Objetivos de Controle para Informaes e tecnologias afins (COBIT 4.

0) um processo de alto nvel modelo que organiza uma ampla gama de atividades de TI em 34 processos. Como uma nica fonte de boas prticas ele fornece uma estrutura uniforme de entender, implementar e avaliar recursos de TI, o desempenho e riscos com o objetivo principal de satisfazer requisitos de negcios satisfatrios. COBIT consiste em uma seleo de ferramentas de gerenciamento de populares e tcnicas descritas em um contexto de gerenciamento de TI. Estabelece o alcance e define as atividades de TI em uma determinada rea de TI que deve ser feito e este em grande parte harmonizada com outros frameworks. Proprietrio dos direitos autorais: IT Governance Institute (ITGI, www.itgi.org), de propriedade da Sistemas de Informao de Auditoria e Controle Association (ISACA, www.isaca.org).

Distribuio: Um grande nmero de organizaes em todo o mundo atualmente usam COBIT. provvel que incluem todas as entidades que esperado para resolver Sarbanes-Oxley, incluindo seus prestadores de servios.

Origem / Histria: Alguns membros da Associao Contas EDP (EDPAA, agora conhecido como ISACA), na dcada de 1990 desenvolveu o COBIT Quadro de controle em resposta publicao pelo COSO (Comit de Organizaes Patrocinadoras da Treadway Comisso) de Controles Internos - Um Ambiente Integrado de esta publicao no aborda controles internos de TI.

Quando: Primeira verso publicada em 1994. 11,1 Origem / histria Como resultado dos escndalos de governana corporativa na dcada de 1980, um grupo de trabalho foi estabelecido com o objetivo de identificar os controles internos indispensveis para processos de negcios que deve evitar problemas semelhantes voltem a ocorrer. O resultado foi uma publicao pelo Committee of Sponsoring Organizaes da Comisso Treadway, em 1992, intitulado Controles Internos - Um sistema integrado Quadro. Esses controles internos eram em grande parte de processos de negcios orientados e no forneceu muita orientao onde a TI esteve envolvido. A EDP Contas Association (agora conhecido como Auditoria de Sistemas de Informao e Controle Associao, ou ISACA) tinha uma publicao conhecida como Objetivos de Controle que foi amplamente utilizado pelos seus membros no momento. Um punhado destes membros EDPAA na Europa reconheceu a necessidade por algo melhor e comeou a desenvolver um controle muito melhor e mais harmonizada estrutura para TI com o objetivo inicial de auxiliar os auditores realizar seu trabalho. COBIT tem cresceu substancialmente a partir deste ponto a um quadro para uma melhor gesto de TI. O desenvolvimento do COBIT liderado pela viso e fora motriz de Erik Guldentops, executivo professor da Escola de Administrao da Universidade de Anturpia. Como a iniciativa evoluiu COBIT a partir de sua publicao rst fi em 1994, um corpo muito maior de

contribuintes tem participado em vrios etapas e em uma srie de papis que incluem pesquisa, desenvolvimento, reviso e garantia de qualidade. COBIT publicaes esto agora sob a responsabilidade do Comit Gestor COBIT dentro o IT Governance Institute, uma entidade jurdica Affi liated a ISACA. O Comit Gestor COBIT exerce o controle de qualidade sobre todas as publicaes relacionadas. Desde a publicao rst fi em 1994, foram as novas verses a principal publicao em 1996, 2000 e mais recentemente do COBIT 4.0 em 2005. Uma srie de publicaes complementares foram liberados pela ISACA ao longo deste perodo, incluindo: 1998 - Implementao COBIT Toolset 2003 - Governana de TI Guia de Implementao do 2003 - COBIT Quickstart 2003 - COBIT Online. Outras publicaes da ISACA tm includo um nmero de ngs Conselho Briefi e especialista documentos que abordam uma srie de temas que caem sob a governana de TI. Propriedade e direitos de autor investido em TI da ISACA Governance Institute. O uso do material para fins comerciais limitada pela ISACA para organizaes licenciados. uma violao de distribuir o material fora da entidade jurdica que originalmente obtidos a partir da ISACA. No entanto, o custo pequeno e as publicaes so facilmente obtidos por membros, na maioria dos casos, gratuitamente e por no-membros a uma taxa nominal. 11,2 Onde est COBIT usado? Como um quadro de alto nvel com descries genricas de TI processar reas e actividades previstas orientaes teis para uma audincia ampla que inclui: Os executivos que procuram um painel ou Balanced Scorecard para melhor compreender o seu Organizao de TI ou fornecedor de servios Gesto de TI buscando comunicar desempenho alcanado ou direcionar seus subordinados " atividades em consonncia com as necessidades do negcio A capacidade de TI edifcio da equipe para desempenhar suas tarefas dirias de uma forma que adequada para entregar contra as expectativas de negcios '. O framework COBIT tambm tem sido amplamente adotado pela comunidade de auditoria externa e interna buscando entender melhor os controles de TI e essencial para satisfazer um nmero cada vez maior de legais, requisitos regulamentares e contratuais, que incluem relatrios fi nanceira, Sarbanes-Oxley, Basel II e muitos mais. Como uma estrutura aberta para a TI em sua quarta verso, agora amplamente aceito em todo o mundo como o modelo de processo preferido guarda-chuva para as boas prticas em TI. Seu status como o padro de facto surge de ter alcanado um equilbrio no detalhe do contedo fornecido. Este equilbrio entre informaes sufi cientes para fornecer orientaes teis mas conciso o suficiente para se concentrar principalmente sobre o que necessrio ao invs de como realizar as atividades prprias. O framework COBIT fortemente ponderados para a compreenso dos requisitos de negcio para TI e menos dependente de referncias s melhores prticas de TI. Isso faz com que o quadro particularmente atraente para executivos de empresas, lderes empresariais e de gesto de TI snior, mas nem tanto para os iniciantes em TI, mais interessados em howto instrues de trabalho que fornecem especificamente orientao

Consequentemente, um nmero muito grande de organizaes ao redor do mundo utilizam atualmente COBIT. Este provvel que inclua cada entidade que esperado para resolver Sarbanes-Oxley. Este se estende alm da personalidade jurdica prpria e inclui, em muitos casos, seus prestadores de servios. 11,3 Descrio e grficos principais O framework COBIT organiza atividades de TI em trinta e quatro processos divididos em quatro domnios que seguem a estrutura de Deming Plan, Do, Check e Act. Relacionadas as atividades de TI so recolhidos nos processos individuais que so remetidos para fornecer um conjunto integrado de processos de TI com que a gerenciar a TI em linha com as expectativas de negcios. Ao nvel do processo, h uma descrio dos resultados para ser esperado (metas de processo), juntamente com detalhes sobre os controles mnimos (objetivos de controle detalhados) para ser considerado em contrariar os riscos inerentes de que o processo em particular, bem como um modelo para avaliar corrente (modelo de maturidade de capacidades) para apoiar as atividades da entidade de negcios e descrito em relao para os detalhes pessoas, tecnologia e processo. COBIT 4.0 inclui informaes adicionais sobre os papis e responsabilidades a nvel de processo e as relaes entre processos. O quadro mostra como os processos de TI e recursos, incluindo sistemas de aplicao, informaes, infra-estrutura e as pessoas so usados para fornecer a actividade com a informao que tem o essencial caractersticas que devem ser de valor em termos de qualidade satisfatria e fi duciary e requisitos de segurana. So fornecidas orientaes sobre mapeamento de processos individuais para as metas de TI, e, em seguida, sobre o mapeamento Metas de TI aos objetivos de negcio. Esta prev o alinhamento dos processos de TI com negcios objetivos. Consequentemente, o quadro COBIT pode ser usado para estabelecer um Balanced Scorecard que se comunica com negcios como a organizao de TI agrega valor. Para empresas novas Conceitos de Balanced Scorecard ou lutando para desenvolver a sua verso fi rst, a documentao COBIT fornece um Balanced Scorecard que sufi ciente para ajudar a entidade a comear dentro de dias, e no de meses ou anos. Com o conhecimento sobre os objetivos do negcio e dos processos de TI que suportam a produo de informaes sobre os requisitos de negcio, o quadro descreve como os processos de TI so ser controlada e as prticas de controlo que ser essencial, em conjunto com as orientaes de auditoria de serusado quando a empreender uma reviso.

Os objetivos de controle detalhados para cada processo de fornecer alguma compreenso de fl uxo dentro o processo e os controlos essenciais. Isto pode ser usado para compreender o processo de base ea sua controles. Detalhes adicionais sobre o

processo pode ser derivado do processo de maturao c especificamente modelo e as instrues de controle mais detalhados Prtica - uma publicao separada da documentao COBIT principal definido. As prticas de controle de TI expandir as capacidades do COBIT quadro, proporcionando ao praticante um nvel adicional de detalhes sobre como e por que controles so necessrios para os provedores de gerenciamento, servios, usurios finais e profissionais de controle. No nvel de atividade no so declarados objetivos de atividades com o objetivo de tornar o processo eficaz, indicadores de metas principais para se concentrar nas expectativas empresariais, bem como indicadores chave de desempenho para gerenciar o dia-a-dia. De interesse primordial para gerncia e os funcionrios so: Framework - isso explica como COBIT est estruturado em quatro domnios de TI e trinta e quatro processos, cada um deles ligado aos requisitos de negcios Objectivos de controlo - estes fornecem orientao genrica sobre as boas prticas para a gesto de TI atividades Prticas Controle - estes descrever porque os controles so dignos de implementao e como implementar eles IT Assurance Guide - uma abordagem de auditoria genrico e orientao para apoiar a auditoria de todos do COBIT processos de TI

Controle de TI Objetivos para Sarbanes-Oxley - que fornece orientaes sobre como garantir o cumprimento de o ambiente de TI com base nos objetivos de controle do COBIT Governana de TI Guia de Implementao - um roteiro genrico para implementar a governana de TI utilizando uma equipe de projeto dedicado COBIT Quickstart - a base de controle para organizaes menores e um passo rst possvel para fi a maior empresa COBIT Security Baseline - passos essenciais para a implementao da segurana da informao dentro da empresa. COBIT uma estrutura projetada para orientar os dois grandes e pequenas empresas em uma ampla gama de indstrias e em diferentes estgios de maturidade organizacional, mas, mais importante, com partes interessadas que tm metas de negcios e expectativas diferentes, portanto, diferentes de TI gesto. Para ser relevante para um pblico amplo, o contedo do framework COBIT de natureza genrica e portanto, mais til como uma orientao, em vez de como um padro. No h inteno de implementar um esquema de certificao cao. COBIT, ITIL e como outro processo enquadramentos, uma orientao que til como uma fonte de boas prticas. A melhor prtica algo internos organizao e isso impulsionado pelo negcio precisa de TI. Por exemplo, no uma organizao a implementar uma soluo de ERP, a empresa pode esperar da TI funo, seus consultores e fornecedores de ter adequado, mas diferentes nveis de capacidade nos processos de TI relevantes. COBIT seria uma ferramenta til para compreender as suas respectivas capacidades, mas esta capacidade deve ser medida em relao s necessidades da organizao, ao invs de uma noo das melhores prticas universal. Compliance procurado fi rst e acima de tudo com as expectativas de negcios e, portanto, o desempenho deve ser entendido usando ferramentas como o Balanced Scorecard e indicadores de metas principais. Melhor prtica no o objetivo final. O framework COBIT dirige uma organizao para entender o que sufi ciente para que o negcio ser bem sucedido e permite que a organizao e a equipe para determinar a melhor forma de organizar e executar as atividades necessrias para o negcio para ter sucesso. Para os indivduos que desejam melhorar seu conhecimento do framework COBIT, no entanto, uma linha COBIT Foundation curso e exame est disponvel a partir da ISACA. 11,4 Abordagem / como

No h uma abordagem nica para a implementao do COBIT. A estrutura tem mltiplas aplicaes com as avaliaes mais comuns so relacionados com a preparao de fi nanceira anual declaraes. Exigncias de governana corporativa de conformidade, como aqueles para Sarbanes-Oxley tm aumentado a popularidade do COBIT atravs da necessidade de implementar controles adequados sobre financeira relatorios a nvel operacional dentro da TI. Os requisitos de conformidade futuras continuaro a dirigir a necessidade de atividades adequadas de gesto de risco operacional em TI e, conseqentemente, controla precisam ser implementadas de uma forma sustentvel. O interesse crescente no entendimento da capacidade da organizao de TI para entregar. COBIT comeou a desempenhar um papel no pode mais significativo no planejamento de TI

melhora a capacidade, medio de desempenho e desenvolvimento de Balanced Scorecards. Atravs da anlise de processos de TI especificamente c, as concluses pode ser alcanado sobre a capacidade de uma organizao a terceirizar ou gerenciar com sucesso uma grande escala Ambiente ERP. Bespoke melhorias em reas como a rea de trabalho de gesto, software otimizao de licena e contratao pode ser planejado e dirigido com o auxlio de COBIT para se concentrar em ambos os processos necessrios e desempenho entregue. Implementar a governana de TI baseada em COBIT freqentemente feito de duas maneiras. A primeira Fi geralmente desencadeada por uma anlise da abertura com uma medio do que est em lugar de ser comparado com um modelo do que esperado - subjetiva nos resultados. A abordagem (e mais seguro), segundo se baseia em uma anlise das necessidades de negcios que podem incluir a reviso da cadeia de negcio em particular "valor e vincular isso base de suporte de TI processos de prestao de servios e desempenho de processos de negcios. Os custos associados com uma implementao de governana de TI em larga escala pode variar de dois por cento a dez por cento do oramento de capital de TI gastar e operacional. Isto ir depender da inicial maturidade da organizao de TI, as metas definidas para a iniciativa ea disponibilidade de recursos tanto interna como externamente. Muitas organizaes optam algo menos do que uma implementao em larga escala de governana de TI, preferindo se concentrar em alguns poucos processos bsicos que os temas de endereos especfi cos, tais como entrega de valor, de TI alinhamento, otimizao de recursos ou gesto de riscos. Sabendo que o sucesso ser a aparncia e quem vai fazer essa avaliao deve ser acordada antes de uma iniciativa para melhorar a governana de TI comea. Basta melhorar os sistemas de TI e processos sistemas sem sentido, mas melhorando e processos que resultam no negcio atingir os seus objectivos agrega valor real. Qualquer iniciativa de melhoria usando COBIT deve ser focado no resultado de o negcio. COBIT cao certificado no est disponvel e no apropriado, j que o objetivo principal para TI processos para atender aos requisitos de negcio. 11,5 Relevncia para a gesto de TI Gerenciamento de TI pode derivar t beneficirio direto de usar o framework COBIT para implementar melhor governana em trs reas - capacidade de construo, direcionando-actividades com vista a alcanar sadas especificaes de processo C e medir o desempenho com sucesso em alcanar resultados que atender os objetivos de negcio. Gesto de risco, alinhamento estratgico, entrega de valor, gesto de recursos e desempenho medio ser melhorada atravs da utilizao do framework COBIT. COBIT tambm pode ser usado para estabelecer uma fundao para a gesto de informaes de segurana ou empresa exerccios tais como otimizao de custos e projetos, tais como gerenciamento de desktop. Antes de terceirizao ou implementao de uma soluo ERP de grande porte, gesto de TI poderiam fazer uso do framework COBIT para entender melhor sua prpria prontido organizacional e sua especificao de capacidade de processo c neste considerar. Isto ir dirigir os preparativos da organizao, que ser essencial para o sucesso. Muitos ERP e

outsourcing de sucesso falhas poderiam ter sido evitadas se a gesto de TI e executivos mais bem compreendido a real capacidade da soluo de terceiros e servios fornecedores. A gerncia deve fazer uso de COBIT para melhor planejar a contratao de terceiros e preparar melhor os contratos e acordos de nvel de servio para evitar o desastre possvel.

11,6 Pontos fortes e fracos Fora COBIT em ser concisa e de fcil compreenso anulada pela orientao limitada fornecida para aqueles que esto buscando mais detalhes sobre como os processos devem ser implementados. Consequentemente COBIT mais adequado como ferramenta de avaliao, em vez de um instrumento de implementao. Seu contedo amplo, mas os detalhes no so abrangentes. Para implementar a governana de TI baseada em COBIT requer experincia sufi ciente processo ou outras fontes de boas prticas disponveis para preencher as lacunas nas seqncias de atividades que podem ser derivados dos objetivos detalhados de controle e modelo de maturidade. COBIT 4.0 introduziu o / Responsvel / Responsvel Consultado / Informado (RACI) tcnica para lidar com papis e responsabilidades em cada processo, mas no descreve os mecanismos para a plena defi ne e atribuir responsabilidades em todo o processo. As medidas de desempenho que KPIs link e atividade, processo, TI e os objetivos de negcio so tratados superficialmente especialmente, com muitas vezes no mais do que trs ou quatro medidas descritas para o que um processo de TI complexa, com muitas reas-chave de processo caindo fora das medidas atuais. No entanto, o COBIT fornece conceitos no utilizados muitas vezes em outros lugares, como a maturidade do processo, genricos objetivos de processos, objetivos detalhados de controle e prticas de controle. Estes iro fornecer ajuda considervel, dado que a maioria das organizaes ao redor do mundo esto no nvel de maturidade One, que : Os proprietrios de processos poucos so defi nidos para um desempenho eficaz em todas as reas de processo responsabilidade no formalmente atribuda a todos os participantes no processo de Os sufi cientemente processos bem defi Ned no esto em vigor Os objetivos de processos e resultados que satisfaam o negcio no esto sendo alcanados As polticas, planos e procedimentos no so adequados para apoiar as pessoas com responsabilidades em reas de processo individuais. COBIT menciona propriedade processo no PO4 processo, mas no lida com a superao da desafios em tempo de execuo, como a TI 'silos' suporte ao negcio, o processo de interrelacionamentos e acoplamento solta necessrias entre os processos, a medida em que os processos devem ser defi nida a ser significativa, evitando o perigo de ser excessivamente detalhada, a necessidade de pessoal para ser habilitada a receber o que necessrio fazer, o confronto entre a gesto hierrquica estilos ea abordagem baseada em processo. Nem COBIT enfrentar o desafio do desenvolvimento sustentvel melhoria no futuro. Consequentemente perspectiva de um praticante est faltando eo orientao sobre implementaes reais fraca, com os processos existentes e do pessoal que executa estas tarefas completamente ignorado. Usando COBIT para planejar e melhoria do processo direto, se feito corretamente, vai garantir que um equilbrio adequado mantido em investir em recursos de pessoas, processos e

tecnologia. Tambm muitas vezes o recurso povo ignorado eo recurso a tecnologia mais enfatizado como o caminho para atingir o valor mximo de negcios. O modelo de maturidade COBIT, estrutura de controle e medidas de desempenho definidos uma seqncia preferida de atividades que comea com as pessoas que compreender o processo em uma organizao particular, defi ning esse processo e tomar decises sobre automao para conduzir efi cincia e melhorar a qualidade do processo, enquanto procuram competitiva vantagem. Armadilhas que freqentemente ocorrem em uma implementao de COBIT incluem iniciativas de melhoria baseando sobre as melhores prticas, em vez de necessidade do negcio, com vista para a equipe atual empregados (as pessoas recursos que precisam ser desenvolvidos lado a lado com a melhoria do processo), e esperando tecnologia por si s para superar deficincias, se houver atualmente existem processos bem definido para suportar o negcio e no h pessoas suficientemente suficientemente qualificados para executar os processos melhorados. 11,7 Cross-reference/relationships COBIT foi harmonizada e mapeamentos diferentes entre COBIT e outros amplamente utilizados estruturas existem, alguns formalmente pesquisado e publicado e outros informalmente preparado e compartilhados atravs da Internet. ISACA tem duas publicaes: Mapeamento COBIT que inclui a norma ISO / IEC 17799:2000, ITIL, ISO / IEC TR 13335, ISO / IEC 15408:1999, Common Criteria / ITSEC, TickIT, NIST 800-14 e COSO e Mapeamento entre COBIT, ITIL e ISO 17799. Na maioria dos casos, os modelos de processo so complementares. COBIT, frequentemente, fornece a alta quadro nvel guarda-chuva para o que exigido em todas as reas de TI, enquanto os modelos de processos individuais tais como ITIL fornecer mais detalhes sobre como realizar atividades relacionados ao processo de especificao reas de processo. Os grupos de enquadramento do COBIT atividades de TI em trinta e quatro processos. Cada processo tem COBIT uma estrutura semelhante e contedo que aborda atividades de gerenciamento de chaves, controles para gerenciar riscos inerentes e medio de desempenho. Como um quadro, COBIT cobre a mais ampla mbito de atividades de TI. Para tratar cada processo de forma consistente, COBIT deve ser bastante genrico. o ITIL quadro se concentra principalmente na gesto de servios. Ele fornece ainda mais processo de defi nio e orientao para abordar as reas de servio de suporte e prestao de servios. Estas duas estruturas so , por conseguinte, em grande parte complementar, com um ou o outro sendo mais teis para o pblico, dependendo sobre a rea de interesse. Por exemplo, o COBIT fornece uma abordagem nica para o desempenho em todos os reas de TI atividade; ITIL no faz. Mas ITIL ir fornecer mais informaes especificamente C que poderia ser til para a medio de desempenho de servios de apoio e prestao de servios. O Scorecard de TI equilibrada um dos conceitos fundamentais que est integrado no COBIT 4.0 quadro,

ISO 27001 - Information Security Management Systems

ISO 27001 fornece um modelo e orientao detalhada para reduzir a exposio de uma organizao de risco de segurana da informao, tal como foi implementada atravs de um

Sistema de Gesto da Segurana da Informao (SGSI). As organizaes, em sua vida, experimentar muitas alterar informaes de perfis de risco de segurana no ambiente de suas operaes. Um SGSI implementado sob a ISO 27001 srie de padres cresce com a organizao atravs de manuteno planejada e ciclos de melhoria. 4,1 Origem / histria A gnese da srie ISO 27001 de Padres BS7799, uma norma britnica derivada do UK DTI CCSC (Comercial Computer Security Centre) "Cdigo do Usurio de Prtica" (fi rst publicado em 1989). BS7799, publicado em 1995 como BS7799: 1995, foi reeditado como BS7799: 1999, depois de grandes revises. Depois de pequenas revises, este documento foi aceito como padro internacional para Information Security Management, ISO / IEC 17799:2000, que aps as revises, foi republicado em 2005 como ISO / IEC 17799:2005 (probabilidade de se tornarem a norma ISO / IEC 27002). A segunda parte da Norma, BS7799-2, publicado em 1998, foi adicionado para fornecer orientaes sobre a criao e os requisitos para Sistemas de Informao de Gesto de Segurana. Para traz-lo em consonncia com as normas de gesto de outros sistemas (ISO / IEC 9001:2000 e ISO / IEC 14001:1996), BS7799-2 foi revisado para incluir o Plan-Do-Check-Act ciclo (PDCA), que estendeu seu alcance para incluir a criao, implementao, operao, monitorizao, reviso, manuteno e melhoria de uma organizao de informaes do sistema de gesto de segurana. Este foi publicado como BS7799-2: 2002 e, novamente, aps reviso, foi aceito como um completo padro internacional ISO / IEC 27001:2005. Tem havido uma interaco curiosa entre as duas partes da norma: embora introduzido como um documento de suporte para o cdigo original de prtica, a segunda parte da Norma tornou-se rapidamente o mais importante dos dois documentos, fornecendo orientao para construir e manter uma ISMS da organizao. Assim, o que era Parte 2 agora a norma ISO / IEC 27001, e que era Parte 1 vai se tornar a norma ISO / IEC 27002. 4.2 Onde utilizado ISO 27001? Um Sistema de Gesto da Segurana (ISMS) o instrumento pelo qual o valor de cada um dos activos de informao da organizao so protegidos em uma base contnua. Ambiente organizacional de hoje d grande valor nos ativos de informao que uma organizao possui. Existem imperativos comerciais para partilhar estes activos informao, de modo que eles podem ser utilizados para a criao de maior valor. Devido regulamentao, legislao e proteco da vantagem competitiva, h foras concorrentes que necessitam de ativos de informao a ser protegida. 4.3 Descrio e grficos principais A ISO 27001 srie de padres reconhece que muitas facetas da segurana da informao gesto deve ser expressa atravs da implementao e operao de um SGSI: h tcnica, sistema, humano, fatores organizacionais e sociais, cada um dos quais contribui para a complexidade do tema, e uma abordagem holstica e sofisticada necessria para produzir uma t-fi finalidade do sistema. ISO 27001 tem duas partes: 1. ISO 27001:2005, Tecnologia da Informao - Tcnicas de segurana - Segurana da Informao Sistemas de gesto - Requisitos

2. ISO 17799:2005, Tecnologia da Informao - Tcnicas de segurana - Cdigo de prtica para gesto de segurana da informao ISO 27001:2005 fornece uma abordagem de gesto para a sntese de um sistema de gesto de segurana da informao que fi t para o efeito, medido pelos requisitos de segurana da informao e expectativas de todas as partes interessadas. ISO 17799:2005 um cdigo de boas prticas, organizadas em 11 reas e 39 objetivos de controle de segurana, cada um dos quais dirigida a uma determinada rea de interesse da segurana da informao diante de uma organizao. Para cada rea, o cdigo de conduta descreve objetivos de alto nvel de segurana da informao e do controlo atravs do qual os riscos no mbito do objectivo so tratados. Tambm est includo orientao de implementao. ISO 27001:2005 inclui um resumo da ISO 17799:2005 em seu Anexo A. 4,4 Abordagem / como

Gerenciamento de informaes de segurana sob a ISO 27001 alcanada atravs da sistemtica Avaliao dos riscos que enfrentam os ativos de informao da organizao, implementadas atravs do tratamento por controles das vulnerabilidades existentes nos sistemas, tecnologias e meios utilizados para mant-los. ISO 27001 tem como base o Plan-Do-Check-Act ciclo (PDCA) para estruturar o processo iterativo de criao, desenvolvimento, operao e manuteno do SGSI. O ciclo PDCA consiste nos quatro fases iteradas como mostrado na Figura 4.1. A fi gura mostra tambm os

parmetros de entrada para o ciclo PDCA, que so os requisitos de segurana da informao e expectativas das partes interessadas. Cada iterao completa do ciclo PDCA fecha a lacuna entre esses requisitos e expectativas eo desempenho do SGSI operado. Segundo a Organizao para a Cooperao Econmica eo Desenvolvimento (OCDE) Diretrizes para a Segurana de Sistemas de Informao e Networks5, as organizaes devem adotar uma abordagem abrangente para a gesto da segurana como um processo que inclui a preveno, deteco e resposta a incidentes, manuteno contnua, reviso e auditoria do sistema, e que se aplica a todas as polticas e nveis operacionais que regem a segurana dos sistemas de informao e redes. Atravs do ciclo PDCA, ISO 27001:2005 fornece um quadro de informaes do sistema securitymanagement para implementar os princpios da OCDE seguintes: conscientizao responsabilidade Resposta avaliao de risco projeto de segurana e implementao gesto de segurana reavaliao. 4.4.1 Planejamento do ISMS ISO 27001 organiza o planejamento do sistema de gesto de segurana da informao em quatro partes. A nvel organizacional, h a preparao da documentao do SGSI, em que capturada, o contexto e escopo do SGSI, e as polticas em que ele ir operar. A documentao a interface do SGSI ao executivo da organizao. Deve ser desenvolvido com o apoio total do conselho, e refl ect atitude do conselho de Gesto de Segurana da Informao. A documentao ISMS define: Poltica da organizao de Segurana da Informao que comea o processo de documentao bysetting a direo geral de Segurana da Informao dentro da organizao a Declarao de Aplicabilidade que conclui o processo de documentao, ao detalhar a implementao da organizao do seu ISMS definido. Entre estes dois o trabalho duro de desenvolvimento do ISMS. Os requisitos da Poltica de Segurana da Informao so descritas fi rst, a Declarao de Aplicabilidade ser descrito no ponto 1.3.3. A Poltica de Segurana da Informao A Poltica de Segurana da Informao dever conter uma declarao clara do compromisso da administrao de inteno e para segurana da informao, consistente com as metas de negcio da organizao e toda a regulamentao e legislao adequadas. Ele briefl y explica as escolhas feitas no desenvolvimento do SGSI em relao poltica de segurana, princpios (incluindo Diretrizes da OCDE), Padres, requisitos de conformidade, segurana de aprendizagem organizacional, responsabilidades e motivao, continuidade de negcios e relatrios incidente. D critrios contra os quais os riscos de segurana para os ativos de informao podem ser avaliados. Sustenta a ISMS e contribui para a rastreabilidade ea repetibilidade dos seus processos. A Poltica de Segurana da Informao documenta o significado da segurana da informao

para o organizao, em termos de seus limites, escopo, contexto e objetivos de segurana. Deve defi ne o quadro de uma abordagem sistemtica da organizao para a avaliao de risco - um processo para avaliar a probabilidade eo impacto de uma violao de requisitos de um ativo de segurana - juntamente com uma definio do que constitui risco aceitvel, e como inaceitvel risco devem ser mitigados. A Poltica de Segurana da Informao deve ser escrito de forma acessvel, e chamou a ateno das pessoas cujo comportamento se insere no mbito do SGSI ou, mais geralmente, so afetados por ela. A partir da Poltica de Segurana da Informao, um avaliador externo tambm desejam obter uma compreenso do significado da segurana da informao para a organizao, em termos das polticas de segurana, princpios, normas e requisitos de conformidade que infl uncia sua abordagem segurana da informao. Um avaliador externo vai querer saber: que a regulamentao, legislao e requisitos contratuais do SGSI projetado para lidar com como o ISMS sero divulgados atravs da organizao as responsabilidades dos indivduos envolvidos e as estruturas de comunicao para incidentes de segurana da informao as conseqncias das violaes da poltica de segurana da informao. Informao de Exame de Polticas de Segurana A Poltica de Segurana da Informao ser defi ne um cronograma para a reviso da gesto do ISMS - incluindo a Poltica de Segurana da Informao em si - para garantir que as mudanas no ambiente organizacional, as circunstncias do negcio, as condies legais, ou ambiente tcnico no diminuir a sua pertinncia, adequao e / ou eficcia. Tratamento identificao, avaliao de risco e risco Para efeitos da Norma, uma organizao caracteriza-se pela rea de negcio ou servio em que ele existe e funciona, a sua localizao, seus ativos e sua tecnologia. Estas variveis determinam as ameaas de segurana da informao que so enfrentados pela organizao. O contexto do SGSI a relao que as reas protegidas para manter o restante da organizao e seu ambiente de negcios. Dentro do contexto do SGSI, o mbito do SGSI determina o ativos de informao que precisam de proteo sob o ISMS. Aps a defi nio da poltica de Segurana da Informao pode comear trs tarefas, que acontecem seqencialmente dentro de todas as unidades organizacionais que se enquadrem no contexto e escopo do SGSI: ativos identifi cao avaliao de risco tratamento de riscos. Identificao de ativos Estgio T.1: identificar os ativos em risco. Para cada ativo que se insere no contexto e escopo do SGSI, seus requisitos de segurana, em termos de necessidade de preservar a sua confi dentially, integridade e disponibilidade - so analisados. Cada ativo deve ser atribudo um dono, dentro de cuja responsabilidade que a segurana de ativos de informao cai. Um inventrio de ativos ou registo devem ser construdos e mantidos, em que se registou o seu proprietrio, valor, requisitos de segurana da informao (em termos de confidencialidade, integridade e disponibilidade) e localizao; todos os processos que protegem o activo deve

ser definido, incluindo o que constitui a sua uso aceitvel. A avaliao de riscos O objetivo da avaliao de risco identificar, quantificar e priorizar os riscos que se aplicam aos ativos identificados assim como ser coerente com a abordagem da organizao ao risco, como documentado dentro de sua Poltica de Segurana da Informao. Estgio T.2: anlise de ameaas. Deve haver uma abordagem sistemtica para determinar as possveis ameaas a ativos de informao. Uma ameaa uma oportunidade, nem sempre tomadas, que existe para violar os requisitos de um ativo de informao de segurana da informao. Estgio T.3: A anlise da vulnerabilidade. A vulnerabilidade fornece um vetor para uma ameaa para se tornar um ataque bem sucedido sobre os ativos. A vulnerabilidade um ponto fraco nas defesas de um ativo que deve ser coberto pela aplicao de controles. Estgio T.4: Avaliar o impacto. Caso os requisitos de segurana da informao de um ativo ser quebrada por um ataque bem-sucedido, o dano ser feito para o ativo. Para cada um dos requisitos do activo de segurana da informao, o impacto da violao deve ser determinada. Estgio T.5: Avaliar os riscos. Caso os requisitos de segurana da informao de um ativo ser quebrada por um ataque bem-sucedido, o dano ser feito para o ativo. Isto pode ser caracterizada de duas dimenses: Impacto: o custo para a organizao da violao, com base no impacto da violao ao bem determinado na etapa anterior probabilidade: a probabilidade de o ataque ser bem sucedido. O risco para a organizao o produto da probabilidade de ocorrncia e ao impacto. Estgio T.6: identificar e avaliar opes para o tratamento de riscos. A partir da atitude declarou ao risco, gravado na Poltica de Segurana da Informao, os riscos para ativos de informao que so aceitveis pode ser determinada. Alm disso, para aqueles para os quais o risco no aceitvel, as opes para o tratamento de riscos podem ser avaliados. As opes so: evitar ou transferir o risco: por exemplo, pela alienao do activo, para que o risco se aplica ou seguro contra isso - claramente, a eliminao de ativos pode no ser possvel controlar o risco: isso para diminuir o risco do ativo, tomando medidas para reduzir as vulnerabilidades do activo. Neste caso, o risco atribudo um nvel de prioridade para o tratamento. Os documentos gerados na tarefa de anlise de risco deve apresentar provas de que todo risco real foi avaliada, juntamente com um ction justificao para o resultado - a aceitao, a evaso, transferncia ou controle - de cada avaliao individual. Tratamento de riscos Estgio T.7: selecionar os objetivos de controle e controles. No tratamento de risco, para cada risco priorizado para que o risco deve ser reduzido, a escolha do objetivo de controle feita: o objetivo de controle afirma como a vulnerabilidade subjacente o risco vai ser "corrigido". Para cada objetivo de controle, um controle (uma contramedida) escolhido que ir implement-lo. H 39 objetivos de controle e mais de 150 controles para escolher em ISO 27001:2005. Os controlos devem ser escolhidos a partir deste conjunto, ou pode ser escolhido a partir de outros lugares. Os riscos devem ser tratados por ordem de prioridade. Como parte da escolha de controlo, no deve ser determinado um programa de manuteno

reviso e critrios que o desempenho do controle pode ser avaliada. A gerncia deve assinar os resultados de identifi cao de ativos, avaliao de risco e as fases de tratamento de risco, ateno especial deve ser dada avaliao dos riscos residuais. Autorizao da gerncia para a implementao e operao do ISMS deve ser procurado. A Declarao de Aplicabilidade A Declarao de Aplicabilidade formalmente documentos: as decises tomadas sobre os objectivos que controle e os controles foram escolhidos juntamente com uma justificao do motivo pelo qual eles foram selecionados quais controles so actualmente implementados e em funcionamento que controla da Norma no foram implementadas, juntamente com as razes de cada deciso. O texto da Declarao de Aplicabilidade deve, para cada controle, ser uma forma de o descrio do requisito de controle, sufi cientemente detalhados para permitir que um auditor de terceiros para entender o que a organizao decidiu fazer e porqu. Tambm pode ser conveniente que o raciocnio e / ou material de fundo ser includos; referncias documentao subjacente que contm o raciocnio / fundo deve ser feita. 4.4.2 O estgio Do A fase de fazer do ciclo PDCA podem agora ser digitadas. Na sada desta etapa, a organizao ter um implementou um ISMS que est reduzindo o risco para ativos de informao crticos. Aqui, a teoria de que detalhado na Declarao de Aplicabilidade posta em prtica. Para fazer isso, a organizao formular e implementar um plano de tratamento de riscos que identifica a ao adequada gesto, recursos, responsabilidades e prioridades para a gesto dos riscos de segurana da informao, atravs da implementao dos controles selecionados na Arquitetura Orientada a Servios (SOA) para atender os objetivos de controle . A organizao ter que defi ne como monitorar a eficcia do tratamento de riscos. Isso alimenta o estgio de verificao do ciclo PDCA. A organizao precisa implementar programas de formao e sensibilizao em todas as reas que a implementao de controles, invadir a. A organizao ir implementar procedimentos e outros controles capazes de permitir a deteco imediata de eventos de segurana e resposta a incidentes de segurana (ver 4.4.3). 4.4.3 A fase de verificao No final da fase de verificao, um relatrio sobre os resultados da desempenho e fi forma fsica finalidade do SGSI em operao (a partir da fase Do) vai ser dada gesto para anlise da eficcia do sistema. O desempenho dos processos do sistema avaliada e medida contra a poltica do SGSI, objetivos e, depois de iterao no ciclo PDCA, contra a experincia prtica de como o sistema se comporta. 4.4.4 O estgio Lei Aps anlise da gesto, aes corretivas e preventivas sejam tomadas, com base nos resultados da auditoria interna do SGSI e reviso da gesto ou outras informaes relevantes, para alcanar a melhoria contnua do SGSI (adaptado de ISO 27001, pgina vi). 4,5 Relevncia para a gesto de TI A ISO 27001 srie de padres um fator chave na gesto de TI de qualquer organizao. Atravs do padro reconhecido o valor da informao que uma organizao utiliza. Muitos desses ativos de informao que so de valor para uma organizao ser realizada em equipamentos de TI, e muitas das vulnerabilidades que ameaam diminuir o seu valor existe

por causa de equipamentos de TI. De fato, muitos dos controles escolhidos para gerir os riscos que incidem sobre a gesto de TI. No entanto, Gesto de Segurana da Informao no apenas uma questo de gesto de TI e trat-la como tal seria um erro, porque muitas das vulnerabilidades de segurana da informao que so enfrentados pelas organizaes no residem na infra-estrutura de TI, mas no lado social do scio da organizao tcnico do sistema. Ativos identifi cao e fases de avaliao de risco deve ser assim em toda a organizao. No controle de riscos lado, muitos dos controles no padro afetam a gesto de TI, e sua reviso e manuteno - um componente necessrio do ISMS - vai vir corretamente dentro dessa funo. 4.6 Pontos fortes e fracos A ISO 27001 srie de padres fornece orientao detalhada para a sntese de um fi tforpurpose Sistema de Gesto de Segurana, medida por uma organizao de risco perfi l. O sistema construdo por iterao atravs do ciclo PDCA, cada ciclo de melhorar a eficcia do sistema. H uma excelente profundidade de orientao para o cdigo de prtica para o ISMS, ea largura dos sistemas implementados, muito bom. Pode parecer que o foco da Norma sobre confidencialidade, integridade e disponibilidade bastante limitada, dada a complexidade dos sistemas informticos modernos. Na verdade, confi confidencialidade, integridade e disponibilidade so, precisamente o nvel certo de comear uma anlise das necessidades de um ativo de segurana da informao; cobrem no mbito da necessidade de fazer o melhor uso do activo, no mbito do ISMS, e para mant-lo fora desse mbito escasso. Questes como a autenticao so realmente parte dos controles para as vulnerabilidades que protegem os requisitos de um ativo de segurana da informao. Um dos principais problemas com a implementao de um SGSI o grande nmero de ativos que esto disponveis para uma organizao. Na ordem de milhares de ativos no incomum, o padro indica que todos os bens devem ser avaliados em termos dos requisitos de segurana da informao, uma contra a ameaa aplicvel. O grande nmero de ativos / ameaa combinaes de caracteres oferecem um grande desafio para a iterao rst fi atravs do ciclo PDCA. As organizaes modernas precisam compartilhar informaes fora de seus limites fsicos, com organizaes parceiras. Defi o do mbito e contexto do ISMS se torna difi culto, dado que possvel que duas ou mais organizaes estaro sujeitos a ela. A avaliao externa de todas as organizaes partidrias contra a norma pode reduzir este problema, e um acordo sobre um nmero relativamente pequeno de detalhes - como os nveis de segurana da informao - vai ajudar mais.

ISO/IEC 20000 - ITSM Standard

ISO / IEC 20000 o padro formal para gerenciamento de servios. Proprietrio dos direitos autorais: International Standards Organization (ISO): www.iso.org Distribuio: cao certificao formal contra o padro cresce rapidamente. Embora o padro original foi desenvolvido no Reino Unido, tomar at ter sido internacional com apenas cerca de 30 por cento do primeira parcela de alunos que est sendo baseada no Reino Unido. Origem / Histria: Inicialmente desenvolvido como uma norma britnica, BS15000, antes adoo pela International Standards Organization (ISO) e International Electrotechnical Commission (IEC), foi tambm adotado por organismos de normalizao na Austrlia (AS 8018), Hungria, frica do Sul e Coria. Quando: Verso 1 publicado de 2000, publicou a verso 2 de 2002.
5,1 Origem / histria O padro foi desenvolvido originalmente - e publicado em 2000 como BS15000 - por uma comisso da British Standards Institution. Este grupo era composto por especialistas em TI de servios de gesto de fornecedores e organizaes de usurios, itSMF e do Reino Unido relevantes organismos do sector pblico, como CCTA (agora parte do Offi ce Reino Unido of Government Commerce) e do Escritrio Nacional de Auditoria. Esta mesma comisso trabalhou com um grupo de prestadores de 'early adopter' de servios que efetivamente testado a verso 1. A partir deste exerccio, a comisso passou a desenvolver e produzir a verso 2 em 2002.

ISO / IEC 20000 vai cair devido renovao at SC7, o responsvel ISO comit no prazo de trs anos, mas provvel que se mantenha substancialmente inalterado at ento.

5.2 Onde ISO / IEC 20000 usado? ISO / IEC 20000 apropriado para as organizaes de TI de provedores de servios. adequado para todos setores da indstria e para todos os tamanhos de organizao, exceto o menor muito (onde uma ampla certificao ISO 9000 provavelmente mais sensvel). Embora o uso tradicional de um padro formal conseguir cao certificao formal, o produto tambm til como uma referncia e guia para a implementao de processos de melhores prticas. A natureza inerente de um padro - requisitos expressos de forma inequvoca - permite significativas periodby perodo comparaes, o que pode oferecer uma medida de melhoria nos processos de um prestador de servios. Cao certificao formal contra o padro cresce rapidamente, com mais de 70 organizaes alcanar cao certifi No primeiro fi dezoito meses de funcionamento do regime a partir da existncia de fi rst BS15000. Embora o padro original foi desenvolvido no Reino Unido, take-up tem sido internacional com apenas cerca de 30 por cento da parcela inicial de alunos que est sendo baseada no Reino Unido. 5.3 Descrio e grficos principais ISO 20000 uma norma de gesto, abordando a criao e manuteno de processos e os mecanismos para assegurar a sua relevncia e melhoria. O contedo central da norma de propriedade e mantido pela Organizao Internacional de Normalizao, mas organismos nacionais de normalizao publicar este contedo diretamente com o contedo nacional adicionais relevantes como bibliografia e referncias. Por exemplo, no Reino Unido publicado como BS ISO / IEC 20000. O padro compreende duas partes: Parte 1 - cao especificaes. Este os requisitos documentados que uma organizao deve cumprir para alcanar cao certificao formal contra a ISO / IEC 20000 Parte 2 - Cdigo de Prtica: Expanso e explicao dos requisitos da seo 1. Ambas as partes partilham uma estrutura comum: 1. Escopo 2. Termos e definies 3. Requisitos para um sistema de gesto 4. Planejamento e implementao de gesto de servios 5. Planejamento e implementao de servios novos ou modificados 6. Processos de servios de entrega 7. Processos de relacionamento 8. Processos de resoluo 9. Processos de controle 10. Processos de liberao.

Como qualquer padro, ISO 20000 usada principalmente como uma demonstrao de conformidade com as melhores prticas aceito. Alm dos elementos centrais da boa prtica de gesto de TI melhor servio, ele tambm exige que os fornecedores de servios para implementar a metodologia do "Plan-Do-Check-Act" (crculo de Deming de qualidade) e apliclo aos seus processos de gerenciamento de servios. De Melhoria de Servio Continuada "Isto consagra para o prestador de servios, garantindo que os processos da organizao desenvolver, amadurecer e se adaptar s exigncias de seus clientes e erros e omisses so evitados e aqueles que foram tratados no se repitam. 5.3.1 Benefcios Objetivo principal das organizaes a demonstrao de que um prestador de servios est em conformidade com os requisitos estabelecidos na norma. Isto, por sua vez, pode ser para um ou mais motivos, tais como: um foco para a realizao interna - uma demonstrao concreta de processos relevantes e adequados e abordagem dentro do prestador de servios demonstrao de conformidade para mostrar credibilidade para os clientes existentes e / ou potencial requisito formal estabelecido pelos clientes - que exige seu fornecedor de servios para cumprir formalmente aceito melhores prticas A poltica corporativa que a organizao como um todo cumpre todas as normas internacionais pertinentes.

Alm da demonstrao formal de cumprimento, muitas organizaes usam a ISO / IEC 20000 internamente para identificar os alvos de desempenho para medir-se contra. Neste caso, embora a conformidade com todos os elementos dentro do padro no for atingido, no entanto, em conformidade melhorias podem ser medidos, quer internamente ou pelo uso de consultores externos, e demonstra-perodo em perodo de melhoria. Os principais elementos da ISO / IEC 20000 (partes 1 e 2 da norma) so suportadas por vrios British Standards Institution (BSI) documentos publicados, incluindo: BIP0015 - Auto-avaliao pasta de trabalho. Este livro contm algumas orientaes sobre a avaliao de uma organizao para o seu cumprimento com a norma e, efetivamente, estabelece os elementos da norma ISO / IEC 20000, sob a forma de perguntas Guia de Manager para gerenciamento de servios - um livro introdutrio que visa tornar os gestores conscientes da importncia e elementos de gesto de servios Atingir o ISO / IEC 20000 - uma srie de livros, dando orientao c especificamente sobre a implementao e manuteno de processos que estejam em conformidade com a Norma. 5.3.2 Programa de Certificao Um esquema de certificao formal existe para organizaes que desejam demonstrar sua conformidade com os requisitos da norma ISO / IEC 20000. Este esquema atualmente de propriedade e administrado pelo itSMF. Para ter direito ISO / IEC 20000 status de certificao, um prestador de servios deve cumprir todas as exigncias dentro Parte 1 desta Norma. A rea de aplicao para o padro pode, no entanto, ser escopo por qualquer outro factor, restringindo a entidade certificado ed em termos de, por exemplo: Geografia - limitado a servios prestados por ou para um escritrio especfico, grupo de escritrios, cidade e assim por diante cliente / lgico - limitado a servios prestados por um ou mais grupos de clientes, ou para uma nica diviso no seio da organizao linguagem ou elemento delinear outro. 5.3.3 individuais ctions qualificaes e treinamentos disponveis Experientes auditores ISO 9000 que desejam realizar formais ISO / IEC 20000 ou auditorias Corpo cao registrado Certifi (RCB) ao abrigo do regime itSMF deve participar de um curso de formao aprovado itSMF. Aqueles que desejam aconselhar organizaes (como consultores internos ou externos, ou que pode estar trabalhando diretamente em um projeto para alcanar ISO / IEC 20000 cao certificado dentro de uma organizao) pode participar de um curso de formao aprovado itSMF que lhes permitir um exame levando a uma qualificao formal. Este curso geralmente de trs dias, incluindo o exame. Muitas pessoas na indstria j obtiveram este ction qualificao eo treinamento est disponvel em muitos provedores de servios de TI de formao em gesto. Detalhes do actual regime pode ser encontrado a partir de sites (veja abaixo). 5,4 Abordagem / como ISO / IEC 20000 pode ser aplicada por qualquer prestador de servios que pretende demonstrar a conformidade com as melhores prticas em gesto de servios. O grau e escala de intervalos de aplicao de atravs de um espectro de custo formalidade e visibilidade: comparao interna, uma comparao informal de prticas reais contra a ISO / IEC requisitos

e adoo de algumas dessas prticas, fazendo uso de orientao e apoio a ele idias estabelecidas na Parte 2 (Cdigo de Boas Prticas) ea documentao de apoio benchmarking interno - usando o padro, e sua documentao de apoio, especialmente pasta de trabalho a avaliao, para identificar o grau de cumprimento. Em seguida, atravs de um exerccio de melhoria, um maior grau de adeso pode ser mostrado em uma avaliao de repetio, demonstrando assim a melhoria certificao formal - atravs do regime oficial - demonstrando a adeso a melhores prticas. Embora a ISO / IEC 20000 contm algumas orientaes, especialmente no Cdigo de Prtica e documentao de apoio, principalmente uma medida de conformidade processo a ser alcanado por uma organizao, em vez de estabelecer um meio de conseguir que a conformidade do processo. No mnimo, as organizaes que procuram formal, ISO / IEC 20000 cao certificao exigir um programa de melhoramento efetivo servio, que aborda reas fracas e melhora os processos para se conformar com os requisitos da norma. Os custos para uma organizao de atingir a conformidade deve incluir: formao de pessoal - normalmente na conscincia da gesto de servios (muitas vezes na prtica, entregue como ITIL ITIL conscincia ou fundao ou treinamento gerentes de nvel) Os custos da melhoria - por exemplo, agentes contratuais para cobrir os identificar e melhorias de execuo, de consultoria externa avaliao por um organismo de certificao registrada para auditoria formal contra o Standard. 5,5 Relevncia para a gesto de TI O padro totalmente preocupado com o gerenciamento de servios e, portanto, central relevante. Ele no depende de nenhuma abordagem especfica, em vez avaliaes so feitas contra o inplace processos, independentemente do que os mtodos de orientao ou tcnicas foram adotadas pelo prestador de servios para desenvolver e manter os processos. 5.6 Pontos fortes e fracos Ainda cedo na vida desta famlia padro, mas j take-up signifi cativo e crescente. Com a adoo mundial significativa, ISO / IEC 20000 oferece comunidade um ncleo concordou e aceitou de boas prticas. A fim de alcanar uma cobertura ampla e abrangente, a norma trata apenas de os elementos essenciais genericamente vlidos dos processos de gerenciamento de servios, e por isso nunca pode descrever o conjunto de processos / procedimentos que qualquer prestador de servios especficos ser necessria a fim de prestar servios efectivos e efi cientes, servios orientados para o consumidor