Obrigações de controlo de fornecedor externo. Resiliência

Documentos relacionados
Obrigações de controlo de fornecedor externo. EUDA Aplicações desenvolvidas pelo utilizador final

Obrigações de controlo de fornecedor externo. Processo de pagamentos

Obrigações de controlo de fornecedor externo. Cibersegurança

Obrigações de controlo de fornecedor externo. Cibersegurança

STANDARD CHARTERED BANK ANGOLA, S.A ( A SOCIEDADE ) TERMOS DE REFERÊNCIA DA COMISSÃO EXECUTIVA. Conselho de Administração da Sociedade ( Conselho )

Obrigações de controlo de fornecedor externo. Risco de tecnologia

Obrigações de controlo de fornecedor externo. Risco de tecnologia

STANDARD CHARTERED BANK ANGOLA, S.A. (O SCBA ) REGULAMENTO DA COMISSÃO DE RISCO E DE CONTROLO INTERNO ( BRC )

ISO 9000:2005 Sistemas de Gestão da Qualidade Fundamentos e Vocabulário. As Normas da família ISO As Normas da família ISO 9000

Obrigações de controlo de fornecedor externo. Reclamações de clientes

POLÍTICA DE RISCO OPERACIONAL DOS FUNDOS E CARTEIRAS GERIDOS PELO SICREDI

RECONHECIMENTO MÚTUO PORTUGAL - ESPANHA GUIA DE REQUISITOS DOS CENTROS DE MANUTENÇÃO DE MATERIAL CIRCULANTE FERROVIÁRIO

O REGULAMENTO GERAL DE PROTEÇÃO DE DADOS

Por Constantino W. Nassel

POLÍTICA DE ANTI-FRAUDE. VICTORIA Seguros de Vida, SA

Plano de Continuidade. Plano de Continuidade. Plano de Contingência. Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas.

POLÍTICA DE PREVENÇÃO DO BRANQUEAMENTO DE CAPITAIS E FINANCIAMENTO DO TERRORISMO VICTORIA SEGUROS, S.A.

Política de Segurança da Informação

SISTEMA DE GESTÃO DA QUALIDADE

1. Principais diferenças 2008/ 2015

DIAGNÓSTICO DA CERCIPENICHE PARA A QUALIDADE.

POLÍTICA PREVENÇÃO DE BRANQUEAMENTO DE CAPITAIS E FINANCIAMENTO DO TERRORISMO POLÍTICA

Política Geral de Segurança da Informação da Assembleia da República

PROJETO DE RESOLUÇÃO N.º 1498/XIII/3.ª. Política geral de segurança da informação da Assembleia da República

Sistema de Gestão Segurança e Saúde do Trabalho (SGSSO) ESTRUTURA ISO 45001:2018

CERTIFICAÇÃO. Sistema de Gestão

Sistema de Gestão Segurança e Saúde Ocupacional (SGSSO) ESTRUTURA ISO :2016

ISO 9001:2015. Principais alterações. Andreia Martins Gestora de Cliente

A Implantação do Sistema do Sistema da Qualidade e os requisitos da Norma ISO NBR 9001:2000

INSTRUTIVO N.º 26/16 de 16 de Novembro

Sistema de Gestão da Prevenção em

2/6. 1 JO L 158 de , p JO L 335 de , p JO L 331 de , p

Formação Técnica em Administração. Modulo de Padronização e Qualidade

Retorno de informação do cliente

ANEXOS REGULAMENTO DELEGADO DA COMISSÃO

Estrutura da Norma. ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos. 0 Introdução 0.1 Generalidades

AULA 02 Qualidade em TI

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

Política de Conflitos de Interesses do Grupo

REGULAMENTO DO CONSELHO DE AUDITORIA DO BANCO CENTRAL DE S. TOMÉ E PRÍNCIPE (BCSTP)

TERMOS E CONDIÇÕES PARA A REALIZAÇÃO DE AUDITORIAS DE PÓS-AVALIAÇÃO

Este documento é propriedade exclusiva da Santa Casa da Misericórdia do Porto. Data: 01/06/18 - v01 ; Classificação Doc.: Pública

ANEXO. da Proposta de REGULAMENTO DO PARLAMENTO EUROPEU E DO CONSELHO

Obrigações de controlo de fornecedor externo. Controlo de colaboradores

EDP Distribuição - Energia, S.A.

Obrigações de controlo de fornecedores externos. Triagem de pessoas

GERENCIAMENTO INTEGRADO DE RISCOS CORPORATIVOS, CONTROLES INTERNOS E COMPLIANCE. Histórico de Revisões. Elaboração do Documento.

Desafios para a recolha de dados fiáveis sobre SST

Ficha Informativa + Segurança

ABORDAGEM INICIAL DA INTER-RELAÇÃO DE ITENS DAS NORMAS ISO 9001:2008 e 14001:2004

AS POLÍTICAS MAKEEN ENERGY

REGULAMENTO DELEGADO (UE) /... DA COMISSÃO. de

Módulo Contexto da organização 5. Liderança 6. Planejamento do sistema de gestão da qualidade 7. Suporte

Política de Gestão do Risco de Compliance do Banco BIC Português, S.A.

Política de Gestão do Risco de Compliance

Conselho da União Europeia Bruxelas, 31 de março de 2017 (OR. en)

LISTA DOCUMENTOS E REGISTOS ISO 22000:2005

Auditoria. Controle de Qualidade. Professor Marcelo Spilki.

Requisitos onde as normas ISO 9001:2015 e ISO 14001:2015 requerem informação documentada:

Apresentação geral das mudanças da norma ISO/IEC e visão da Cgcre, organismo de acreditação brasileiro

Orientações EBA/GL/2016/05 07/11/2016

SISTEMA DE GESTÃO SOCIAL E AMBIENTAL (SGSA)

Orientações. sobre medidas de segurança para gerir os riscos operacionais e de segurança ao abrigo da Diretiva (UE) 2015/2366 (PSD2) EBA/GL/2017/17

Política de Seleção e Avaliação da Adequação dos Membros dos Órgãos de Administração e de Fiscalização e dos Titulares de Cargos com Funções

IPAI - XV Conferência Anual

Revisão da Norma ISO/IEC Principais Mudanças e Implementação na Acreditação de Laboratórios

Sistemas de gestão energética ISO 50001

Sistemas da Qualidade

Política de Transações com Partes Relacionadas

Boas Práticas da Distribuição - Da regulamentação à prática -

CONSELHO DA UNIÃO EUROPEIA. Bruxelas, 1 de fevereiro de 2013 (08.02) (OR. en) 5755/13 ADD 1 FIN 47 PE-L 7

Sistema de Gestão do Negócio

L 320/8 Jornal Oficial da União Europeia

10. Política de Segurança de Terceiras Partes

PLANO DE TRANSIÇÃO E ALTERAÇÕES

ANEXOS REGULAMENTO DELEGADO DA COMISSÃO

AUDITORIAS AUDITORIAS PROCESSO

GRC e Continuidade de Negócios. Claudio Basso

Política de Seleção e Avaliação da Adequação dos Membros dos Órgãos de Administração e de Fiscalização e dos Titulares de Cargos com Funções

Transição para o Novo Referencial NP EN ISO 22000:2018

REQUERIMENTO DE AUTORIZAÇÃO DE SEGURANÇA Avaliação Preliminar de cumprimento dos requisitos 1

Revisor Data da Revisão Controlo de Versão. Natalia Costa, Carlos Costa 13/02/

Sistema de Gestão da Qualidade ISO 9001:2015

Gestão da Tecnologia da Informação

Política Controles Internos

OHSAS 18001:2007 SAÚDE E SEGURANÇA OCUPACIONAL

Recomendações. relativas à subcontratação externa a prestadores de serviços de computação em nuvem EBA/REC/2017/03 28/03/2018

3.2.2 VISÃO Manter a Organização, sistematicamente referenciada positivamente, pelas Partes Interessadas, na actividade e negócio que desenvolvemos.

PROCEDIMENTO. Gestão de Recursos

Sistema de Gestão da Qualidade

Aplicação dos Princípios BPL aos Sistemas Informatizados. Florbela Dias DMET

LISTA DE VERIFICAÇÃO

1. Objetivo Esta Norma descreve as regras aplicáveis no tratamento de reclamações e não conformidades.

REGULAMENTO COMISSÃO DE AUDITORIA CAIXA ECONÓMICA MONTEPIO GERAL, CAIXA ECONÓMICA BANCÁRIA, S.A.

Transcrição:

Obrigações de controlo de fornecedor externo Resiliência

Designação do controlo 1.Governação de resiliência e Descrição do controlo O fornecedor tem de estabelecer uma governação eficaz para manter as capacidades de resiliência e relativamente a todos os processos e serviços principais, suficiente para minimizar a perturbação de incidentes significativos. O fornecedor disponibilizará ao respetivo pessoal formação e/ou sensibilização sobre resiliência adequada aos respetivos cargos. Porque é importante O tem um requisito comercial (e orientado para o risco) de evitar e/ou conseguir recuperar atempadamente de significativas perturbações do processo, ou seja, ser adequadamente resiliente. O tem de ser assegurado, e estar apto a assegurar aos seus intervenientes, de que existem em curso governação e medidas adequadas que visam evitar, sempre que possível, significativas perturbações do processo que impliquem que as atividades do saiam fora da respetiva apetência pelo risco e, se essas perturbações ocorrerem, lidar com as mesmas de uma maneira pré-acordada ou aprovada que minimize os respetivos impactos (sejam sobre o cliente, financeiros ou sobre a reputação). 2. Identificar atividades que exijam resiliência ou O fornecedor tem de estabelecer necessidades de resiliência ou para processos e serviços fundamentais incluindo, entre outros, objetivos de tempo de (Recovery Time Objectives - RTO), objetivos de ponto de (Recovery Point Objectives - RPO) e níveis de operação revistos (Revised Operating Levels - ROL) (conforme definido abaixo) em conformidade com a categoria de resiliência aplicável designada pelo. (Consultar abaixo a Matriz de sensibilidade de resiliência) O fornecedor tem de ser inequívoco relativamente às necessidades de recursos dos respetivos processos e serviços em períodos de perturbação significativa. O fornecedor e o têm de ter um entendimento comum sobre os requisitos de resiliência e. 3. Definir planos de resiliência ou O fornecedor tem de estabelecer planos de que garantam uma disponibilidade atempada de recursos (incluindo pessoas, instalações, fornecedores, aplicações de TI e infraestrutura) necessários para operar os respetivos processos e serviços fundamentais em situações de perturbação significativa. O fornecedor tem de rever anualmente os planos de e em períodos de mudanças significativas, e partilhar um resumo dos planos com o. O fornecedor tem de ser inequívoco relativamente aos planos de no que se refere aos respetivos processos e serviços em períodos de perturbação significativa. O fornecedor e o têm de ter um entendimento comum sobre os planos de resiliência e.

Designação do controlo 4. Identificar e colmatar lacunas em termos de capacidades de resiliência ou 5. Gerir incidentes com eficácia Descrição do controlo O fornecedor tem de testar e validar todas as disposições relativas a resiliência ou definidas nos planos, e corrigir imediatamente quaisquer deficiências identificadas. O fornecedor tem de garantir periodicamente que as necessidades de recursos (incluindo pessoas, instalações, fornecedores, aplicações de TI e infraestrutura) dos respetivos processos e serviços estarão disponíveis quando necessário, no intuito de garantir a aplicação da sua estratégia de resiliência. O fornecedor, por acordo mútuo, pode ter a participação do na validação dos planos do fornecedor e poderá ter de participar periodicamente na validação dos planos do. O fornecedor e o chegarão a acordo quanto à extensão dos testes e validação em conformidade com a importância do serviço, com uma frequência não inferior à especificada na tabela de sensibilidade de resiliência abaixo. Todas as disposições dos planos de resiliência e têm de possuir um relatório de validação atual. O fornecedor tem de partilhar com o um resumo desses relatórios de validação, imediatamente após os testes. O fornecedor tem de registar cada ponto de falha identificado nos testes e desenvolver e assumir a responsabilidade por um plano de correção documentado, partilhado e acordado com todas as partes dependentes envolvidas, e gerido até à conclusão com patrocínio, recursos, financiamento e compromisso ao nível da direção executiva, garantindo a conclusão num período acordado. O fornecedor tem de estabelecer procedimentos que proporcionem um tratamento, uma gestão e uma revisão eficazes e consistentes de eventos significativos (p. ex., eventos que apresentem potencial de impacto significativo em operações normais) que: dêem resposta a eventuais problemas de risco de conduta (por exemplo, relacionados com conformidade regulamentar, ou com impacto em clientes ou mercados) que resultem de perturbação do processo; Porque é importante Todas as disposições referentes a resiliência ou definidas nos planos têm de ser testadas e validadas para identificar e prevenir falhas de serviço inaceitáveis. Para que os serviços sejam adequadamente resilientes, cada processo ou serviço tem de ter capacidade para continuar a operar sem ser afetado ou recuperar completamente de uma perturbação (independentemente do evento de risco) dentro dos prazos definidos, ou o fornecedor tem de ter capacidade para mudar para um meio alternativo para realização do processo ou serviço garantindo padrões equivalentes (dentro de prazos definidos). Também é importante a retenção de evidências recolhidas durante o teste de validação, pois podem ser necessárias para auditoria ou análise regulamentar. O fornecedor tem de ser inequívoco quanto aos respetivos procedimentos para lidar e gerir os respetivos serviços em períodos de eventos significativos ou situações de crise. O fornecedor e o têm de ter um entendimento comum dos compromissos entre unidades de negócios e procedimentos de encaminhamento operacional em casos de eventos significativos e situações de crise. incluam um acordo inequívoco sobre compromissos entre unidades

Designação do controlo Descrição do controlo de negócios e procedimentos de encaminhamento operacional, incluindo o e entidades intermediárias no processo, e a invocação de procedimentos de gestão de crises; e Porque é importante garantam o posterior registo e participação do incidente. O fornecedor tem de estabelecer procedimentos que proporcionem um tratamento e uma gestão consistentes e eficazes de situações de crise (no caso de ter ocorrido um impacto significativo ou no caso de não ter sido possível evitá-lo) que: garantam a inclusão de executivos sénior de todas as áreas afetadas visando a formação de uma equipa de liderança de crises, ou seja, uma equipa com os níveis de autoridade necessários para dirigir todas as atividades necessárias e lidar de forma decisiva com a crise em causa; e incluam o compromisso de realizar exercícios regulares e periódicos de invocação e operação de gestão de crises, incluindo etapas de briefing e "ilações tiradas" adequados de modo a possibilitar a melhoria do processo. 6. Comunicação do estado de resiliência ou O fornecedor tem de manter a capacidade para coordenar a produção de relatos periódicos sobre o estado de resiliência ou global do serviço, para entrega ao e à direção executiva. O relato tem de incluir uma comparação entre a capacidade de resiliência real e os requisitos de resiliência e exigidos e estado do programa de correção. A comunicação disponibiliza uma análise dos níveis de resiliência exigidos comparativamente aos reais, juntamente com os progressos das ações corretivas. A comunicação tem de refletir mudanças na capacidade desejada e na real (com tendências). Tabela de sensibilidade de resiliência Os requisitos mínimos de resiliência, e validação do são definidos pela categoria de resiliência (0-3) atribuída pelo ao fornecedor. Uma categoria de resiliência mais elevada (ou seja, um número mais baixo) exigirá um padrão de resiliência ou mais elevado de acordo com a importância do serviço. O fornecedor e o têm de estabelecer o objetivo de tempo de (Recovery Time Objective - RTO), o objetivo de ponto de (Recovery Point Objective - RPO) e os

requisitos de validação para o serviço definidos na categoria de resiliência (Categoria 0) mais crítica, e que, no mínimo, cumpram os requisitos descritos na tabela seguinte. O nível de operação revisto (Revised Operating Level - ROL) tem de ser acordado entre o e o fornecedor. Categoria de resiliência 0 1 2 3 RTO até 5 minutos Até 4 horas Até 12 horas Até 24 horas RPO até 5 minutos Até 30 minutos Até 30 minutos Até 24 horas ROL Frequência de teste/validaç ão A acordar pelo fornecedor e o A acordar pelo fornecedor e o A acordar pelo fornecedor e o A acordar pelo fornecedor e o 12 meses 12 meses 12 meses 12 meses Definições Recovery Point Objective (objetivo de ponto de ) Recovery Time Objective (objetivo de tempo de significa a situação almejada em termos de disponibilidade de dados no início do processo de. Trata-se da medida da perda de dados máxima que é tolerável numa situação de. significa a duração almejada entre uma falha ou interrupção inesperada e o retomar das operações aos níveis de serviço acordados.

) Revised Operating Level (nível de operação revisto) significa os níveis de recurso mínimos necessários para suster as operações de negócios aos níveis de serviço acordados.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback