco: Independente dos critrios definidos a seguir, a direo da
empresa poder recomendar o tratamento ou aceitar o risco identificado.
riscos altos, sempre sero tratados. Para o tratamento de riscos de alta severidade (faixa
vermelha da Tabela 4), pode-se adotar mais de uma estratgia, inclusive planos de
contingncia, quando no se consegue reduzir o risco a um nvel aceitvel.
riscos mdios sempre sero tratados de forma que sejam reduzidos a um nvel aceitvel;
riscos baixos sero aceitos, sem tratamento. No entanto, estes riscos podero sofrer algum
tratamento em decorrncia do tratamento de outros riscos de maior severidade. Esses riscos
sero sempre acompanhados pelo gestor de riscos a cada ciclo de AR.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DESCRIO
Remover a sua causa.
DATA:
14/02/14
PGINA: 6
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
ESTRATGIA
Mitigar ou modificar
Acompanhar e
controlar
COD.: PDCIQ006
P.O.: INTERNO
DESCRIO
Tomar aes para reduzir a probabilidade de ocorrer ou reduzir o
impacto do risco.
Observar e, periodicamente, reavaliar as caractersticas do risco,
podendo at alterar sua estratgia de tratamento. Ainda assim, pode-se
ter um plano de contingncia, se necessrio.
Ter conscincia do risco, mas no tomar nenhuma ao. Normalmente
Aceitar
Transferir ou
invivel.
Realocar os requisitos, ainda atendendo as necessidades do cliente,
compartilhar
REVISO: 11
DATA:
14/02/14
PGINA: 7
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
Status o controle de estado do risco, e nunca deve estar vazio. Os possveis status para os riscos
so:
Tabela 7 Status dos riscos
Status
Descrio
Identificado
Em Anlise
Em Tratamento
Aceito
Ocorrido/Residual
Eliminado
4.
RESPONSABILIDADES
4.1. DO GESTOR DE RISCOS
O Gestor de Riscos designado pela Direo da empresa, a quem responder diretamente, e tem
como atribuies: supervisionar os projetos de tratamento dos riscos; revisar permanentemente os
critrios bsicos da gesto de riscos; realizar, a qualquer tempo, novas anlises de riscos; manter o
Banco de Dados de Riscos; comunicar riscos; monitorar os nveis de risco da empresa; e subsidiar
as reunies de anlise crtica.
4.2.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 8
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
5.1.
5.5.
envolvidos.
Elabora ou atualiza a DA-CQ-001-Declarao de Aplicabilidade baseada no Anexo A da
norma ABNT ISO IEC 27001:2005, contendo os objetivos de controle e controles no escopo
definido, os controles existentes (j implementados) e as excluses de controles com as respectivas
justificativas.
5.6. Submete o Plano a parecer do Comit de Segurana da Informao.
5.7. Submete aprovao da Direo da empresa.
5.8. Edita o PL-CQ-001-Plano de Trabalho da Gesto de Riscos com as orientaes para
implantao ou reviso da anlise de riscos e recomendaes consideradas.
5.9. Comunica s partes interessadas.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 9
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
6.
Os procedimentos constantes deste captulo se referem rotina das atividades de gesto de riscos e
podero ser usados integral ou parcialmente em projetos de anlise de risco ad hoc ou em apoio aos
procedimentos da gesto de mudanas.
Os ciclos de anlise de riscos ocorrero pelo menos duas vezes por ano, e/ou caso o Gestor de
Riscos avalie ser necessrio em outros momentos. Os ciclos de anlise de riscos sero planejados e
mantidos pelo SEPG, no cronograma do mesmo, que fica armazenado sob gerncia de configurao
da rea.
6.1.
ANLISE DE RISCOS
O Gestor de Risco:
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 10
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
seguida, lhes d um valor, conforme os critrios predefinidos (Vide probabilidade no
captulo 3 deste documento e tabela 5).
O Gestor do Processo poder considerar novas ameaas e vulnerabilidades e lan-los
nas Tabelas respectivas, mas sempre de forma destacada para que o Gestor de Riscos
possa identificar mais adiante.
6.1.7. Para cada par ameaa-vulnerabilidade, preenche o campo cenrio de incidente com o
evento resultante. A probabilidade calculada automaticamente pela planilha eletrnica, de
acordo com a Tabela 5.
Alguns incidentes podero ser lanados nessa planilha sem que tenham sido
identificadas as respectivas ameaa e vulnerabilidade (vide tabelas 1 e 2), mas neste
caso, o Gestor de Processo dever atribuir uma nota probabilidade de ocorrer aquele
incidente, conforme predefinido (Vide Captulo 3 Probabilidade).
6.1.8. Para cada incidente apontado, descreve as consequncias para o negcio e estima uma nota,
de acordo com os critrios descritos no Captulo 3 Impacto (vide tabela 3).
6.1.9. O gestor do processo encaminha o TP-CQ-004 Template Planilha de Riscos por Processo
com a RP preenchida para o Gestor de Riscos e esclarece eventuais dvidas.
6.2.
6.2.1. Revisa as Planilhas de Riscos do Processo preenchidas pelos Gestores de Processo, esclarece
dvidas, uniformiza a terminologia e a descrio dos cenrios de incidentes, realizando as
devidas correes, onde couber.
6.2.2. Consolida os dados das RP na Planilha de Consolidao e Avaliao de Riscos (PCAR) do
BDR.
6.2.3. Determina o nvel do risco para cada incidente calculando o produto (probabilidade de
ocorrncia do incidente) vezes (valor do impacto). Este clculo automtico, basta que
sejam validadas as notas dadas para Ameaas, Vulnerabilidades e Impacto previamente. Ao
ser atribudo o nvel de risco, o status do risco passa a Identificado (automatizado na PCAR
do BDR).
6.2.4. Classifica a PCAR por ameaa, por processo e por ativo.
6.2.5. Para cada evento de risco, consulta a DA-CQ-001-Declarao de Aplicabilidade, e o Plano
de Ao para Tratamento de Riscos no Whatsup: para os controles implementados (vide DACQ-001-Declarao de Aplicabilidade) ou em implementao (Vide Whatsup), preenche o
cdigo do objetivo de controle (Nesse ponto o risco muda de status Identificado para Em
Anlise) e controle correspondente no campo prprio da PCAR.
6.2.6. Classifica a PCAR por Nvel do Risco, por Processo e por Ativo.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 11
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
6.2.7. Para os eventos com nvel de risco 15, cujo tratamento no esteja em curso no Plano de
Ao para Tratamento de Riscos (Status Em Tratamento), define os controles a serem
implementados no campo prprio, atravs dos cdigos do objetivo de controle e controle
correspondentes.
6.2.7.1. Para situaes onde os ativos sejam descontinuados, O Gestor de Riscos dever
alterar os valores de ameaa e vulnerabilidade para 0 (zero), os campos
MECANISMOS OU CONTROLES EXISTENTES PARA EVITAR O RISCO,
DESCRIO DO TRATAMENTO DO RISCO, PRAZO ESTIMADO e CUSTO
ESTIMADO para NA, e informar se o ativo foi descontinuado permanentemente ou
temporariamente
no
campo
OBJETIVOS
DE
CONTROLES
SEREM
Descrio do projeto;
Relao dos eventos de risco a serem eliminados ou mitigados aps o projeto concludo,
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 12
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
6.2.15. Diretor da empresa analisa relatrios, esclarece dvidas com o gestor de riscos e com os
gerentes das reas circunscritas pelo escopo da anlise de riscos, recomenda revises e
autoriza o tratamento dos riscos e implementao do SGSI Sistema de Gesto da
Segurana da Informao.
6.2.16. Atualiza o status dos riscos com tratamento aprovados para Em Tratamento.
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 13
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
6.3.
Descrio do projeto;
Recursos;
6.3.2. A partir da, os projetos sero executados sob a responsabilidade dos gestores de processos
que aceitaram ou designaram o gerenciamento de cada projeto.
6.3.3. Mensalmente, o gestor de risco acompanhar a execuo dos projetos fazendo as devidas
atualizaes na DA-CQ-001-Declarao de Aplicabilidade e no status dos riscos na PCAR
(podendo passar para Ocorrido ou Eliminado aps seu tratamento), localizadas no BDR
(BD-CQ-001).
6.4.
6.4.1. A cada anlise de risco, elaborar grfico com as quantidades de riscos de alto nvel, de nvel
mdio e nvel baixo, nas ltimas anlises realizadas e publicar no portal ISO.
6.4.2. A cada anlise de riscos, o gestor de riscos, com base na ltima Planilha Consolidada de
Avaliao de Riscos (BDR>PCAR) e na planilha Declarao de Aplicabilidade (DA-CQ001-Declarao de Aplicabilidade):
Calcula o ndice de segurana (IS) com base na quantidade de riscos tratados (RT) e dos
riscos aplicveis (RA), mediante a frmula:
IS = 100 * RT / RA
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 14
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
REGISTROS
IDENTIFICAO
ARMAZENAMENTO
RECUPE
RAO
PROTEO
SEGU
RANA
TEMPO DE
RETENO
DISPO
SIO
LGICA
DE
ARQUIVA
MENTO
CUIDADOS
ACESSO
ATIVO
INATIVO
DES
TRUIO
COD
TTULO
FORMA
LOCAL
PL-CQ001
TP-CQ004
Plano de Trabalho
da Gesto de Risco
Template Planilha
de Riscos por
Processo
Banco de dados
Gesto de Riscos
Digital
Pasta de
Qualidade
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
2 anos
1 ano
Deletar
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Digital
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Declarao de
Aplicabilidade
Relatrio de
Tratamento de
Riscos
Relatrio de
Aceitao de
Riscos
Evoluo dos
incidentes de
segurana
Digital
Pasta de
Qualidade
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Digital
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
5 anos
1 ano
Deletar
Digital
Pasta de
Qualidade
Por Data
Backup/SVN
Restrita
1 ano
1 ano
Deletar
BD-CQ001
DA-CQ001
F-CQ014
F-CQ015
F-CQ019
Digital
Digital
8. ANEXOS
ABNT NBR ISO IEC 27001:2005 Cdigo de Prtica para a Gesto da Segurana da Informao
ABNT NBR ISO IEC 27005 Gesto de Riscos de Segurana da Informao
F-CQ-014 Relatrio de Tratamento de Riscos
F-CQ-015 Relatrio de Aceitao de Riscos
F-CQ-019 Evoluo dos Incidentes de Segurana
9. FLUXOGRAMA
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 15
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 16
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
Data
24/04/2011
02
23/05/2012
03
26/06/2012
04
26/12/2012
05
28/01/2013
06
07/03/2013
07
23/05/2013
08
27/05/2013
09
03/06/2013
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
Item
5e8
Revisado por
Qualidade
1, 3, 5, 6,
7, 8
Qualidade
Todos
Qualidade
3, 5.1,
5.2.3
Qualidade
5e6
Qualidade
Suporte
1, 3 e 7
Qualidade
Qualidade
3, 6.2.15
Qualidade
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br
GESTO DE RISCO
10
25/06/2013
11
14/02/2014
COD.: PDCIQ006
P.O.: INTERNO
REVISO: 11
DATA:
14/02/14
PGINA: 18
e 6.3.2
1, 3, 5.5,
6, 6.2.5,
6.2.7.1,
6.3.2,
6.3.3,
6.4.2 e 7
Qualidade
Qualidade
Av. Luiz Viana Filho, s/n, km 10, Parque Tecnolgico da Bahia Edf. Tecnocentro, salas 201 e 202. Paralela,
Salvador, BA.
CEP 41730-101. www.zcr.com.br | comunicacao@zcr.com.br