Você está na página 1de 33

CHEC

ID PROCESSO ATIVIDADES

1 - Definição e Elaboração do PSD - Programa de Segurança Digital


2 - Elaboração da Diretriz de Segurança da Informação
Política de Segurança 3 - Publicação de Diretriz de Segurança para Empresa, Colaboradores, Terceir
4 - Elaboração do Cronograma de Implantação do PSD
1

1 - Politica de Classificação da Informação


2 - Aplicação de Controles para aplicação da Politica de Classificação da Inform
3 - Governança de Dados - Organização das informações conforme a política d
de fluxos e processos padronizados
Segurança da Informação 4 - Ação de Conscientização sobre os fluxos de informação conforme a politic
Organizacional informação
5 - Revisão Política de Classificação, Fluxos e Padrões de Tratamento interno
6 -Auditoria nos Controles aplicados para monitoração e controle da politica d
governança de Dados
7 - Politica de Privacidade Interna
8 - Politica de Cookies Site e APP
9 - Política de Privacidade Site e APP
110- -Análise critica
Relatorio dos direitos
de Impacto de acesso dedeusuário
de Tratamento Dados
2
11 - Termo de Consentimento edacontrolados
- Uso de Privilegios restritos Alta Direção com Governança Privacidade e
2 312- - Gerenciamento de senhas
Definição dos Padrões - politica
de Governança de TI, SI e Dados
4 - Registro de usuários
5 - Uso obrigatório de senhas por aplicações
16 -- NDA com Terceiros
Equipamentos e Prestadores
de usuários de Serviços
sem monitoração
2 - NDA com Provedores
7 - Politica de mesa limpa e tela limpa
38 -- TermoPoliticade
deUso
usodos Equipamento
de serviços de redede Tecnologia e Internet da Empresa
4 - Gestão de Contratos
Relacionamento com Provedores 9 - Controle de conexões de rede; controle de roteamento
510- -Avaliação
Proteçãode deFornecedores
porta de comunicação e acesso remoto
6 - Gestão de Demandas
11 - Procedimentos seguro comde Provedores
entrada no sistema
712- SLA com Fornecedores
- Identificação e autenticação do usuário
8
13- -SLA com Prestadores
Sistema e Terceiros
de gerenciamento de senhas - single sign on + 2 camadas verifica
3 114- -Invetário de Ativos de Hardware e Software
Uso de utilitários do sistema
2
15- -Politicas
Limite dedetempo
Gestãodedesessão
Ativos
Gerenciamento de Ativos 316- -Gestão de Patchs de Atualização
Limite de horario de conexão
4 4
17--Monitoração
Restrição dede Ativos
acesso a informação
518- -Bitlocker
Isolamentoem Máquinas
de sistemas Fisicas e Sistemas Anti Thef
sensíveis
Gerenciamento de Controle de
Acesso 19 - Controle de Computação e comunicação movel
5 20 - Controle e Tracking de Trabalho remoto
1 - Identificação de Legislação aplicável
2 - Direitos de Propriedade Intelectual
3 - Proteção de Registros Organizacionais
4 - Proteção de Dados e Privacidade de Informações Pessoais
Compliance 5 - Prevenção de mau uso de Recursos de Processamento da Informação
6 - Regulamentação de controles de Criptografia
7 - Conformidade com as políticas e normas de Segurança da Informação
8 - Proteção com Ferramentas de Auditoria de Segurança da Informação
9 - Verificação com a conformidade Técnica - Controles de auditoria de sistem
10 -Codigo de Conduta Ética e Conformidade
11 - Politica de Privacidade Interna
12 - SLA com Clientes
6 13 - Termos de Uso e Seviço do APP com Clientes

1 - Segurança de perímetro - controle de entradas físicas


2 - Proteção contra ameaças externas e meio ambiente - areas seguras
3 - Instalação e proteção de equipamentos, utilidades
Segurança Física e do Ambiente 4 - Segurança de cabeamento e rede móvel
5 - Acesso Público
16 - NDA
Manutenção de Equipamentos
com Colaboradores
7 --Termo
2 Remoção de Propriedade
de Uso do Equipamentos de Tecnologia e Internet
7 3 -Cronograma de Ações Educativas e de Conscientização
4 - Normas de Acesso Remoto
5 - Termo de Comodato de Equipamentos
6 - Participação dos Treinamentos sobre Ciber Segurança, Programa de Conti
Segurança Patrimonial e Compliance
Recursos Humanos 7 - Conscientização sobre ações de mesa e tela limpa
8 - Informação sobre o Código de Conduta Ética e Conformidade
9 - Definição de ações disciplinares e fluxo de processos internos do RH para m
8 termos, contratos e normas

1 - Notificação de Eventos de Segurança da Informação Interno


2 - Notificando Fragilidade de Sistemas e Segurança da Informação
3 - Plano de Administração de Crises
4 - Notificação de Eventos de Segurança da Informação Externo - Gestão de C
Gerenciamento de Incidentes 5 - Responsabildiades e Procedimentos de incidentes com coleta de evidência
6 - Aprendendo com os incidentes de TI
7 - Base de Conhecimento de Eventos (Erros, incidentes,Problemas Workarou
8 - Gestão de Eventos (Incidentes, Erros e Problemas)
9 - SOC - Time de Resposta a Incidentes

9
1 - Identificação, Analise e Classificação dos Processos de Negocios
2 - Análise de Continuidade de Negócios
3 - Avaliação de Riscos - BIA - Análise de Impacto do Negócio
4 - Identificação e Analise de Ativos
5 - Estrutura dos Planos de Continuidade - BCP/ BIA
6 - Desenvolvimento e implementação de Programa de Gestão de Continuida
7 - Elaboração, Aprovação e Revisão da Politica de Continuidade de Negócios
8 - Elaboração, Aprovação e Revisão dos Planos de continuidade relativos a Se
7 - Testes, Manutenção e Reavalição do DR, Contingência,
8 - Definição, Criação, Aprovação e Revisão do Plano de Gestão e Comunicaçã
9 - Relatório de Impacto de Atividades
Gerenciamento de Continuidade
10 de Negócios

1 - Documentação de Procedimentos
2 - Gestão de Mudanças
3 - Gerenciamento de Mudanças para Terceirizados
4 - Segregação de Funções
5 - Separação dos recursos de desenvolvimento, testes e produção
6 - Politica de Backup - RPO
7 - Gestão de Capacidade
8 - Segurança da Documentação do Sistema
9 - Política e Procedimento para troca de informações interas e externas
10 - Acordos para troca de informações em mídias em transito
11 - Sistemas de Informação de negócio
Gerenciamento dos Processos de 12 - Proteção contra códigos maliciosos e códigos móveis
11 13 - Controle contra códigos móveis
Comunicação e Operação 14 - Mensagens eletrônicas
15 - Copias de Segurança da Informação
16 - Transações on-line
17 - Sincronização de Relogios NTP
18 - Informações publicamente disponiveis
19 - Monitoramento e Análise de Serviços Terceirizados
20 - Entrega de serviços
21 - Aceitação de sistemas
22 - Monitoramento de Uso da Aplicação
23 - Registro de Logs do administrador e operador
24 - Registro de Auditoria
25 - Proteção das Informações delog, registro de logs de falhas (NOC, SOC e S

1 - Implementação de Criptografia nos sistemas


2 - Segurança das Operações em Cloud
3 - Análise e Especificação de Requisitos de Segurança
4 - Validação de Dados de Entrada e saída
5 - Integridade de mensagens
6 - Controles de processamento interno

Aquisição, Desenvolvimento e
Manutenção de Sistemas
12
7 - Controle de software operacional
Aquisição, Desenvolvimento e 8 - Proteção de dados para testes de sistema
Manutenção de Sistemas 9 - Acesso ao código fonte do Programa -SCM
12

10 - Análise Crítica Técnica das Aplicações após mudança no Sistema Operacio


11 - Procedimentos para Controle de Mudanças
12 - Restrições para Mudanças em pacotes de software
13 - Controle de Vulnerabilidades Técnicas + Debitos Técnicos
14 - Prevenção de Vazamento de Informações de Terceiros
15 - Controle de StakeHolders
36%
16 - Gestão de Configuração
CHECKLIST ATIVIDADES PARA A
ATIVIDADES

ção e Elaboração do PSD - Programa de Segurança Digital


ração da Diretriz de Segurança da Informação
ação de Diretriz de Segurança para Empresa, Colaboradores, Terceiros, Parceiros e Provedores
ração do Cronograma de Implantação do PSD

a de Classificação da Informação
ção de Controles para aplicação da Politica de Classificação da Informação
nança de Dados - Organização das informações conforme a política de classificação vigente, além
e processos padronizados
de Conscientização sobre os fluxos de informação conforme a politica de classificação e fluxo da
ão
ão Política de Classificação, Fluxos e Padrões de Tratamento interno
ria nos Controles aplicados para monitoração e controle da politica de classificação, padrões de
nça de Dados
a de Privacidade Interna
a de Cookies Site e APP
a de Privacidade Site e APP
eorio
critica dos direitos
de Impacto de acesso dedeusuário
de Tratamento Dados
eoPrivilegios
de Consentimento edacontrolados
restritos Alta Direção com Governança Privacidade e Segurança da Informação
ciamento de senhas
ição dos Padrões - politica
de Governança de TI, SI e Dados
ro de usuários
brigatório de senhas por aplicações
om Terceiros
amentos e Prestadores
de usuários de Serviços
sem monitoração
com Provedores
a de mesa limpa e tela limpa
oade deUso
usodos Equipamento
de serviços de redede Tecnologia e Internet da Empresa
o de Contratos
ole de conexões de rede; controle de roteamento
ção de
eção deFornecedores
porta de comunicação e acesso remoto
o de Demandas
edimentos seguro comde Provedores
entrada no sistema
om Fornecedores
ificação e autenticação do usuário
om
ma Prestadores e Terceiros
de gerenciamento de senhas - single sign on + 2 camadas verificação
rio de Ativos de Hardware e Software
de utilitários do sistema
easdedetempo
Gestãodedesessão
Ativos
oede Patchs de Atualização
de horario de conexão
oração
ição dede Ativos
acesso a informação
ker em Máquinas
mento de sistemas Fisicas e Sistemas Anti Thef
sensíveis
role de Computação e comunicação movel
role e Tracking de Trabalho remoto
ficação de Legislação aplicável
os de Propriedade Intelectual
ção de Registros Organizacionais
ção de Dados e Privacidade de Informações Pessoais
nção de mau uso de Recursos de Processamento da Informação
amentação de controles de Criptografia
rmidade com as políticas e normas de Segurança da Informação
ção com Ferramentas de Auditoria de Segurança da Informação
cação com a conformidade Técnica - Controles de auditoria de sistemas da Informação
go de Conduta Ética e Conformidade
ca de Privacidade Interna
com Clientes
os de Uso e Seviço do APP com Clientes

ança de perímetro - controle de entradas físicas


ção contra ameaças externas e meio ambiente - areas seguras
ação e proteção de equipamentos, utilidades
ança de cabeamento e rede móvel
o Público
tenção de Equipamentos
om Colaboradores
ção de Propriedade
de Uso do Equipamentos de Tecnologia e Internet
grama de Ações Educativas e de Conscientização
as de Acesso Remoto
o de Comodato de Equipamentos
ipação dos Treinamentos sobre Ciber Segurança, Programa de Continuidade de Negócios e
nce
ientização sobre ações de mesa e tela limpa
mação sobre o Código de Conduta Ética e Conformidade
ção de ações disciplinares e fluxo de processos internos do RH para manuseio das informações,
ontratos e normas

cação de Eventos de Segurança da Informação Interno


cando Fragilidade de Sistemas e Segurança da Informação
de Administração de Crises
cação de Eventos de Segurança da Informação Externo - Gestão de Crises
nsabildiades e Procedimentos de incidentes com coleta de evidências
dendo com os incidentes de TI
de Conhecimento de Eventos (Erros, incidentes,Problemas Workaround e soluções definitivas)
o de Eventos (Incidentes, Erros e Problemas)
Time de Resposta a Incidentes
ficação, Analise e Classificação dos Processos de Negocios
e de Continuidade de Negócios
ção de Riscos - BIA - Análise de Impacto do Negócio
ficação e Analise de Ativos
ura dos Planos de Continuidade - BCP/ BIA
volvimento e implementação de Programa de Gestão de Continuidade
ação, Aprovação e Revisão da Politica de Continuidade de Negócios
ração, Aprovação e Revisão dos Planos de continuidade relativos a Segurança da Informação
, Manutenção e Reavalição do DR, Contingência,
ção, Criação, Aprovação e Revisão do Plano de Gestão e Comunicação de Crise
ório de Impacto de Atividades

mentação de Procedimentos
o de Mudanças
ciamento de Mudanças para Terceirizados
gação de Funções
ação dos recursos de desenvolvimento, testes e produção
a de Backup - RPO
o de Capacidade
ança da Documentação do Sistema
a e Procedimento para troca de informações interas e externas
dos para troca de informações em mídias em transito
mas de Informação de negócio
eção contra códigos maliciosos e códigos móveis
role contra códigos móveis
sagens eletrônicas
as de Segurança da Informação
sações on-line
onização de Relogios NTP
mações publicamente disponiveis
toramento e Análise de Serviços Terceirizados
ega de serviços
ação de sistemas
toramento de Uso da Aplicação
stro de Logs do administrador e operador
stro de Auditoria
eção das Informações delog, registro de logs de falhas (NOC, SOC e SIEM) - AIOPS

mentação de Criptografia nos sistemas


ança das Operações em Cloud
e e Especificação de Requisitos de Segurança
ção de Dados de Entrada e saída
idade de mensagens
oles de processamento interno
ole de software operacional
ção de dados para testes de sistema
o ao código fonte do Programa -SCM

se Crítica Técnica das Aplicações após mudança no Sistema Operacional ou Ambiente Cloud
edimentos para Controle de Mudanças
ições para Mudanças em pacotes de software
role de Vulnerabilidades Técnicas + Debitos Técnicos
enção de Vazamento de Informações de Terceiros
role de StakeHolders

o de Configuração
VIDADES PARA ADEQUAÇÃO A LGPD
SITUAÇÃO ( AS IS)
A LGPD
STATUS ATUAl EVOLUÇÃO

25%

25%

15%

30%

25%
40%

40%

40%

25
45%

40%

60%
30%
30%
30%
40%
30%
30%
30%
60%
40%
30%
30%
50%
30%
30%
30%
OBS
Necessário comprar licenças do Mongo
Enterprise versão comunitie não
permite criptografia
Processos Atividades Status SI Perfil Status Stakeholders D1 Perfis Executores Descrição
1 - Matriz RACI Em Revisão Planejamento e Avaliação Avalição de Resultados
2 - Especificar melhor a Segurança da Informação nos Processos de Recursos Humanos Coordenação, Planejamento e Avaliação Coordenação de Segurança Proposta de Mudanças
3 - Seleção, Responsabilidade de direção e contratação Coordenação, Planejamento e Avaliação Proposta de Ações
Politica de Segurança da 4 - Conscientização e Documentação Em Andamento Coordenação, Planejamento e Avaliação Mobilização dos Gestores Críticos
Informação: 5 - Processo disciplinar Em Andamento Coordenação, Planejamento e Avaliação Relatórios Gerenciais de Resultados
6 - Encerramento de Atividade Coordenação, Planejamento e Avaliação Planejamento e Avaliação Proposta de Projetos
7 - Devolução de Ativos Coordenação, Planejamento e Avaliação Apoio Consultivo ao Coordenador
8 - Retirada de direitos de acesso Coordenação, Planejamento e Avaliação Palestras de Conscientização e Treinamento
1 - Identificação de Legislação aplicável Concluído Coordenação de Segurança Garantir o Cumprimento da Política de Segurança
2 - Direitos de Propriedade Intelectual Em Andamento Coordenação de Segurança Responder as Questões de Auditoria
3 - Proteção de Registros Organizacionais Em Andamento Coordenação de Segurança
Execução Registrar Ocorrências de Quebra de Segurança
4 - Proteção de Dados e Privacidade de Informações Pessoais Em Andamento Coordenação de Segurança Implementar Ações de quebra de segurança à
Reportar ocorrência
Conformidade: 5 - Prevenção de mau uso de Recursos de Processamento da Informação Em Andamento Coordenação de Segurança
6 - Regulamentação de controles de Criptografia Em Andamento Planejamento, Avaliação, Execução função Controle
Feedback dos índices e indicadores a função Controle
7 - Conformidade com as políticas e normas de Segurança da Informação Coordenação de Segurança
Capacitar a função Execução paraAnálise de Risco
manuseio da
8 - Proteção com Ferramentas de Auditoria de Segurança da Informação Em Andamento Coordenação de Segurança
Informação Em Andamento Coordenação de Segurança Controle Métrica
Análise de Métricas Índices e Indicadores
1 - Segurança de perímetro - controle de entradas físicas Planejamento, Avaliação, Execução Auditoria e Monitoramento
2 - Proteção contra ameaças externas e meio ambiente - areas seguras Planejamento, Avaliação, Execução
3 - Instalação e proteção de equipamentos, utilidades Em andamento Planejamento, Avaliação, Execução
Política de Segurança 4 - Segurança de cabeamento N/A Execução, Controle
Física e do Ambiente: Coordenação Geral de Segurança: Security Officer com Apoio de
5 - Acesso Público Em andamento Planejamento, Avaliação, Execução
diretores e seus Representantes
6 - Manutenção de Equipamentos Execução, Controle
7 - Remoção de Propriedade Execução, Controle
1 - Análise critica dos direitos de acesso de usuário Coordenação de Segurança
2 - Uso de Privilegios restritos e controlados Coordenação, Planejamento e Avaliação
3 - Gerenciamento de senhas - politica Em Andamento Coordenação, Planejamento e Avaliação
Coordenação de Segurança: Gestor de Segurança
4 - Registro de usuários Em Andamento Planejamento, Avaliação, Execução
5 - Uso obrigatório de senhas por aplicações Planejamento, Avaliação, Execução
6 - Equipamentos de usuários sem monitoração Execução, Controle
7 - Politica de mesa limpa e tela limpa Planejamento, Avaliação, Execução
8 - Politica de uso de serviços de rede Em Andamento Planejamento, Avaliação, Execução
9 - Controle de conexões de rede; controle de roteamento Execução, Controle
10 - Proteção de porta de comunicação e acesso remoto Em Andamento Execução, Controle
Política de Controle de
11 - Procedimentos seguro de entrada no sistema Em Andamento Execução, Controle
Acesso:
12 - Identificação e autenticação do usuário Em Andamento Planejamento, Avaliação, Execução Controle:
Auditor de Segurança Planejamento e Avaliação:
13 - Sistema de gerenciamento de senhas - single sign on + 2 camadas verificação Em Andamento Planejamento, Avaliação, Execução Gerente de Risco Consultor de Segurança
14 - Uso de utilitários do sistema Execução, Controle Monitor de Segurança Consultor de Contingência
15 - Limite de tempo de sessão Execução, Controle Analista de Segurança
16 - Limite de horario de conexão Execução, Controle
Assistente de Segurança
17 - Restrição de acesso a informação Planejamento, Avaliação, Execução
18 - Isolamento de sistemas sensíveis Planejamento, Avaliação, Execução
19 - Computação e comunicação movel Planejamento, Avaliação, Execução
20 - Trabalho remoto Execução, Controle
1 - Análise e Especificação de Requisitos de Segurança Coordenação de Segurança Execução:
2 - Validação de Dados de Entrada e saída Coordenação de Segurança Administrador de Rede
3 - Integridade de mensagens Planejamento, Avaliação, Execução Gestor de Desenvolvimento
4 - Controles de processamento interno Planejamento, Avaliação, Execução Gestor de Produção
5 - Controle de software operacional Planejamento, Avaliação, Execução Gestor de Aplicação
Gestor de Segurança física
Aquisição, Desevolvimento 6 - Proteção de dados para testes de sistema Planejamento, Avaliação, Execução
Suporte a Tecnologias
e Manutenção de Sistemas 7 - Acesso ao código fonte do Programa Planejamento, Avaliação, Execução
de Informação: 8 - Análise Crítica Técnica das Aplicações após mudança no Sistema Operacional Planejamento, Avaliação, Execução
9 - Procedimentos para Controle de Mudanças Planejamento, Avaliação, Execução
10 - Restrições para Mudanças em pacotes de software Planejamento, Avaliação, Execução
11 - Controle de Vulnerabilidades Técnicas + Debitos Técnicos Planejamento, Avaliação, Execução
12 - Vazamento de Informações de Terceiros - Controle de StakeHolders Planejamento, Avaliação, Execução
13 - Gestão de Configuração Planejamento, Avaliação, Execução
1 - Notificação de Eventos de Segurança da Informação Interno Em andamento Planejamento, Avaliação, Execução
2 - Notificando Fragilidade de Sistemas e Segurança da Informação Planejamento, Avaliação, Execução
3 - Plano de Administração de Crises Em andamento Coordenação de Segurança

Gestão de Incidentes de
4 - Notificação de Eventos de Segurança da Informação Externo - Gestão de Crises Coordenação de Segurança
Segurança da Informação e
5 - Responsabildiades e Procedimentos de incidentes com coleta de evidências Planejamento, Avaliação, Execução
TI
6 - Aprendendo com os incidentes de TI Planejamento, Avaliação, Execução
7 - Base de Conhecimento de Eventos (Erros, incidentes,Problemas Workaround e
soluções definitivas) Planejamento, Avaliação, Execução
8 - Gestão de Eventos (Incidentes, Erros e Problemas) Em Andamento Planejamento, Avaliação, Execução
1 - Identificação, Analise e Classificação dos Processos de Negocios Em Andamento Coordenação de Segurança
2 - Análise de Continuidade de Negócios Em Andamento Planejamento, Avaliação, Execução
3 - Avaliação de Riscos - BIA - Análise de Impacto do Negócio Em Andamento Planejamento, Avaliação, Execução
4 - Identificação e Analise de Ativos Planejamento, Avaliação, Execução
Gestão da Continuidade do 5 - Politica de Classificação da Informação Em Revisão Coordenação de Segurança
Negócio 6 - Politicas de Gestão de Ativos Coordenação de Segurança
7 - Estrutura do Plano de Continuidade - BCP/ BIA Em Andamento Coordenação de Segurança
8 - Desenvolvimento e implementação de planos de continuidade relativos a Segurança
da Informação Em Andamento Planejamento, Avaliação, Execução
9 - Testes, Manutenção e Reavalição do BCP Execução, Controle
1 - Documentação de Procedimentos Planejamento, Avaliação, Execução
2 - Gestão de Mudanças Planejamento, Avaliação, Execução
3 - Gerenciamento de Mudanças para Terceirizados Coordenação de Segurança
4 - Segregação de Funções Coordenação de Segurança
5 - Separação dos recursos de desenvolvimento, testes e produção Planejamento, Avaliação, Execução
6 - Politica de Backup - RPO Planejamento, Avaliação, Execução
7 - Gestão de Capacidade Planejamento, Avaliação, Execução
8 - Segurança da Documentação do Sistema Planejamento, Avaliação, Execução
9 - Política e Procedimento para troca de informações interas e externas Coordenação de Segurança
10 - Acordos para troca de informações em mídias em transito Coordenação de Segurança
11 - Sistemas de Informação de negócio Planejamento, Avaliação, Execução
12 - Proteção contra códigos maliciosos e códigos móveis Planejamento, Avaliação, Execução
Gerenciamento de
13 - Controle contra códigos móveis Planejamento, Avaliação, Execução
Operações
14 - Mensagens eletrônicas Planejamento, Avaliação, Execução
15 - Copias de Segurança da Informação Planejamento, Avaliação, Execução
16 - Transações on-line Planejamento, Avaliação, Execução
17 - Sincronização de Relogios NTP Planejamento, Avaliação, Execução
18 - Informações publicamente disponiveis Planejamento, Avaliação, Execução
19 - Monitoramento e Análise de Serviços Terceirizados Planejamento, Avaliação, Execução
20 - Entrega de serviços Planejamento, Avaliação, Execução
21 - Aceitação de sistemas Planejamento, Avaliação, Execução
22 - Monitoramento de Uso do Sistema Execução, Controle
23 - Registro de Logs do administrador e operador Execução, Controle
24 - Registro de Auditoria Planejamento, Avaliação, Execução
25 - Proteção das Informações delog, registro de logs de falhas Planejamento, Avaliação, Execução
X X X X X X
X X X X X X

X X X X X X
Processos:
Politica de Processos:Term
Processos:
Classificação Processos: o de
Processos: Politica de
da Politica de Consentimento /
Processos: Politica de Controle de
Informação Classificaç Adesão
Conformidade Segurança da Acesso e
Mapeamento ão de Relatório de
Auditoria Informação Gestão de
de Ativos Impacto a
Identidades
Entrada/Said proteção de
a de Dados Dados- DPIA
X X X X X
X X X X X X
X X X X
X X X X X X

Processos: Processos:
Programa de
Processos: Processos: Implantação Gerenciamento de
Educação e
Politica de Padronização de Operações | Programa
Conscientizaçã
Segurança de Processos Ferramentas/ Confiabilidade - Ciber
o em
Fisica e do Internos Recursos de Monitoria e Logs - Segurança
Segurança e
Ambiente Controle de AIOPS
Privacidade
Segurança

X X
X
X

X X

X
X X LGPD X
X X GDPR X
X X NIST X
X X ISO 27001 X

Processos:
Programa de
Processos: Ameaça:
Continuidade -
Gerenciament
o de Incidentes
Gestão da GRIAV Natural
Continuidade
de Negócios

Gestão de Ativos de Hardware e


X
Software 2
Gestão Acesso Físico e Segurança
Física X
Gestão de Identidade e Controle de
Acesso lógico X
Gestão de Senhas e Criptografia
X
Ciclo de Vida dos Dados e
X Informações - Politica de Classificação
e Fluxo da Informação X
Gestão do Desenvolvimento Seguro e
Ciclo de Vida de Aplicações X
X Gestão de Riscos X
Gestão de Custos OPEX X
Gestão de Documentação X
Gestão de Logs e Monitoração - SIEM
X
Gestão de Segurança Virtual e local
X
Gestão de Configuração -
Atualizações, Patchs, Componentes e
Dependências X
X Gestão de DR e Contingência X
Gestão de Mudanças X
X X Gestão de Incidentes X
Gestão de Defeitos X
X X X X X
X X X X X
X X X X X
X X X X X

Ameaça: Amaeça: Vulnerabilidade Vulnerabilidades Vulnerabilidad


Voluntárias Involuntária Física Naturais e Hardware

2 2 2 1
X X 2 2
X X 1 2
X X 1 2

X X 2 2

X X 2 2 1
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X
X X X X X
X X X X X
X X X X X
X X X X X

Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad


Riscos:
e Software e Mídias e Comunicação e Humana

3 4
2
2
2

3
Ciclo de Vida
Impactos: GUT Tipo de Dados Tratamento Residual
Dados

N/A
4
Pessoais e
5 Pessoais Sensíveis

Dados Pessoais
4
N/A
4

Pessoais e
Pessoais Sensíveis
5

N/A
5
Pessoais e
4 Pessoais Sensíveis

3 N/A
Pessoais e
4 Pessoais Sensíveis

Dados Pessoais
4
Dados Pessoais
N/A

N/A
N/A
Pessoais e
Pessoais Sensíveis
N/A