Post on 07-Jul-2015
description
ê
ç
Por
Quê?Gerenciar
?
Estamos interconectados.
É preciso cuidar do que se
vem de fora para dentro na
organização.
É necessário ter segurança
para a informação.
Mesmo assim, gerenciar a
segurança da informação na
organização é uma coisa
desnecessária e pouco aplicável.
ç
ç
Segurançaã
Não basta aplicarÉ preciso:
e
da InformaçãoSegurança
ç
Descrição e Propósito do Processo:
Definir, operar e monitorar um sistema de gestão de Segurança da Informação (SI). Manter o impacto e
ocorrência de incidentes de SI dentro dos níveis aceitáveis de risco da organização.
ç
Onde Atua?
“Não há praticamente uma atividade de TIque não esteja ligada à segurança dainformação. Em COBIT 5 cada processo temum aspecto que impacta ou é impactadopela segurança da informação...”
Fonte: http://www.itgovernance.co.za/3/index.php/all-articles/179-security-management-system
Onde Atua?
É
É
Tabela RACI
FunçãoAPO13.01
Estabelecer e manter um ISMS
APO13.02Definir e gerenciar um plano de tratamento
para o risco de SI
APO13.03Monitorar e revisar o
ISMS
CEO C C -
Diretor Financeiro C C
Diretor de Operações C C C
Executivos de Negócios
I C R
Proprietários de Processos de Negócios
C C C
Comitê Executivo Estratégico
I I -
Diretor de Gerenciamento de
ProjetoI I R
Diretor Riscos C C -
RACI
1/3
Tabela RACI
FunçãoAPO13.01
Estabelecer e manter um ISMS
APO13.02Definir e gerenciar um plano de tratamento
para o risco de SI
APO13.03Monitorar e revisar o
ISMS
Diretor da Segurança de Informação
A A A
Diretoria de Arquitetura
C C -
Comitê de Risco da Empresa
C C -
Observância C C C
Auditoria C C C
Diretor da Informação R R R
Arquiteto-Chefe I C R
Chefe de Desenvolvimento
I C R
RACI
2/3
Tabela RACI
FunçãoAPO13.01
Estabelecer e manter um ISMS
APO13.02Definir e gerenciar um plano de tratamento
para o risco de SI
APO13.03Monitorar e revisar o
ISMS
Chefe de Operações deTI
I C R
Chefe de Administração de TI
R R R
Gerente de Serviços I C R
Gerente de Segurança da Informação
R R R
Gerente deContinuidade de
NegóciosC C R
Diretor de Privacidade C C R
RACI
3/3
Principais Características do Processo
APO13.01
Prática Chave Entradas Saídas
Estabelecer e manter umISMS que fornece acessopadrão, formal e contínuoao gerenciamento desegurança da informação
De Descrição Descrição Para
Externo ao COBIT
Acesso de segurança à empresa
Política ISMS Interno
Homologação de escopo ISMS
APO01.02DSS06.03
Atividades: Define um ISMS de acordo com a política da empresa e alinha com a empresa, a organização, sua localização, ativos e tecnologia / Define e comunica à gestão de segurança da informação regras e responsabilidades.
Principais Características do Processo
APO13.02
Prática Chave Entradas Saídas
Manter um plano de segurançada informação que descrevecomo o risco de segurança dainformação está sendogerenciada e alinhada com aestratégica e arquitetura daempresa. Assegurando que asrecomendações paraimplementação de melhoria dasegurança estão baseadas noscasos de negócios aprovados eimplementado como uma parteintegral dos serviços e soluçõesde desenvolvimento, então,operados como uma parteintegral da operação denegócios.
De Descrição Descrição Para
APO02.04Encaixe e mudanças
necessárias para realizar a meta
Plano de tratamento de risco da segurança
da informação
Todos os EDMTodos os APOTodos os BAITodos os DSSTodos os MEA
APO03.02
Descrições de domínio da linha
bases e definição de arquitetura Casos de negócios da segurança da informação
APO02.05
APO12.05Propostas de projetos para redução de risco
Atividades: Fornecer entrada para o design e desenvolvimento de práticas de gerenciamento e soluções selecionadas do plano de tratamento de risco de segurança.
Principais Características do Processo
APO13.03
Prática Chave Entradas Saídas
Monitorar e revisar o ISMS
De Descrição Descrição Para
DSS02.02
Requisições de serviços e incidentes
priorizados e classificados
Relatório de auditoria ISMS
MEA02.01
Recomendações para melhorias do ISMS
Interno
Atividades: Conduzir auditorias ISMS à intervalos planejados / Armazenar ações e eventos que podem ter um impacto na eficácia ou performance do ISMS.
ê
ç