PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015
|
|
- Armando Aragão Fonseca
- 8 Há anos
- Visualizações:
Transcrição
1 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais ETIR. O PRESIDENTE DO DO ESTADO DE PERNAMBUCO, no uso de suas atribuições legais e regimentais, CONSIDERANDO que o TCE-PE vem consolidando sistemas de informação cada vez mais amplos, como exigência para suportar o fluxo crescente de informações; CONSIDERANDO a necessidade de gerenciar o acesso aos sistemas de informação pelos usuários; CONSIDERANDO as NBR ISO/IEC 27001:2006, 27002:2006 e a ISO/IEC 27035:2011, que tratam de Gestão de Incidentes de Segurança da Informação e têm como objetivo assegurar que vulnerabilidades e eventos de segurança da informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil; CONSIDERANDO a Lei Federal nº , de 18 de novembro de 2011, que regula o acesso a informações, afetando a maneira como as organizações precisam proteger as suas informações; CONSIDERANDO a Política Corporativa de Segurança da Informação do Tribunal de Contas do Estado de Pernambuco (TCE-PE), regulamentada pela Resolução T.C. Nº 16/2014, que prevê a gestão dos riscos e de incidentes relacionados à segurança da informação; CONSIDERANDO que a gestão de incidentes de segurança da informação deve nortear todos os processos de trabalho e unidades do Tribunal, não podendo ficar restrita a responsabilidade apenas à área de tecnologia da informação, resolve estabelecer os procedimentos para gestão de incidentes de segurança da informação e instituir a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR). CAPÍTULO I Das Disposições Iniciais Art. 1º Esta Portaria integra a Política Corporativa de Segurança da Informação do Tribunal de Contas do Estado de Pernambuco (TCE-PE), regulamentada pela Resolução T.C. Nº 16/2014 e adota os conceitos definidos no capítulo II daquela Resolução. 1
2 Art. 2º A ETIR do TCE-PE tem por missão receber, analisar e responder a notificações e atividades relacionadas a incidentes de segurança da informação em sistemas computacionais no âmbito do TCE-PE, atuando também de forma proativa com o objetivo de minimizar vulnerabilidades e ameaças que possam comprometer o negócio da Instituição. Art. 3º Na solução e no controle dos incidentes de segurança da informação a ETIR trabalhará de forma integrada à Coordenadoria de Tecnologia da Informação (CTI), à Diretoria de Gestão e Governança (DGG), à Corregedoria Geral (CORG) e à Gerência de Controle Interno (GECI). Art. 4º A atuação da ETIR abrange as atividades desenvolvidas por: I - usuários internos do TCE-PE no exercício de suas atribuições; II - órgãos, entidades, empresas públicas ou privadas, bem como outros usuários externos, que tenham contratos, acordos ou convênios com o TCE-PE para o intercâmbio de informações. CAPÍTULO II Das Definições Art. 5º Para os fins desta Portaria considera-se: I - análise forense da segurança da informação: aplicação de técnicas de investigação e análise para capturar, gravar e analisar os incidentes de segurança da informação; Parágrafo único. A captura e análise de evidências serão feitas de forma isenta, permitindo a reconstrução de determinados dados ou do que aconteceu num sistema no passado II - cadeia de custódia: registro detalhado do modo como as evidências foram tratadas durante a análise forense, desde a coleta até os resultados finais; III - evento de Segurança da Informação: uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação IV - incidente de segurança da Informação: qualquer indício de fraude, sabotagem, desvio, falha ou evento indesejado ou inesperado que tenha probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação; V - serviço: é o conjunto de procedimentos, estruturados em um processo bem definido, oferecido ao público alvo da ETIR; 2
3 VI - tratamento e Resposta a Incidentes de Segurança da Informação: é o serviço que consiste em receber, filtrar, classificar e responder às solicitações e alertas e realizar as análises dos incidentes de segurança, procurando extrair informações que permitam impedir a continuidade da ação maliciosa e também a identificação de tendências; Art. 6º Compete aos usuários internos: CAPÍTULO III Das Competências e Responsabilidades I zelar pela segurança das informações do TCE-PE a que tenham acesso e notificar incidentes de segurança da informação através de meios de comunicação eletrônica, postal, telefônica ou Central de Atendimento ao Usuário do TCE-PE; II - seguir as diretrizes desta portaria no processo de Gestão de Incidentes de Segurança da Informação. Art. 7º Compete à DGG: I - cientificar, de imediato, à Corregedoria-Geral e à Gerência de Controle Interno, a existência de incidentes de segurança da informação de seu conhecimento que possam ser caracterizados como irregularidade ou ilegalidade; II - adotar as seguintes providências no caso de indícios de ilícitos criminais, durante o gerenciamento de incidentes de segurança da informação: a) comunicar à Presidência a necessidade de acionar as autoridades competentes para a adoção dos procedimentos legais necessários; b) observar os procedimentos para preservação das evidências e da cadeia de custódia, conforme ato normativo específico a ser expedido; c) preservar a continuidade dos serviços e a missão institucional do TCE-PE. III - apoiar as unidades organizacionais do TCE-PE nas atividades de capacitação e na disseminação de boas práticas relacionados à gestão de incidentes de segurança da informação; IV - tratar os incidentes de segurança da informação não relacionados a redes computacionais, conjuntamente com as áreas envolvidas; V monitorar a realização das ações necessárias decorrentes das respostas aos incidentes; VI - coordenar a instituição, implementação e manutenção da infraestrutura necessária à ETIR, mediante apoio da CTI; 3
4 VII - realizar a divulgação dos serviços disponibilizados pela ETIR. Art. 8º Compete à Gerência de Controle Interno: I - propor melhorias mediante orientação, adoção e implantação de normas e procedimentos que visem ao aperfeiçoamento dos procedimentos para gestão de incidentes de segurança da informação deste Tribunal, em função de trabalhos de controle interno; II - acompanhar a implantação das medidas de controle interno nos setores responsáveis, identificadas como necessárias após o tratamento dos incidentes. Art. 9º Compete à Corregedoria-Geral: I - determinar a adoção e a implantação de normas e procedimentos que visem ao aperfeiçoamento dos procedimentos para gestão de incidentes de segurança da informação deste Tribunal, em função de fatos apurados em processo disciplinar ou quando da realização de trabalhos de correição; II - promover o controle disciplinar, quando constatada ocorrência de infrações ao disposto nesta Portaria devendo ser tratadas, no que couber, conforme a Lei Estadual n 6.123, de 20 de julho de 1968, e a Portaria nº 265/2010 (Regime Disciplinar dos Servidores do TCE-PE). Art. 10. Compete ao Coordenador de Tecnologia da Informação do TCE-PE: I designar, dentre os membros de sua equipe, os profissionais que farão parte da ETIR; II designar, dentre os membros de sua equipe, o Agente Responsável pela ETIR. III supervisionar as atividades do Agente Responsável pela ETIR; IV decidir, com a participação dos gestores de TI e da DGG, sobre o tratamento e resposta a incidentes de segurança da informação. Art. 11. Compete à ETIR: I prover os serviços definidos nesta portaria; II - definir e documentar metodologia e procedimentos internos para o tratamento e resposta a incidentes; III - elaborar Planos de Recuperação de Desastres (PRD) para os processos críticos; IV - criar as estratégias de resposta a incidentes de rede; V - observar os procedimentos para preservação das evidências e da cadeia de custódia, conforme ato normativo específico a ser expedido; 4
5 VI- elaborar procedimentos de resposta para incidentes conhecidos. Parágrafo único. Na ocorrência de incidentes, a ETIR poderá ser acionada fora do horário de expediente, inclusive finais de semana e feriados, como forma de analisar e prover resposta aos mesmos. Art. 12. Compete ao Agente responsável pela ETIR: I - coordenar as atividades da ETIR; II - interagir com organismos externos de resposta a incidentes; III - criar os procedimentos internos, gerenciar as atividades e distribuir tarefas para a Equipe que compõe a ETIR. IV monitorar os controles de segurança das informações. V garantir que as ações decorrentes das respostas aos incidentes sejam realizadas. Parágrafo único. O exercício das atividades de que trata o caput dar-se-á sem prejuízo das atribuições típicas do cargo. CAPÍTULO IV Da Implantação e Funcionamento da Equipe de Tratamento e Respostas a Incidentes ETIR Art. 13. A ETIR será composta por profissionais da área de Tecnologia da Informação, sem prejuízo do desempenho das atribuições típicas do cargo, com experiência e conhecimentos técnicos compatíveis com a importância da missão da equipe. Art. 14. As decisões de tratamento e resposta a incidentes de segurança da informação serão tomadas pelo Coordenador de Tecnologia da Informação do TCE-PE; 1º A ETIR, a DGG e os gestores de TI participarão do processo de tomada de decisão, recomendando os procedimentos, medidas e ações a serem executados para o tratamento e a recuperação durante um incidente, bem como alertando sobre as repercussões no caso das recomendações não serem seguidas; 2º Durante um incidente de segurança a ETIR poderá tomar a decisão de executar as medidas de recuperação, sem esperar pela aprovação de níveis superiores de gestão, caso essa espera comprometa a resposta adequada. 5
6 Art. 15. A ETIR deve prover, no mínimo, o serviço de Tratamento e Resposta a Incidentes de Redes Computacionais; Parágrafo único. Esse serviço tem por objetivo manter os sistemas e a estrutura de segurança o mais confiáveis possível, através dos procedimentos de receber, filtrar, classificar e responder a solicitações e alertas, analisando essas informações a fim de identificar tendências de ataques. Art. 16. A ETIR deverá oferecer gradativamente os seguintes serviços complementares, observadas as necessidades e limitações institucionais: I - tratamento de vulnerabilidades - este serviço prevê o recebimento de informações sobre vulnerabilidades, quer sejam em hardware ou software, ou nos procedimentos envolvidos na sua operacionalização, objetivando analisar sua natureza, mecanismo e suas consequências e desenvolver estratégias para detecção e correção dessas vulnerabilidades; II - emissão de alertas e advertências - este serviço consiste em divulgar alertas ou advertências imediatas como uma reação diante de um incidente de segurança ocorrido na rede de computadores, com o objetivo de advertir os usuários ou dar orientações sobre como agir diante do problema; III - anúncios - este serviço consiste em divulgar, de forma proativa, alertas sobre vulnerabilidades e problemas de incidentes de segurança em redes de computadores em geral, possibilitando que os usuários se preparem contra novas ameaças; IV - prospecção ou monitoração de novas tecnologias - este serviço prospecta e/ou monitora o uso de novas técnicas das atividades de intrusão e tendências relacionadas, as quais ajudarão a identificar futuras ameaças; V - avaliação de segurança - este serviço consiste em efetuar uma análise detalhada da infraestrutura de segurança em redes de computadores e de sistemas de informação da organização com base em requisitos do próprio TCE-PE ou em melhores práticas de mercado; VI - detecção de intrusão - este serviço prevê a análise em tempo real e/ou do histórico de dispositivos que detectam as tentativas de intrusões em redes de computadores, com vistas a identificar e iniciar os procedimentos de resposta a incidente de segurança em redes de computadores, com base em eventos com características pré-definidas, que possam levar a uma possível intrusão; VII - disseminação de informações relacionadas à segurança - este serviço fornece de maneira fácil e abrangente a possibilidade de encontrar informações úteis no auxílio do tratamento de incidentes de segurança em redes computacionais. 6 CAPÍTULO V Das Rotinas e dos Procedimentos de Controle
7 Art. 17. A gestão de incidentes, sob a responsabilidade da ETIR, contempla quatro fases operacionais: detecção e notificação; avaliação e decisão; respostas; e lições aprendidas. Parágrafo único: Os incidentes de segurança da informação que não sejam relacionados a redes computacionais deverão ser tratados pela DGG e observarão, onde couber, as Rotinas e Procedimentos de Controle previstos neste Capítulo, contemplando as seguintes fases: detecção e notificação; avaliação e decisão; respostas; e lições aprendidas. Art. 18 As informações e outras provas coletadas em todas as fases da gestão dos incidentes de segurança da informação poderão ser usadas em um momento futuro para processo disciplinar ou judicial. Além de gravar a data e o tempo da ação, é necessário documentar o seguinte: I - o que foi visto (incluindo ferramentas utilizadas); II - o local da prova; III - como a evidência é arquivada (se aplicável); IV - como a verificação da prova foi realizada (se aplicável); a ele. V - informações sobre o armazenamento de custódia/seguro de material e posterior acesso Art. 19. Na fase de detecção e notificação são realizadas as seguintes ações: I - detectar/receber as notificações de ocorrência de evento ou de vulnerabilidade de segurança da informação; II - coletar as informações do evento ou da vulnerabilidade de segurança da informação; III - registrar adequadamente as informações, as atividades, resultados e decisões relacionados para análise posterior. Art. 20. Na fase de avaliação e decisão são realizadas as seguintes ações: I - realizar a avaliação para determinar se o evento é um incidente de segurança da informação potencial ou ocorrido, considerando os seguintes aspectos: a) domínio (perímetro) do impacto físico ou lógico; b) bens, infra-estruturas, informação, processos, serviços e aplicações que são ou serão afetados; c) possíveis efeitos sobre os serviços básicos da organização; 7
8 II - classificar o evento/incidente incluindo a decisão sobre a necessidade de uma resposta imediata, análise forense de informações de segurança e as atividades de comunicação; III - atualizar o banco de dados de eventos/incidentes/vulnerabilidades de segurança; IV - comunicar a ocorrência do incidente de segurança da informação à DGG e ao Coordenador da CTI. Art. 21. Na fase de respostas são realizadas as seguintes ações: I - alocar recursos internos e identificar os recursos externos necessários para dar as respostas ao incidente; II - conduzir a análise forense de segurança da informação, conforme necessário; III - atribuir procedimentos aos responsáveis, incluindo revisões e correções dos relatórios elaborados, avaliação dos prejuízos, e notificação aos servidores envolvidos no incidente; IV - comunicar a existência do incidente de segurança da informação ou de quaisquer informações pertinentes para os gestores dos ativos/serviços de informação afetados, setores internos ou organizações externas que deveriam ser envolvidos na gestão e resolução do incidente, incluindo a DGG; V - verificar se o incidente de segurança da informação está sob controle e, caso negativo, instituir atividades de crise; VI - recomendar à DGG o acionamento do plano de continuidade de negócio, quando for configurada situação de crise; VII - Identificar se há necessidade de respostas adicionais e tomar as providências necessárias para impedir a reincidência do evento/incidente. Art. 22. Na fase de lições aprendidas são realizadas as seguintes ações: I - complementar análise forense de segurança da informação, conforme necessário; II - identificar as lições aprendidas; III - rever, identificar, propor ou fazer melhorias de controles da segurança das informações; IV - rever os processos, os procedimentos, os formatos de relatórios e/ou a estrutura organizacional para garantir a eficácia na resposta aos incidentes; V - comunicar e compartilhar as lições aprendidas; 8
9 VI - relatar os incidentes de segurança da informação à CORG e à GECI para fins de responsabilização e aperfeiçoamento do controle interno; VII - acompanhar a implantação das medidas de controle interno nos setores responsáveis, identificadas como necessárias após o tratamento dos incidentes; CAPÍTULO VI Das Disposições Finais Art. 23. Esta Portaria deverá ser revisada periodicamente para adequação às necessidades da segurança da informação. Art. 24. Esta Portaria entra em vigor na data de sua publicação DO ESTADO DE PERNAMBUCO, em 23 de setembro de Valdecir Fernandes Pascoal Presidente 9
DOCUMENTO DE CONSTITUIÇÃO DA ETIR
Código: DO01 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação e Comunicações Núcleo de Segurança da Informação Revisão: 00 Vigência:
Leia maisTRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010
TRIBUNAL SUPERIOR DO TRABALHO SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO ORDEM DE SERVIÇO Nº 1/SETIN, DE 30 DE SETEMBRO DE 2010 O SECRETÁRIO DE TECNOLOGIA DA INFORMAÇÃO DO TRIBUNAL SUPERIOR DO TRABALHO, no
Leia maisCAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta. APROVAÇÃO
05/IN01/DSIC/GSIPR 00 14/AGO/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações CRIAÇÃO DE EQUIPES DE TRATAMENTO E RESPOSTA A INCIDENTES
Leia maisGERENCIAMENTO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
FL. 2 Tribunal Regional do Trabalho da 18ª Região Comitê de Segurança da Informação Secretaria de Tecnologia da Informação e Comunicações Núcleo de Segurança da Informação Código: NO06 Revisão: 0.0 Vigência:
Leia maisRESOLUÇÃO Nº 080/2014, DE 25 DE JUNHO DE 2014 CONSELHO UNIVERSITÁRIO UNIVERSIDADE FEDERAL DE ALFENAS UNIFAL-MG
RESOLUÇÃO Nº 080/2014, DE 25 DE JUNHO DE 2014 CONSELHO UNIVERSITÁRIO UNIVERSIDADE FEDERAL DE ALFENAS UNIFAL-MG O Conselho Universitário da UNIFAL-MG, no uso de suas atribuições regimentais e estatutárias,
Leia mais3.3 Norma Complementar nº 08/IN01/DSIC/GSIPR, de 19/08/2010, que trata da gestão de ETIR e das diretrizes para gerenciamento de incidentes em redes
PORTARIA TRT 18ª GP/DG Nº 379/2014 Aprova norma sobre Gerenciamento de Incidentes de Segurança da Informação NO06 no âmbito do Tribunal Regional do Trabalho da 18ª Região. A DESEMBARGADORA-PRESIDENTE DO
Leia maisEstrutura de Gerenciamento do Risco Operacional - 2010
Estrutura de Gerenciamento do Risco Operacional - 2010 Sumário 1. Introdução:...3 2. Abrangência:...3 3. Estrutura do Gerenciamento de Risco Operacional:...3 3.1. Estrutura de Gerenciamento do Risco Operacional:...4
Leia maisPOLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS
POLÍTICA DE GESTÃO DE RISCOS DAS EMPRESAS ELETROBRAS Versão 2.0 30/10/2014 Sumário 1 Objetivo... 3 2 Conceitos... 3 3 Referências... 4 4 Princípios... 4 5 Diretrizes... 5 5.1 Identificação dos riscos...
Leia maisPORTARIA-TCU Nº 385, DE 18 DE DEZEMBRO DE 2009 (Revogada) (Portaria - TCU nº 36, de 31/01/2011, BTCU nº 03, de 31/01/2011)
PORTARIA-TCU Nº 385, DE 18 DE DEZEMBRO DE 2009 (Revogada) (Portaria - TCU nº 36, de 31/01/2011, BTCU nº 03, de 31/01/2011) Dispõe sobre as competências da Secretaria de Infraestrutura de Tecnologia da
Leia maisCAMPO DE APLICAÇÃO Esta Norma Complementar se aplica no âmbito da Administração Pública Federal, direta e indireta.
06/IN01/DSIC/GSIPR 01 11/NOV/09 1/7 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações GESTÃO DE CONTINUIDADE DE NEGÓCIOS EM SEGURANÇA DA
Leia maisPORTARIA TC N 461, DE 09 DE NOVEMBRO DE 2015
PORTARIA TC N 461, DE 09 DE NOVEMBRO DE 2015 Regulamenta a realização de inventário nos processos físicos em tramitação nas unidades organizacionais do Tribunal de Contas do Estado de Pernambuco. O PRESIDENTE
Leia maisPODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014
PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2014/00413 de 30 de setembro de 2014 Dispõe sobre a aprovação do Documento Acessório Diferenciado "Política de Gestão de
Leia maisRESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011
RESOLUÇÃO - TCU Nº 247, de 7 de dezembro de 2011 Dispõe sobre a Política de Governança de Tecnologia da Informação do Tribunal de Contas da União (PGTI/TCU). O TRIBUNAL DE CONTAS DA UNIÃO, no uso de suas
Leia maisPODER JUDICIÁRIO TRIBUNAL DE JUSTIÇA DO ESTADO DO AMAZONAS DIVISÃO DE GESTÃO DA QUALIDADE
PODER JUDICIÁRIO TRIBUNAL DE JUSTIÇA DO ESTADO DO AMAZONAS DIVISÃO DE GESTÃO DA QUALIDADE Sistema de Gestão da Qualidade PROCEDIMENTO P. TJAM 56 PROJUDI Revisado por: Breno Figueiredo Corado DVTIC/PROJUDI
Leia mais1. Esta Política Institucional de Gestão de Continuidade de Negócios:
1. Esta Política Institucional de Gestão de Continuidade de Negócios: a) é elaborada por proposta da área de gestão de continuidade de negócios da Confederação Nacional das Cooperativas do Sicoob Sicoob
Leia maisPós-Graduação em Gerenciamento de Projetos práticas do PMI
Pós-Graduação em Gerenciamento de Projetos práticas do PMI Planejamento do Gerenciamento das Comunicações (10) e das Partes Interessadas (13) PLANEJAMENTO 2 PLANEJAMENTO Sem 1 Sem 2 Sem 3 Sem 4 Sem 5 ABRIL
Leia maisATO Nº 233/2013. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,
ATO Nº 233/2013 Institui a Política de Gerenciamento de Serviços de Tecnologia da Informação (TI) no âmbito do Tribunal Regional do Trabalho da 7ª Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO
Leia maisRELATÓRIO SOBRE A GESTÃO DE RISCO OPERACIONAL NO BANCO BMG
SUPERINTENDÊNCIA DE CONTROLE GERÊNCIA DE CONTROLE DE TESOURARIA ANÁLISE DE RISCO OPERACIONAL RELATÓRIO SOBRE A GESTÃO DE RISCO OPERACIONAL NO BANCO BMG Belo Horizonte 01 de Julho de 2008 1 SUMÁRIO 1. Introdução...02
Leia maisDispõe sobre a implementação de estrutura de gerenciamento do risco operacional.
RESOLUCAO 3.380 --------------- Dispõe sobre a implementação de estrutura de gerenciamento do risco operacional. O BANCO CENTRAL DO BRASIL, na forma do art. 9º da Lei 4.595, de 31 de dezembro de 1964,
Leia maisMinistério da Saúde Agência Nacional de Vigilância Sanitária RESOLUÇÃO DA DIRETORIA COLEGIADA - RDC Nº 36, DE 25 DE JULHO DE 2013.
ADVERTÊNCIA Este texto não substitui o publicado no Diário Oficial da União Ministério da Saúde Agência Nacional de Vigilância Sanitária RESOLUÇÃO DA DIRETORIA COLEGIADA - RDC Nº 36, DE 25 DE JULHO DE
Leia maisGerenciamento de Riscos em Segurança da informação. cynaracarvalho@yahoo.com.br
$XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR Gerenciamento de Riscos em Segurança da informação cynaracarvalho@yahoo.com.br
Leia maisSistema de Gestão da Qualidade
Sistema de Gestão da Qualidade Coordenadora Responsável Mara Luck Mendes, Jaguariúna, SP, mara@cnpma.embrapa.br RESUMO Em abril de 2003 foi lançado oficialmente pela Chefia da Embrapa Meio Ambiente o Cronograma
Leia maisCódigo de prática para a gestão da segurança da informação
Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia
Leia maisESTADO DE PERNAMBUCO TRIBUNAL DE CONTAS
RESOLUÇÃO T.C. Nº 0017/2010 EMENTA: Regulamenta a coordenação e o funcionamento do Sistema de Controle Interno no âmbito do Tribunal de Contas e dá outras providências. O DO ESTADO DE PERNAMBUCO, na sessão
Leia maisPORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014.
PORTARIA Nº 6.137, DE 10 DE OUTUBRO DE 2014. Altera a Portaria nº 4.772/2008, a qual instituiu a Política de Segurança da Informação no âmbito do Tribunal Regional do Trabalho da 4ª Região. A PRESIDENTE
Leia maisCAPITULO I DO OBJETIVO
MINISTÉRIO DO MEIO AMBIENTE CONSELHO NACIONAL DE RECURSOS HÍDRICOS RESOLUÇÃO N o 144, DE 10 DE JULHO DE 2012 (Publicada no D.O.U em 04/09/2012) Estabelece diretrizes para implementação da Política Nacional
Leia maisO Banco Central do Brasil em 29/06/2006 editou a Resolução 3380, com vista a implementação da Estrutura de Gerenciamento do Risco Operacional.
1 POLÍTICA DE GERENCIAMENTO DO RISCO OPERACIONAL 1.1 Introdução O Banco Central do Brasil em 29/06/2006 editou a Resolução 3380, com vista a implementação da Estrutura de Gerenciamento do Risco Operacional.
Leia maisINSTRUÇÃO NORMATIVA Nº 001, 10 de março de 2009. FUNDAÇÃO UNIVERSIDADE DO ESTADO DE SANTA CATARINA GABINETE DO REITOR
INSTRUÇÃO NORMATIVA Nº 001, 10 de março de 2009. FUNDAÇÃO UNIVERSIDADE DO ESTADO DE SANTA CATARINA GABINETE DO REITOR Dispõe sobre a Política de uso de Softwares Livres no âmbito da UDESC O REITOR da FUNDAÇÃO
Leia maisBANCO CENTRAL DO BRASIL 2009/2010
BANCO CENTRAL DO BRASIL 2009/2010 CONTINUIDADE DE NEGÓCIOS E PLANOS DE CONTINGÊNCIA Professor: Hêlbert A Continuidade de Negócios tem como base a Segurança Organizacional e tem por objeto promover a proteção
Leia mais15/09/2015. Gestão e Governança de TI. Modelo de Governança em TI. A entrega de valor. A entrega de valor. A entrega de valor. A entrega de valor
Gestão e Governança de TI Modelo de Governança em TI Prof. Marcel Santos Silva PMI (2013), a gestão de portfólio é: uma coleção de projetos e/ou programas e outros trabalhos que são agrupados para facilitar
Leia maisRESOLUÇÃO UnC-CONSEPE 040/2007
RESOLUÇÃO UnC-CONSEPE 040/2007 Aprova a Reformulação do Regimento da Educação a Distância O Reitor da Universidade do Contestado, no uso de suas atribuições, de acordo com o Art. 25 do Estatuto da Universidade
Leia maisRESOLUÇÃO N. TC-03/2003
RESOLUÇÃO N. TC-03/2003 Reorganiza o Sistema de Controle Interno do Tribunal de Contas do Estado e dá outras providências. O TRIBUNAL DE CONTAS DO ESTADO DE SANTA CATARINA, usando das atribuições que lhe
Leia maisEstrutura da Gestão de Risco Operacional
Conceito No Brasil a Resolução n.º 3380, emitida pelo BACEN em 29 de junho de 2006, seguindo as diretrizes estabelecidas pelo Conselho Monetário Nacional, definiu como: A possibilidade de ocorrência de
Leia maisANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO
ANEXO À RESOLUÇÃO Nº /2010 REGIMENTO DA DIRETORIA DE TECNOLOGIA DE INFORMAÇÃO E COMUNICAÇÃO Art. 1º - A Diretoria de Tecnologia de Informação e Comunicação DTIC da Universidade FEDERAL DO ESTADO DO RIO
Leia maisATO Nº 195/2011. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO, no uso de suas atribuições legais e regimentais,
ATO Nº 195/2011 Institui a Norma de Segurança dos Recursos de Tecnologia da Informação - NSRTI, do Tribunal Regional do Trabalho da 7ª Região. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 7ª REGIÃO,
Leia maisPÁGINA 4 ITIL V.2 & ITIL V.3
PÁGINA 4 ITIL V.2 & ITIL V.3 Gerência de Níveis de Serviço Manter e aprimorar a qualidade dos serviços de TI Revisar continuamente os custos e os resultados dos serviços para garantir a sua adequação Processo
Leia maisSuperior Tribunal de Justiça
RESOLUÇÃO N. 20 DE 9 DE AGOSTO DE 2012. Dispõe sobre a certificação digital no Superior Tribunal de Justiça e dá outras providências. O PRESIDENTE DO SUPERIOR TRIBUNAL DE JUSTIÇA, usando da atribuição
Leia maisSISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO
SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.
Leia mais1. COMPETÊNCIAS DAS DIRETORIAS
1. COMPETÊNCIAS DAS DIRETORIAS 1.1. Diretoria Executiva (DEX) À Diretora Executiva, além de planejar, organizar, coordenar, dirigir e controlar as atividades da Fundação, bem como cumprir e fazer cumprir
Leia maisPODER JUDICIÁRIO TRIBUNAL REGIONAL DO TRABALHO DA 3ª REGIÃO
Controle de Versões Autor da Solicitação: Subseção de Governança de TIC Email:dtic.governanca@trt3.jus.br Ramal: 7966 Versão Data Notas da Revisão 1 03.02.2015 Versão atualizada de acordo com os novos
Leia maisCONCURSO PÚBLICO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI ANALISTA DE GESTÃO RESPOSTAS ESPERADAS PRELIMINARES
CELG DISTRIBUIÇÃO S.A EDITAL N. 1/2014 CONCURSO PÚBLICO ANALISTA DE GESTÃO ANALISTA DE SISTEMA ÊNFASE GOVERNANÇA DE TI RESPOSTAS ESPERADAS PRELIMINARES O Centro de Seleção da Universidade Federal de Goiás
Leia maisA PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,
POLÍTICA INSTITUIDA ATO TRT 11ª REGIÃO Nº 058/2010/SGP (Publicado DOJT 26/10/2010) Institui a Política Organizacional de Gerenciamento de Projetos no âmbito do A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO
Leia maisA PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições legais e regimentais,
Institui a Política de Gerenciamento de Serviços de TI no âmbito do Tribunal Regional do Trabalho da 11ª. Região. A PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 11ª. REGIÃO, no uso de suas atribuições
Leia maisINSTRUÇÃO NORMATIVA Nº 66, DE 13 DE NOVEMBRO DE 2012.
INSTRUÇÃO NORMATIVA Nº 66, DE 13 DE NOVEMBRO DE 2012. Institui o Programa de Fortalecimento Institucional da ANAC. A DIRETORIA DA AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - ANAC, no exercício das competências
Leia maisPolítica de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015
Política de Gerenciamento do Risco Operacional Banco Opportunity e Opportunity DTVM Março/2015 1. OBJETIVO Esta política tem como objetivo estabelecer as diretrizes necessárias para o adequado gerenciamento
Leia maisINSTRUÇÃO NORMATIVA DA CPRH Nº. 004/2014
INSTRUÇÃO NORMATIVA DA CPRH Nº. 004/2014 O Diretor Presidente da Agência Estadual de Meio Ambiente e Recursos Hídricos CPRH, no uso de suas atribuições legais conferidas pelo Decreto nº. 30.462 de 25 de
Leia maisGerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos
Gerenciamento de Serviços de TI ITIL v2 Módulo 1 Conceitos básicos Referência: An Introductory Overview of ITIL v2 Livros ITIL v2 Cenário de TI nas organizações Aumento da dependência da TI para alcance
Leia maisRegião. O PRESIDENTE DO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO, no uso de suas atribuições legais, regimentais e regulamentares,
PODER JUDICIÁRIO JUSTIÇA DO TRABALHO TRIBUNAL REGIONAL DO TRABALHO DA 24ª REGIÃO PORTARIA TRT/GP/DGCA Nº 630/2011 Define a Política de Planejamento Estratégico de Tecnologia da Informação e Comunicações
Leia maisCARTILHA PARA O USO DA MARCA
Página 1 de 11 PROCEDIMENTO DO SISTEMA DE GESTÃO Este procedimento é parte integrante do Sistema de Gestão da Qualidade da BRICS. Quando disponível em domínio público, está sujeito a alterações sem aviso
Leia maisMASTER IN PROJECT MANAGEMENT
MASTER IN PROJECT MANAGEMENT PROJETOS E COMUNICAÇÃO PROF. RICARDO SCHWACH MBA, PMP, COBIT, ITIL Atividade 1 Que modelos em gestão de projetos estão sendo adotados como referência nas organizações? Como
Leia maisRESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013
Publicada no DJE/STF, n. 127, p. 1-3 em 3/7/2013. RESOLUÇÃO Nº 506, DE 28 DE JUNHO DE 2013 Dispõe sobre a Governança Corporativa de Tecnologia da Informação no âmbito do Supremo Tribunal Federal e dá outras
Leia maisREGIMENTO INTERNO DA SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO SETIC CAPÍTULO I CATEGORIA
REGIMENTO INTERNO DA SECRETARIA DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO SETIC CAPÍTULO I CATEGORIA Art. 1º. A Secretaria de Tecnologia de Informação e Comunicação SETIC é um Órgão Suplementar Superior
Leia maisPOLÍTICA DE GESTÃO DE RISCO - PGR
POLÍTICA DE GESTÃO DE RISCO - PGR DATASUS Maio 2013 Arquivo: Política de Gestão de Riscos Modelo: DOC-PGR Pág.: 1/12 SUMÁRIO 1. APRESENTAÇÃO...3 1.1. Justificativa...3 1.2. Objetivo...3 1.3. Aplicabilidade...4
Leia maisUniversidade Paulista
Universidade Paulista Ciência da Computação Sistemas de Informação Gestão da Qualidade Principais pontos da NBR ISO/IEC 12207 - Tecnologia da Informação Processos de ciclo de vida de software Sergio Petersen
Leia maisMECANISMOS PARA GOVERNANÇA DE T.I. IMPLEMENTAÇÃO DA. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza
MECANISMOS PARA IMPLEMENTAÇÃO DA GOVERNANÇA DE T.I. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza CICLO DA GOVERNANÇA DE TI O CICLO DA GOVERNANÇA DE TI O Ciclo da Governança de T.I. ALINHAMENTO
Leia maisSegurança e Auditoria de Sistemas
Segurança e Auditoria de Sistemas ABNT NBR ISO/IEC 27002 5. Política de Segurança da Informação 1 Roteiro (1/1) Objetivo Documento Orientações Mínimas para o Documento Análise Crítica e Avaliações 2 Objetivo
Leia maisTRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015
TRIBUNAL SUPERIOR DO TRABALHO PRESIDÊNCIA ATO Nº 345/SETIN.SEGP.GP, DE 16 DE JUNHO DE 2015 Reestrutura as unidades vinculadas à Secretaria de Tecnologia da Informação SETIN do Tribunal Superior do Trabalho.
Leia mais1. Esta Política institucional de gestão de continuidade de negócios:
1. Esta Política institucional de gestão de continuidade de negócios: a) é elaborada por proposta da área de gestão de continuidade de negócios da Confederação Nacional das Cooperativas do Sicoob Sicoob
Leia maisPolítica de Gerenciamento de Risco Operacional
Política de Gerenciamento de Risco Operacional Departamento Controles Internos e Compliance Fevereiro/2011 Versão 4.0 Conteúdo 1. Introdução... 3 2. Definição de Risco Operacional... 3 3. Estrutura de
Leia mais