Cobit 5 - APO13 - Gestão da Segurança da Informação
5 gostaram2,693 visualizações
O documento discute a importância da gestão da segurança da informação nas organizações. Gerenciar a segurança da informação requer definir, operar e monitorar um sistema de gestão de segurança da informação para manter os riscos de segurança dentro de níveis aceitáveis. Isso envolve estabelecer um ISMS de acordo com a política da empresa, manter um plano de tratamento de riscos de segurança da informação e monitorar e revisar regularmente o ISMS.
Cobit 5 - APO13 - Gestão da Segurança da Informação
- 1. ê ç
- 3. Estamos interconectados. É preciso cuidar do que se vem de fora para dentro na organização. É necessário ter segurança para a informação.
- 4. Mesmo assim, gerenciar a segurança da informação na organização é uma coisa desnecessária e pouco aplicável.
- 6. ç
- 7. ç
- 8. Segurança ã
- 9. Não basta aplicar É preciso: e da Informação Segurança
- 10. ç
- 11. Descrição e Propósito do Processo: Definir, operar e monitorar um sistema de gestão de Segurança da Informação (SI). Manter o impacto e ocorrência de incidentes de SI dentro dos níveis aceitáveis de risco da organização. ç
- 12. Onde Atua?
- 13. “Não há praticamente uma atividade de TI que não esteja ligada à segurança da informação. Em COBIT 5 cada processo tem um aspecto que impacta ou é impactado pela segurança da informação...” Fonte: http://www.itgovernance.co.za/3/index.php/all-articles/179-security-management-system Onde Atua?
- 14. É
- 15. É
- 16. Tabela RACI Função APO13.01 Estabelecer e manter um ISMS APO13.02 Definir e gerenciar um plano de tratamento para o risco de SI APO13.03 Monitorar e revisar o ISMS CEO C C - Diretor Financeiro C C Diretor de Operações C C C Executivos de Negócios I C R Proprietários de Processos de Negócios C C C Comitê Executivo Estratégico I I - Diretor de Gerenciamento de Projeto I I R Diretor Riscos C C - RACI 1/3
- 17. Tabela RACI Função APO13.01 Estabelecer e manter um ISMS APO13.02 Definir e gerenciar um plano de tratamento para o risco de SI APO13.03 Monitorar e revisar o ISMS Diretor da Segurança de Informação A A A Diretoria de Arquitetura C C - Comitê de Risco da Empresa C C - Observância C C C Auditoria C C C Diretor da Informação R R R Arquiteto-Chefe I C R Chefe de Desenvolvimento I C R RACI 2/3
- 18. Tabela RACI Função APO13.01 Estabelecer e manter um ISMS APO13.02 Definir e gerenciar um plano de tratamento para o risco de SI APO13.03 Monitorar e revisar o ISMS Chefe de Operações de TI I C R Chefe de Administração de TI R R R Gerente de Serviços I C R Gerente de Segurança da Informação R R R Gerente de Continuidade de Negócios C C R Diretor de Privacidade C C R RACI 3/3
- 19. Principais Características do Processo APO13.01 Prática Chave Entradas Saídas Estabelecer e manter um ISMS que fornece acesso padrão, formal e contínuo ao gerenciamento de segurança da informação De Descrição Descrição Para Externo ao COBIT Acesso de segurança à empresa Política ISMS Interno Homologação de escopo ISMS APO01.02 DSS06.03 Atividades: Define um ISMS de acordo com a política da empresa e alinha com a empresa, a organização, sua localização, ativos e tecnologia / Define e comunica à gestão de segurança da informação regras e responsabilidades.
- 20. Principais Características do Processo APO13.02 Prática Chave Entradas Saídas Manter um plano de segurança da informação que descreve como o risco de segurança da informação está sendo gerenciada e alinhada com a estratégica e arquitetura da empresa. Assegurando que as recomendações para implementação de melhoria da segurança estão baseadas nos casos de negócios aprovados e implementado como uma parte integral dos serviços e soluções de desenvolvimento, então, operados como uma parte integral da operação de negócios. De Descrição Descrição Para APO02.04 Encaixe e mudanças necessárias para realizar a meta Plano de tratamento de risco da segurança da informação Todos os EDM Todos os APO Todos os BAI Todos os DSS Todos os MEA APO03.02 Descrições de domínio da linha bases e definição de arquitetura Casos de negócios da segurança da informação APO02.05 APO12.05 Propostas de projetos para redução de risco Atividades: Fornecer entrada para o design e desenvolvimento de práticas de gerenciamento e soluções selecionadas do plano de tratamento de risco de segurança.
- 21. Principais Características do Processo APO13.03 Prática Chave Entradas Saídas Monitorar e revisar o ISMS De Descrição Descrição Para DSS02.02 Requisições de serviços e incidentes priorizados e classificados Relatório de auditoria ISMS MEA02.01 Recomendações para melhorias do ISMS Interno Atividades: Conduzir auditorias ISMS à intervalos planejados / Armazenar ações e eventos que podem ter um impacto na eficácia ou performance do ISMS.
- 22. ê ç