Obrigações de controlo de fornecedor externo. Risco de tecnologia

Documentos relacionados
Obrigações de controlo de fornecedor externo. Risco de tecnologia

Obrigações de controlo de fornecedor externo. EUDA Aplicações desenvolvidas pelo utilizador final

Obrigações de controlo de fornecedor externo. Cibersegurança

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Obrigações de controlo de fornecedor externo. Reclamações de clientes

Obrigações de controlo de fornecedor externo. Cibersegurança

Obrigações de controlo de fornecedor externo. Resiliência

Aplicação dos Princípios BPL aos Sistemas Informatizados. Florbela Dias DMET

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Política de Segurança da Informação

Claranet. Política de Segurança da Informação. Versão 3.0

Política Geral de Segurança da Informação da Assembleia da República

Obrigações de controlo de fornecedor externo. Processo de pagamentos

PROJETO DE RESOLUÇÃO N.º 1498/XIII/3.ª. Política geral de segurança da informação da Assembleia da República

Por Constantino W. Nassel

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e- Learning Sistema de

Política de Segurança da Informação da Unidade Local de Saúde de Matosinhos, E.P.E.

Obrigações de controlo de fornecedor externo. Controlo de colaboradores

PG.01 Controlo dos Documentos e Registos

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

Este documento está dividido nas seguintes seções:

Controlo de Documentos e Registos

PT Unida na diversidade PT A8-0245/166. Alteração. Jean-Marie Cavada em nome do Grupo ALDE

Orientações. sobre medidas de segurança para gerir os riscos operacionais e de segurança ao abrigo da Diretiva (UE) 2015/2366 (PSD2) EBA/GL/2017/17

10. Política de Segurança de Terceiras Partes

DIAGNÓSTICO DA CERCIPENICHE PARA A QUALIDADE.

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Usuários: Gestores de informações: Administradores dos ativos de TI:... 3 POLÍTICA CORPORATIVA

UNIDADE 2 Utilitários de Sistema

ANEXOS REGULAMENTO DELEGADO DA COMISSÃO

OHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL

Rabobank Segurança Cibernética

Política de Privacidade

RELATÓRIO DE EXECUÇÃO 2016 PLANO DE GESTÃO DE RISCOS DE CORRUPÇÃO E INFRAÇÕES CONEXAS

SEGURANÇA ALIMENTAR Sistema HACCP

Revisor Data da Revisão Controlo de Versão. Natalia Costa, Carlos Costa 13/02/

Obrigações de controlo de fornecedores externos. Triagem de pessoas

FUNDAÇÃO CELPE DE SEGURIDADE SOCIAL - CELPOS CONTROLE DE APROVAÇÃO REVISADO PELO ÓRGÃO NORMATIVO. Luiza M. Prestrêlo de Lima Diretoria Executiva

Divisão de Informação Legislativa e Parlamentar. Legislação Citada. O E Página 1

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS

PARTE 21 SUBPARTE G APROVAÇÃO DA ORGANIZAÇÂO DE PRODUÇÃO. Lista de Verificação de Cumprimento dos Requisitos

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

RELATÓRIO DE EXECUÇÃO 2015 PLANO DE GESTÃO DE RISCOS DE CORRUPÇÃO E INFRAÇÕES CONEXAS

A privacidade do utilizador é importante para a empresa Teatro Antigo, Lda., à frente

Processo de conformidade

TERMOS E CONDIÇÕES PARA A REALIZAÇÃO DE AUDITORIAS DE PÓS-AVALIAÇÃO

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

Segurança da Informação Política Versão 8.0

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS

No âmbito desta Política de Privacidade, a PÁTIO DAS MARGARIDAS definiu como:

Novos regimes RED e CEM: importadores e distribuidores. Nuno Castro Luís

POLÍTICA DE PRIVACIDADE Site

POLÍTICA DE PRIVACIDADE

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

A privacidade do utilizador é importante para a Casa d Óbidos Turismo Rural, Lda, à frente

Dimensão Segurança do Doente Check-list Procedimentos de Segurança

Política de Segurança da Informação

A privacidade do utilizador é importante para a Fernando Madeira de Oliveira, Lda, á frente

Sistemas de Videovigilância de acordo com a EN

PROCEDIMENTO GERAL Desempenho e melhoria

Segurança e Auditoria de Sistemas

PERFIL PROFISSIONAL TÉCNICO/A DE APOIO À GESTÃO DESPORTIVA

MANUAL DO GERENCIAMENTO DE RISCO OPERACIONAL

ÍNDICE 1. OBJETIVO CONCEITOS PRINCÍPIOS DIRETRIZES CORPORATIVAS ESTRUTURA DE GERENCIAMENTO... 4

ISO 9001:2015. Principais alterações. Andreia Martins Gestora de Cliente

Requisitos de controlo de fornecedores externos. Controlo de colaboradores

Política de Conflitos de Interesses do Grupo

A ISO Enquadramento face a outros referenciais Análise do Referencial

DECISÃO. Enquadramento

ACORDO DE LICENÇA DE UTILIZADOR FINAL PARA SOFTWARE SEAGATE

MINISTÉRIO DA ECONOMIA

SGS POLÍTICA DE PRIVACIDADE DE DADOS BE DATA SAFE

Recomendações sobre Segurança Radiológica

Gerenciamento e Interoperabilidade de Redes

1. Introdução PUBLIC - 1

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS

Segurança da Informação

Lista de Verificação de Auditorias Internas do SGI - MA - SST

ANEXOS REGULAMENTO DELEGADO DA COMISSÃO

ABNT NBR ISO/IEC NÃO CONFORMIDADES MAIS FREQUENTES

A Sonae Indústria trata dados pessoais através de vários meios operacionais e técnicos para suporte às atividades dos seus processos de negócio

A privacidade do utilizador é importante para a Sociedade Agro Turística Casal Do Pinão, Lda.,

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

LISTA DOCUMENTOS E REGISTOS ISO 22000:2005

POLÍTICA DE PROTEÇÃO DE DADOS. PRF - Gás Tecnologia e Construção, S.A.

Aviso Legal da HG PT Unipessoal, Lda. (Hipoges)

Segurança da Informação

POLÍTICA DE SEGURANÇA CIBERTNÉTICA, SEGURANÇA DE INFORMAÇÃO E CONTINUIDADE.

MÓDULO CAPITAL GESTÃO DE RECURSOS LTDA.

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

PROCEDIMENTO GERAL Gestão documental

Política de Proteção de Dados e de Privacidade DreamMedia

AUTORIZAÇÃO N.º ICP ANACOM - 2/ SP

CÓDIGO DE ÉTICA DA AVALIAÇÃO

Transcrição:

Obrigações de de fornecedor externo Risco de tecnologia

Área de Designação do Descrição do Porque é importante 1. Gerir a obsolescência Garantir disposições de suporte contínuo O fornecedor tem de informar imediatamente o Barclays sobre modificações conhecidas na respetiva capacidade para disponibilizar suporte, direta ou indiretamente, a ativos de TI utilizados na prestação de serviços ao Barclays, devendo também garantir uma atualização atempada ou a retirada de operação desses ativos de TI. Registos e/ou procedimentos inadequados para ativos de hardware e software que deixem de receber suporte ou serviços de tecnologia que se baseiem em hardware ou software obsoleto podem resultar num desempenho inaceitável, instabilidade, vulnerabilidades de segurança, perda de negócios e custos de migração excessivos. 2. Tratamento de incidentes Registo, classificação e resolução de incidentes O fornecedor tem de operar um regime de tratamento de incidentes relativamente à operação dos sistemas serviços de TI, regime esse que garanta que esses incidentes operacionais são adequadamente identificados, registados, classificados e imediatamente resolvidos ou encaminhados conforme necessário Os incidentes de tecnologia que não forem comunicados atempadamente ou com detalhe suficiente, ou quando não se adotarem as medidas corretivas necessárias, podem resultar na perturbação evitável de sistemas/serviço, ou em danos ou perda de dados 3. Gestão de problemas Identificação, avaliação/análise e resolução de problemas de tecnologia O fornecedor tem de operar um regime de investigação atempada dos problemas subjacentes a incidentes de tecnologia significativos, que garantam a identificação e o registo desses problemas através da análise da causa originária, e a sua eficaz resolução no sentido de minimizar a probabilidade e o impacto da recorrência de incidentes. Quando problemas subjacentes que dão origem a incidentes com impacto na prestação de serviços de tecnologia não são identificados e resolvidos atempadamente, pode ocorrer perturbação evitável de sistemas/serviço, ou a danos ou perda de dados 4. Gestão da Manutenção de registos de de tecnologia completos e precisos O fornecedor tem de manter registos completos e precisos relativamente a cada um dos componentes de tecnologia (hardware e software) utilizados na prestação de serviços ao Barclays, juntamente com a informação necessária para o suporte contínuo, e garantir que essas entradas permanecem atualizadas. Coletivamente, esses componentes de tecnologia designam-se ambiente de produção Entradas de registo impróprias em componentes de tecnologia (hardware e software) incluindo propriedade definida e dependências de terceiros podem implicar serviços e dados inseguros ou não fiáveis

5. Gestão da Isolamento do ambiente de produção sistemas e serviços de TI de produção utilizados na prestação de serviços ao Barclays não integram, utilizam ou são acedidos por componentes que não se encontrem no ambiente de produção. Registos individuais impróprios relativamente a componentes de tecnologia (hardware e software) incluindo propriedade definida e dependências de terceiros podem implicar serviços e dados inseguros ou não fiáveis Área de Designação do Descrição do Porque é importante 6. Gestão da Realizar gestão de código fonte O fornecedor tem de garantir que o código fonte e scripts/utilitários relacionados com a prestação de serviços ao Barclays, tais como os que permitem monitorização de eventos, processamento de lotes, relatórios, transferências de ficheiros, etc., (versões mais recentes e anteriores) são devidamente registados na ferramenta CMDB e geridos em termos de de mudança. Registos individuais impróprios relativamente a componentes de tecnologia (hardware e software) incluindo propriedade definida e dependências de terceiros podem implicar serviços e dados inseguros ou não fiáveis 7. Continuidade do serviço Disponibilizar e validar disposições de resiliência/recuperação adequadas O fornecedor tem de compreender e concordar com as necessidades de resiliência/recuperação do Barclays relativamente a todos os sistemas e serviços de TI que fornece ao Barclays, bem como garantir que as respetivas disposições de continuidade do serviço são adequadamente postas em prática/provadas fiáveis A inexistência ou inadequação de planeamento de continuidade de serviço pode conduzir à perda inaceitável de serviço de tecnologia por parte de uma unidade de negócios ou dos clientes, após um incidente 8. Continuidade do serviço Gestão do ambiente do centro de dados O fornecedor tem de garantir que as disposições de segurança ambiental e física associadas a esses centros de dados envolvidos na disponibilização de serviços ao Barclays são adequadamente estabelecidas, geridas e controladas. A inexistência ou inadequação de planeamento de continuidade de serviço pode conduzir à perda inaceitável de serviço de tecnologia para a unidade de negócios ou para os clientes, após um incidente 9. Disposições de cópia de segurança para sistemas e Operar processos de cópia de segurança apropriados e eficazes sistemas e serviços de TI utilizados na prestação de serviços ao Barclays dispõem de processos de cópia de segurança adequados a A inexistência de ou um fraco das cópias de segurança do negócio podem resultar na perturbação dos sistemas/serviço, perda de dados ou divulgação inadequada de dados

dados funcionar de acordo com as necessidades do Barclays e cuja eficácia seja comprovada periodicamente. 10. Disposições de cópia de segurança para sistemas e dados Garantir cópias de segurança de dados seguras, protegidas e fiáveis suportes de cópia de segurança associados à prestação de serviços ao Barclays, juntamente com as disposições para o tratamento e armazenamento desses suportes, permanecem seguros e fiáveis em todas as circunstâncias. A inexistência de ou um fraco das cópias de segurança do negócio podem resultar na perturbação dos sistemas/serviço, perda de dados ou divulgação de dados inadequada Área de Designação do Descrição do Porque é importante 11. Gestão do desempenho e da capacidade Permanecer em conformidade com as necessidades de tecnologia do Barclays O fornecedor tem de definir níveis de desempenho e capacidade adequados para todos os componentes de TI principais utilizados na prestação de serviços ao Barclays e realizar uma monitorização regular de forma a garantir que a prestação do serviço está em conformidade com as necessidades do Barclays. Uma definição e/ou documentação inadequadas relativas às necessidades da unidade de negócios/clientes podem resultar num desempenho inaceitável em termos de serviços de tecnologia e na perda de negócios 12. Gestão da mudança Aplicar um da mudança rigoroso componentes de TI que são utilizados na prestação de serviços ao Barclays são geridos ao abrigo de um rigoroso regime de da mudança, que preveja integralmente os seguintes objetivos: - Nenhuma mudança sem autorização adequada - Segregação de tarefas entre o iniciador, o aprovador e o implementador da mudança - Mudanças planeadas e geridas de acordo com o nível de risco associado - As mudanças preveem adequadamente o potencial impacto sobre o desempenho e/ou capacidade dos componentes tecnológicos afetados - Todas as mudanças têm de ser totalmente Medidas inadequadas para monitorização do desempenho e/ou níveis de capacidade dos recursos de TI e manutenção das mesmas em conformidade com os requisitos atuais e futuros podem conduzir a uma redução inaceitável e/ou interrupção dos serviços de tecnologia e a uma perda de negócios. Além disso, processos de mudança inadequados para impedir mudanças não autorizadas ou inadequadas podem conduzir a perturbação do sistema, danos em dados, perda de dados, erros de processamento ou fraude

aprovadas antes de poderem ser implementadas - Os direitos para modificar o ambiente de produção estão limitados apenas àqueles que exigem esses direitos para cumprimento da respetiva função - As mudanças são sujeitas a testes técnicos e comerciais relevantes para a mudança, havendo lugar à retenção de evidências - Os testes são realizados num ambiente dedicado, apropriado aos requisitos de teste e às atividades de teste planeadas - A mudança é acompanhada por formação do utilizador suficiente e atualizações adequadas do sistema, do utilizador e da documentação de procedimentos

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback