Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • RAR - Relatório de Análise de Riscos - ISO27005

    Enviado por

    alsbalvesf
    5 visualizações6 páginas

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações6 páginas

    RAR - Relatório de Análise de Riscos - ISO27005

    Enviado por

    alsbalvesf

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 6

    RELATÓRIO DE ANÁLISE DE RISCOS

    Emissão: ___/____/____
    Novo serviço para produção, cadastro e validação de
    produtos envolvidos com as normas: ABNT XXXX e ABNT
    YYYYY; envolvendo solicitantes condizentes com o nível A
    Serviço / Projeto (da “cartela” referencial).
    Coordenação
    do Serviço / Anderson Santana
    Projeto
    Garantir ações para a eficácia da segurança das
    informações, bem como a implantação de controles
    apropriados aos ativos, através do mapeamento de riscos
    Objetivo (Motivo envolvidos com a nova atividade do Setor UACP –
    do Relatório) Unidade de Atendimento e Criação de Produtos (trata-se
    de um novo serviço a ser ofertado); a partir de uma
    análise crítica embasada em um levantamento adequado
    e prevencionista.
    Responsável pela
    Anderson Santana
    Análise (ou grupo)
    Referenciais
    ISO IEC 27005:2019 / ABNT XXXX / ABNT YYYYY
    Normativos
    Metodologia
    ISO IEC 27005:2019
    Característica

    Índice (Informações):

    1. Etapas do Serviço/Projeto e Envolvidos na análise


    2. Cenário Envolvido (imposto para o novo serviço/projeto) e os Eventos de
    Riscos com Ações Mitigadoras (iniciais) de acordo com critérios
    determinados.
    3. Partes Interessadas / Envolvidos Operacionalmente
    4. Ativos
    5. Controles Existentes e a eficácia
    6. Ameaças e Vulnerabilidades
    7. Fatores de riscos a serem envolvidos com a Avaliação de Riscos
    8. Prováveis Impactos ou Incidentes
    9. Quanto a aceitabilidade (ou aprovações necessárias)
    10.Critérios de monitoramento e prováveis melhorias
    11.Possível metodologia prática
    12.Viabilidade (técnica, financeira e quanto a eficácia para o processo de
    segurança da informação) e garantia para segurança da informação

    ARS
    1
    RELATÓRIO DE ANÁLISE DE RISCOS

    1. ETAPAS DO SERVIÇO/PROJETO E ENVOLVIDOS NA ANÁLISE

    ▪ Estratégia intrínseca (prazo: 10 meses).


    ▪ Viabilidade técnica (por parte da Administração / realizada e aprovada).
    ▪ Orçamento aprovado.
    ▪ Apresentação do serviço/projeto para o Comitê de Riscos.
    ▪ Conferência das Política de Gestão de Riscos e Controles
    ▪ Patrocínio da Alta Administração.
    ▪ Plano de Comunicação.
    ▪ Evento de lançamento.
    ▪ Consultoria para questões técnicas.
    ▪ Curso de Gestão de Riscos (incluindo reciclagem dos envolvidos).
    ▪ Implementação de Software de Controle XXXXXX.
    ▪ Construção de painéis de Indicadores.

    ARS
    2
    RELATÓRIO DE ANÁLISE DE RISCOS

    2. CENÁRIO ENVOLVIDO (IMPOSTO PARA O NOVO


    SERVIÇO/PROJETO) E OS EVENTOS DE RISCOS COM AÇÕES
    MITIGADORAS (INICIAIS) DE ACORDO COM CRITÉRIOS
    DETERMINADOS.

    • Cenário (Geral): SWOT


    • Critérios para ações mitigadoras (relacionadas aos eventos de risco):
    Extremo Mitigar/Melhorar
    Alto Mitigar/Melhorar
    Médio Mitigar/Melhorar
    Baixo Aceitar

    Cenário Geral - Análise SWOT


    FORÇAS OPORTUNIDADES

    FRAQUEZAS AMEAÇAS

    Gerenciamento dos Riscos


    EVENTO DE RISCO 1
    Ausência de monitoramento dos riscos organizacionais e estratégicos
    CAUSAS CONSEQUÊNCIAS
    Falta de entendimento quanto ao papel de cada agente
    de risco para o êxito da implementação do projeto);
    Falta de patrocínio da Alta Administração; Ausência de Falta de histórico de informações; Continuidade
    ferramenta de gestão integradade modo a mostrar da cultura de tomada de decisões sem base
    resultados com integridade e que auxiliem a tomada técnica; Penalidades advindas da auditoria.
    decisória;
    Ausência de um banco de dados
    integrado(informações segregadas e quenão agregam
    valor para a tomada de decisão);

    NÍVEL DE RISCO RESPOSTA


    Extremo Mitigar/Melhorar
    AÇÕES DE MITIGAÇÃO/MELHORIA
    preventiva/contingencial

    ARS
    3
    RELATÓRIO DE ANÁLISE DE RISCOS
    EVENTO DE RISCO 2
    Ausência de análise e/ou monitoramento dos riscos do setor

    CAUSAS CONSEQUÊNCIAS
    Falta de entendimento quanto ao papel decada agente
    de risco para o êxito da implementação do projeto);
    Ausência de plano de sucessão para a transferência de
    conhecimento no caso dodesligamento/saída de algum Falta de histórico de informações; Continuidade
    ator chave; Ausência de avaliações periódicas sobre a da cultura de tomada de decisões sem base
    adequabilidade da abordagem do plano/projeto técnica.
    desenhado;

    NÍVEL DE RISCO RESPOSTA


    Extremo Mitigar/Melhorar
    AÇÃO DE MITIGAÇÃO/MELHORIA
    preventiva/contingencial
    Construção de plano de continuidade dos processos organizacionais;
    Acompanhamento dos resultados da implementação do projeto de gestão de riscos, com asdevidas adaptações e
    inovações necessárias
    Disponibilidade e acessibilidade para dúvidas das equipes envolvidas no gerenciamento deriscos de suas unidades, a fim de
    fomentar a continuidade e efetiva implementação da metodologia;
    Construção de banco de dados e painéis de BI para manutenção de histórico;

    EVENTO DE RISCO 3
    Descontinuidade do projeto de implementação da gestão de riscos

    CAUSAS CONSEQUÊNCIAS

    Perda de confiança na equipe envolvidacom a


    implementação do projeto;
    Comprometimento/engajamento insuficiente na Desperdício de recursos; Desmotivação da equipe;
    execução do projeto porparte da equipe de riscos;
    Capacidade operacional reduzida para realizar o projeto
    (vc tem a equipe, contudoem baixo quantitativo);
    Fraca sensibilização/conscientização quanto aos
    ganhos/benefícios provenientescom o desempenho do
    projeto(incompreensão quanto aos reais ganhos do
    projeto);
    Falta de ferramenta adequada para avaliação
    e melhoria do processo.

    NÍVEL DE RISCO RESPOSTA


    Alto Mitigar/Melhorar
    AÇÃO DE MITIGAÇÃO/MELHORIA
    preventiva/contingencial

    ARS
    4
    RELATÓRIO DE ANÁLISE DE RISCOS

    3. Partes Interessadas / Envolvidos Operacionalmente

    4. Ativos

    5. Controles Existentes e a eficácia

    6. Ameaças e Vulnerabilidades

    ARS
    5
    RELATÓRIO DE ANÁLISE DE RISCOS

    7. Fatores de riscos a serem envolvidos com a Avaliação de Riscos

    8. Prováveis Impactos ou Incidentes

    9. Quanto a aceitabilidade (ou aprovações necessárias)

    10.Critérios de monitoramento e prováveis melhorias

    11.Possível metodologia prática

    12.Viabilidade (técnica, financeira e quanto a eficácia para o processo de


    segurança da informação) e garantia para segurança da informação

    Entende-se que através da melhoria dos controles (existentes) é possível ter a confiança de que a
    matriz de riscos poderá contribuir para o gerenciamento de riscos e todos os benefícios esperados
    pela organização com a implantação do novo serviço/projeto.

    ARS
    6

    Você também pode gostar