Plano de Segurança da Informação:

Introdução

O Plano de Segurança da Informação visa garan r a confidencialidade, integridade e

disponibilidade dos dados e sistemas da organização. Ele estabelece diretrizes e procedimentos
para proteção contra ameaças internas e externas, prevenção de incidentes de segurança e
resposta a incidentes, além de promover a conscien zação e treinamento dos funcionários em
prá cas de segurança da informação.

Polí cas de Segurança da Informação

Desenvolver polí cas claras que estabeleçam diretrizes para o uso adequado dos recursos de
tecnologia da informação, incluindo senhas, acesso a sistemas, compar lhamento de
informações e responsabilidades dos usuários. As polí cas devem ser revisadas regularmente e
comunicadas a todos os funcionários.

Avaliação de Riscos

Realizar uma avaliação abrangente de riscos para iden ficar e entender as ameaças potenciais
aos sistemas de informação. Essa avaliação deve considerar aspectos como vulnerabilidades,
impacto financeiro, reputacional e legal, e ajudará a definir prioridades para a implementação
de controles de segurança.

Controles de Acesso

Implementar mecanismos de controle de acesso para garan r que apenas pessoas autorizadas
tenham acesso aos sistemas e dados confidenciais. Isso pode incluir auten cação mul fator,
segregação de funções e revisão regular dos privilégios de acesso.

Backup e Recuperação de Dados

Estabelecer polí cas e procedimentos para realizar backups periódicos dos dados crí cos, bem
como testes regulares de recuperação para garan r a integridade dos backups. Os dados de
backup devem ser armazenados em local seguro e separado dos sistemas principais.

Monitoramento e Detecção de Incidentes

Implementar sistemas de monitoramento con nuo para iden ficar a vidades suspeitas nos
sistemas e redes. Isso pode incluir a implementação de ferramentas de detecção de intrusão,
análise de logs e alertas automa zados para iden ficar possíveis incidentes de segurança.
Resposta a Incidentes

Desenvolver um plano de resposta a incidentes que estabeleça os procedimentos a serem

seguidos em caso de violação de segurança. Isso inclui a definição de papéis e
responsabilidades da equipe de resposta, a comunicação adequada com as partes interessadas
e a análise pós-incidente para melhorar as medidas de segurança.

Plano de Aquisição, Manutenção e Atualização de So wares e Hardwares:

Iden ficação de Necessidades

Realizar um levantamento das necessidades de so ware e hardware da organização,

considerando requisitos técnicos, orçamentários e estratégicos. Isso pode ser feito por meio de
consultas às áreas envolvidas e análise das demandas atuais e futuras.

Seleção de Fornecedores

Pesquisar e selecionar fornecedores confiáveis e qualificados para a aquisição de so wares e

hardwares. Avalie aspectos como qualidade, suporte pós-venda, histórico de fornecimento e
adequação às necessidades da organização.

Processo de Aquisição

Estabelecer um processo formalizado de aquisição que inclua a definição de requisitos,

elaboração de especificações técnicas, cotação de preços, análise de propostas, negociação e
assinatura de contratos.

Manutenção e Atualização

Implementar um plano de manutenção preven va e corre va para garan r o bom

funcionamento dos so wares e hardwares. Isso pode incluir atualizações de versões, correções
de bugs, aplicação de patches de segurança e manutenção regular dos equipamentos.

Par cipação da Equipe Mul disciplinar

Envolver uma equipe mul disciplinar composta por profissionais de TI, usuários finais e outras
áreas relevantes nas decisões de aquisição, manutenção e atualização. Essa par cipação
permi rá uma análise mais abrangente das necessidades e uma melhor aderência às
demandas dos usuários.

Plano de Manutenção Preven va e Corre va dos Sistemas de Informá ca:

Inventário de Sistemas

Realizar um inventário dos sistemas de informá ca u lizados na organização, incluindo

servidores, estações de trabalho, disposi vos de rede e periféricos. Esse inventário servirá
como base para o plano de manutenção.

Manutenção Preven va

Definir um cronograma para a realização de manutenções preven vas nos sistemas, com base
nas recomendações dos fabricantes e nas melhores prá cas da indústria. Essas a vidades
podem incluir limpeza interna dos equipamentos, verificação de integridade dos discos rígidos,
atualização de firmware e verificação de desempenho.

Manutenção Corre va

Estabelecer procedimentos para lidar com problemas e falhas nos sistemas de informá ca. Isso
pode incluir a abertura de chamados de suporte técnico, a designação de responsáveis pela
resolução dos problemas e a documentação dos incidentes e soluções adotadas.

Atualização de So ware

Garan r que os sistemas operacionais e so wares u lizados estejam sempre atualizados com
as úl mas versões e correções de segurança. Estabelecer um processo para avaliação, teste e
implantação de atualizações, considerando impactos potenciais nos sistemas e a necessidade
de compa bilidade.

Plano de Manutenção Preven va e Corre va dos A vos de T.I:

Inventário de A vos de T.I.

Realizar um inventário completo de todos os a vos de tecnologia da informação da

organização, incluindo equipamentos de rede, servidores, disposi vos de armazenamento,
impressoras e disposi vos móveis. Esse inventário servirá como base para o plano de
manutenção.

Manutenção Preven va

Estabelecer um cronograma para a realização de manutenções preven vas nos a vos de T.I.
Isso pode incluir a limpeza sica dos equipamentos, a verificação de cabos e conexões, a
atualização de firmware e a verificação de desempenho dos disposi vos.

Manutenção Corre va
Definir procedimentos para tratar de problemas e falhas nos a vos de T.I. Estabelecer canais de
comunicação para relato de incidentes, designar responsáveis pela resolução e documentar as
soluções adotadas.

Subs tuição e Descarte Adequado

Estabelecer critérios para a subs tuição de a vos de T.I. obsoletos, com base em indicadores
como idade, desempenho, confiabilidade e suporte. Além disso, definir diretrizes para o
descarte adequado de equipamentos, incluindo a remoção de dados sensíveis e a
conformidade com regulamentações ambientais.

Cronograma de Treinamentos:

Iden ficação das Necessidades de Treinamento

Realizar uma análise das necessidades de treinamento dos funcionários, levando em

consideração as competências requeridas para o desempenho de suas funções e as demandas
decorrentes das mudanças tecnológicas e organizacionais.

Definição dos Conteúdos e Metodologia

Definir os conteúdos a serem abordados nos treinamentos, levando em consideração as

habilidades e conhecimentos necessários. Além disso, escolher a metodologia mais adequada,
que pode incluir treinamentos presenciais, online, workshops, e-learning, entre outros.

Cronograma de Treinamentos

Elaborar um cronograma que estabeleça a periodicidade e a duração dos treinamentos,

considerando a disponibilidade dos funcionários e as demandas operacionais. O cronograma
deve ser comunicado com antecedência para que os par cipantes possam se programar.

Recursos e Responsáveis

Iden ficar os recursos necessários para a realização dos treinamentos, como materiais
didá cos, equipamentos e instrutores. Designar responsáveis pela coordenação e execução dos
treinamentos, bem como pela avaliação dos resultados alcançados.

Cronograma de Capacitações Periódicas para U lização Correta dos Sistemas de Informá ca e

So wares:

Iden ficação dos Tópicos de Capacitação

Iden ficar os tópicos específicos de capacitação necessários para a correta u lização dos
sistemas de informá ca e so wares. Isso pode incluir treinamentos sobre novas
funcionalidades, boas prá cas de uso, polí cas de segurança da informação e procedimentos
operacionais.

Frequência das Capacitações

Definir a periodicidade das capacitações, considerando a natureza dos sistemas e so wares

u lizados e as demandas de atualização. Algumas capacitações podem ser realizadas
anualmente, enquanto outras podem ocorrer trimestralmente ou conforme necessário.

Recursos e Metodologia

Iden ficar os recursos necessários para a realização das capacitações, como materiais de
treinamento, laboratórios ou ambientes de teste. Escolher a metodologia mais adequada para
cada tópico de capacitação, podendo ser presencial, online, em grupo ou individual.

Avaliação e Acompanhamento

Estabelecer mecanismos de avaliação para medir o nível de conhecimento adquirido pelos

par cipantes após as capacitações. Realizar acompanhamento regular para garan r que os
conhecimentos sejam aplicados adequadamente no ambiente de trabalho.

Norma com Diretrizes para as Permissões de Acesso ao Prontuário Visando a Privacidade e

Confidencialidade da Informação:

Obje vo da Norma

Definir diretrizes claras para a concessão de permissões de acesso ao prontuário, visando

proteger a privacidade e confidencialidade das informações. O obje vo é estabelecer um
controle de acesso adequado que permita aos profissionais autorizados acessar as informações
necessárias, ao mesmo tempo em que evita acesso não autorizado.

Classificação de Acesso

Classificar as informações con das no prontuário de acordo com o nível de sensibilidade e

confidencialidade. Estabelecer diferentes níveis de acesso com base nessa classificação,
garan ndo que apenas os profissionais autorizados tenham acesso às informações adequadas
para o desempenho de suas funções.

Controle de Acesso
Definir os critérios para concessão, revogação e atualização das permissões de acesso, levando
em consideração as atribuições e responsabilidades dos profissionais. Isso pode incluir a
u lização de sistemas de auten cação e autorização, registros de acesso e revisões regulares
dos direitos de acesso.

Treinamento e Conscien zação

Promover treinamentos e programas de conscien zação para os profissionais envolvidos no

acesso ao prontuário. Esses treinamentos devem abordar as polí cas e diretrizes estabelecidas,
bem como as consequências do acesso não autorizado ou uso indevido das informações.

Sistemá ca para Testes Periódicos dos Sistemas de Informá ca e So wares Antes de Entrar em
Uso:

Planejamento dos Testes

Incluir testes periódicos como parte do processo de implementação de novos sistemas de

informá ca e so wares. Esses testes devem ser planejados antecipadamente, considerando os
obje vos, escopo, recursos necessários e cronograma estabelecido.

Testes de Funcionalidade

Realizar testes de funcionalidade para verificar se os sistemas e so wares atendem aos

requisitos especificados. Isso inclui testes de instalação, configuração, integração com outros
sistemas, operacionalidade e desempenho.

Testes de Segurança

Realizar testes de segurança para iden ficar vulnerabilidades e garan r que os sistemas e
so wares estejam protegidos contra ameaças. Isso pode incluir testes de penetração, análise
de vulnerabilidades e avaliação de conformidade com normas e regulamentações de
segurança.

Testes de Usabilidade

Realizar testes de usabilidade para avaliar a experiência do usuário e a facilidade de uso dos
sistemas e so wares. Isso pode ser feito por meio de pesquisas, observação direta dos usuários
e coleta de feedback.

Registro e Avaliação dos Resultados

Registrar todos os resultados dos testes, incluindo problemas iden ficados, sugestões de
melhoria e ações corre vas adotadas. Realizar uma avaliação dos resultados para verificar se os
sistemas e so wares estão prontos para entrar em uso ou se é necessário realizar ajustes
adicionais.

Critérios para Aquisição e Incorporação de Novas Tecnologias:

Iden ficação de Necessidades

Iden ficar as necessidades e demandas da organização em relação a novas tecnologias,

considerando aspectos como melhorias operacionais, eficiência, compe vidade e estratégia
de negócios. Essa iden ficação deve envolver consultas às áreas envolvidas, análise de
tendências do mercado e avaliação de oportunidades.

Análise de Viabilidade

Realizar uma análise de viabilidade para cada nova tecnologia considerada, levando em conta
aspectos técnicos, financeiros e de recursos humanos. Avaliar o custo-bene cio, o impacto nas
operações existentes, a compa bilidade com a infraestrutura atual e a capacidade de
integração com outros sistemas.

Pesquisa e Seleção de Fornecedores

Pesquisar e selecionar fornecedores confiáveis e qualificados para aquisição das novas

tecnologias. Avaliar aspectos como experiência, reputação, suporte técnico, histórico de
fornecimento e compa bilidade com os requisitos da organização.

Testes e Avaliação

Realizar testes piloto ou protó pos da nova tecnologia em ambiente controlado para avaliar
sua eficácia, desempenho e adequação às necessidades da organização. Coletar feedback dos
usuários e realizar uma análise dos resultados para embasar a decisão final de incorporação.

Implantação Gradual

Considerar a implantação gradual da nova tecnologia, começando por um projeto-piloto em

uma área específica da organização antes de expandir para outras áreas. Isso permite
iden ficar possíveis problemas e realizar ajustes antes de uma implantação em larga escala.

Acompanhamento e Avaliação Con nua

Realizar um acompanhamento con nuo da nova tecnologia após sua incorporação, avaliando
seu desempenho, impacto nas operações e retorno sobre o inves mento. Fazer ajustes e
melhorias conforme necessário para garan r que os bene cios esperados sejam alcançados.
É importante ressaltar que essas informações fornecidas são apenas uma estrutura geral para
os planos e diretrizes solicitados. Recomenda-se adaptá-las às necessidades e par cularidades
da organização em questão, levando em consideração suas polí cas internas, regulamentações
aplicáveis e melhores prá cas da indústria.