Escolar Documentos
Profissional Documentos
Cultura Documentos
1.1 Obtenção dos padrões, normas e procedimentos de segurança já existentes para análise.
Entendimento das necessidades e uso dos recursos da tecnologia da informação (sistemas,
1.2 equipamentos e dados) nos processos de negócio.
Obtenção de informações sobre os ambientes de negócios: a) Processos de negócios; b)
1.3 Tendências de mercado; c) Controles e áreas de risco.
Obtenção de informações sobre o ambiente tecnológico: a) Workflow entre ambientes; b) Redes
1.4 de aplicações; c) Plataformas computacionais.
Fase II Desenvolvimento do Conteúdo das Políticas e Normas de Segurança
Efetiva implantação das políticas, normas e procedimentos de segurança da informação por meio
das seguintes iniciativas: a) Atuação junto à área responsável pela comunicação, ou área
correspondente, na orientação para a preparação do material promocional, de divulgação e de
consulta; b) Divulgação das responsabilidades dos colaboradores, bem como da importância das
políticas, normas e procedimentos de segurança da informação; c) Realização de palestras
executivas referentes às políticas, normas e procedimentos de segurança, tendo por público-alvo
4.2 outros colaboradores da organização.
Cronograma Sugerido Quinzenas
ATIVIDADES 1 2 3 4 5 6 7 8
Executivos
Diretores de
Informática
Auditoria e Security
Officer
Gerentes de
Desenvolvimento de
Sistemas
Usuários Finais
Conscientização
Política
Implementação
Execução
INFORMATION SECURITY MANAGEMENT SYSTEM
Procedimentos de
Estruturação do ISMS Política de Segurança Monitoração Implementação de melhorias
Art 1º / R.33
Diretrizes PDI Legislação Estratégic
NBR ISO/IEC 17799:2005
ISO/IEC 27001:2002 BS 7799-1:2000
Normas NBR 11514 ITIL CobiT GAISP
Estratégico
Tático
Operacional
Modelo de Questionário para Levantamento dos Processos de Segurança Relacionados ao Backup e Restore
Data:
Participantes:
Áreas:
Modelo de Questionário para Levantamento dos Processos de Segurança Relacionados ao Backup e Restore
Nome do
Servidor/Jogo Qtd. De Fitas Tipo de Fita Local do Servidor Abrangên. Backup
Data:
Participantes:
Áreas:
Modelo de Questionário para Avaliação de Risco
3. Ao obter entendimentos sobre as operações do negócio, juntamente com o gestor da área, relacione os riscos
inerentes ao processo e verifique os controles já implementados.
5. Relacione os recursos utilizados (sistemas, hardware, softwares básicos, contratos) de forma que ao término
do levantamento exista um inventário dos ativos do processo.
SUMÁRIO EXECUTIVO
I. Introdução
Descreve os componentes dos sistemas, elementos, usuários, localidades físicas e demais detalhes abordados na avaliação
Especificações dos sistemas, incluindo hardware, software, interfaces, dados e usuários. Adicionalmente, inclua informações sobre o fluxo de d
informações (flowchart).
Detalhamento da lista das principais fontes de ameaças associadas e atuais contramedidas para os sistemas avaliados.
VI. Conclusão
Deve-se relatar se os sistemas existentes possuem ou não segurança adequada para suportar as atividades de negócio da organização.
Modelo de Relatório de Avaliação de Riscos
O EXECUTIVO
Objetivo
Escopo da avaliação de risco
os componentes dos sistemas, elementos, usuários, localidades físicas e demais detalhes abordados na avaliação
dimentos realizados
ções dos sistemas, incluindo hardware, software, interfaces, dados e usuários. Adicionalmente, inclua informações sobre o fluxo de dados e
ões (flowchart).
ração de ameaças
ento da lista das principais fontes de ameaças associadas e atuais contramedidas para os sistemas avaliados.
elatar se os sistemas existentes possuem ou não segurança adequada para suportar as atividades de negócio da organização.
Modelo da Estrutura de Documentação de um Plano de Contingência
1. Introdução
2. Conceito de Operações
4. Fase de Recuperação
5. Fase de Reconstituição
6. Anexos ao Plano
Modelo da Estrutura de Documentação de um Plano de Contingência
ito de Operações
2.1 Arquitetura e descrição dos sistemas
2.2 Descrição da Árvore Hierárquica de Notificações
2.3 Responsabilidades
e Notificação e Ativação
3.1 Procedimentos para a avaliação dos danos
3.2 Procedimentos para a avaliação alternativa
3.3 Critérios para a ativação do plano
e Recuperação
4.1 Procedimentos para a ativação da localidade alternativa
4.2 Procedimentos para recuperação da localidade principal
e Reconstituição
5.1 Processamento simultâneo
5.2 Desativação do plano
os ao Plano
Modelo de Questionário para Entendimento e Levantamento das Atividades, Processos e Informações para Classificação da
Informação
Data:
Participantes:
Áreas:
O profissional mais indicado para coordenar este tipo de projeto é a área de Segurança da Informação (Oficial de Segurança das
Informações). Embora não seja totalmente essencial, recomenda-se obter o comprometimento da Alta Administração da
organização, pois pode ser um fator crítico de sucesso para o projeto. Sem esse comprometimento, será difícil obter acesso às
informações necessárias ou pessoas importantes da organização que poderão ajudar na divulgação do projeto, do conceito de
classificação e dos controles dos ativos de informação.
A área de Segurança da Informação, responsável pelo projeto, deve desenvolver uma análise das possíveis ameaças às quais a
organização está exposta, os riscos associados e quais dados e informações estão sujeitos a tais ameaças. Essas informações
também serão utilizadas no processo de Avaliação e Análise de Riscos (Risk Assessment).
Políticas corporativas e/ou leis vigentes a serem respeitadas terão impacto no projeto. A área de Segurança da Informação deve
estar familiarizada com esses aspectos e utilizá-los como justificativas para a classificação dos dados, bem como para o processo
de Análise de Riscos ou outras atividades.
As decisões de liberação de acesso, definições de perfis e classificação da informação são responsabilidade do proprietário das
informações. O departamento de informática ou a área de Segurança da Informação é responsável por fornecer a tecnologia,
processos, recursos e procedimentos para que a decisão do proprietário da informação seja implantada, e não tem envolvimento
no processo de decisão de liberação de acesso, definição de perfis e classificação das informações.O coordenador do projeto, junt
com a Alta Administração, poderá ser beneficiado se este conceito for adequadamente divulgado na organização.
Estabelecer os procedimentos e processos para a classificação dos dados, executar a análise de riscos, realizar treinamentos etc.,
requer um alto comprometimento de todos os envolvidos que trabalham na organização. Ressalto novamente que o
comprometimento da Alta Administração tem uma fundamental importância para o sucesso do projeto. A elaboração de
processos, procedimentos e ferramentas para a correta implementação do processo de classificação e controle dos ativos de
informação leva tempo e requer dedicação dos colaboradores.
lo de Questionário para Entendimento e Levantamento das Atividades, Processos e Informações para Classificação da
Informação
ional mais indicado para coordenar este tipo de projeto é a área de Segurança da Informação (Oficial de Segurança das
ções). Embora não seja totalmente essencial, recomenda-se obter o comprometimento da Alta Administração da
ção, pois pode ser um fator crítico de sucesso para o projeto. Sem esse comprometimento, será difícil obter acesso às
ões necessárias ou pessoas importantes da organização que poderão ajudar na divulgação do projeto, do conceito de
ção e dos controles dos ativos de informação.
e Segurança da Informação, responsável pelo projeto, deve desenvolver uma análise das possíveis ameaças às quais a
ção está exposta, os riscos associados e quais dados e informações estão sujeitos a tais ameaças. Essas informações
serão utilizadas no processo de Avaliação e Análise de Riscos (Risk Assessment).
corporativas e/ou leis vigentes a serem respeitadas terão impacto no projeto. A área de Segurança da Informação deve
miliarizada com esses aspectos e utilizá-los como justificativas para a classificação dos dados, bem como para o processo
se de Riscos ou outras atividades.
ões de liberação de acesso, definições de perfis e classificação da informação são responsabilidade do proprietário das
ões. O departamento de informática ou a área de Segurança da Informação é responsável por fornecer a tecnologia,
s, recursos e procedimentos para que a decisão do proprietário da informação seja implantada, e não tem envolvimento
sso de decisão de liberação de acesso, definição de perfis e classificação das informações.O coordenador do projeto, junto
ta Administração, poderá ser beneficiado se este conceito for adequadamente divulgado na organização.
cer os procedimentos e processos para a classificação dos dados, executar a análise de riscos, realizar treinamentos etc.,
m alto comprometimento de todos os envolvidos que trabalham na organização. Ressalto novamente que o
metimento da Alta Administração tem uma fundamental importância para o sucesso do projeto. A elaboração de
s, procedimentos e ferramentas para a correta implementação do processo de classificação e controle dos ativos de
ão leva tempo e requer dedicação dos colaboradores.
Modelo de Questionário para Entendimento dos Procedimentos de Segurança Física
Data:
Participantes:
Áreas:
Modelo de Questionário para Entendimento dos Procedimentos de Segurança Física
1. De quem é a responsabilidade pela segurança no CPD? De que forma ocorre a concessão de acesso? Quem
fornece a permissão para o acesso?