Processo de Inventário e Mapeamento de Ativos de Informação

Solve your problems or get new ideas with basic brainstorming

Get Started. It's Free
or sign up with your email address
Rocket clouds
Processo de Inventário e Mapeamento de Ativos de Informação by Mind Map: Processo de Inventário e Mapeamento de Ativos de Informação

1. Responsabilidades

1.1. Alta Administração

1.1.1. Aprovar as diretrizes gerais e o processo de Inventário e Monitoramento de Ativos de Informação

1.2. Gestor de Segurança da Informação e Comunicações

1.2.1. Coordenação do Inventário e Mapeamento de Ativos de Informação

1.2.2. Indicar de Agente Responsável pela gerência de tais atividades

1.2.3. Analisaros resultados obtidos de controle dos níveis de segurança da informação e comunicações de cada ativo de informação

1.2.4. Propor ajustes e medidas preventivas e próativas à Alta Direção

1.3. Agente Responsável

1.3.1. Executar o processo de identificação e classificação de ativos de informação

1.3.2. Monitorar os níveis de segurança dos ativos de informação junto aos proprietários e custodiantes dos ativos de informação

1.3.3. Elaborar relatórios para os Gestores de Segurança da Informação e Comunicações

2. Necessidades

2.1. Conhecer, valorizar, proteger e manter seus ativos de informação, em conformidade com os requisitos legais e do negócio.

2.2. Obter informações para fazer a Gestão de Riscos de Segurança da Informação e Comunicações e elaborar a Estratégia de Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações.

2.3. Subsidiar propostas de novos investimentos na área de segurança da Informação e Comunicações

3. Sub-Processos

3.1. (1) - Identificação e classificação de ativos de informação (NC Nº 10 DSIC/GSIPR)

3.1.1. Atividade (1) - Coletar informações gerais dos ativos de informação

3.1.1.1. (1) Qual será a estratégia de coleta e o escopo?

3.1.1.2. (2) quem serão os responsáveis pela coleta?

3.1.1.3. (3) qual a previsão de conclusão?

3.1.1.4. (4) qual a periodicidade de atualização

3.1.2. Atividade (2)- Detalhar os ativos de informação

3.1.2.1. determinar com clareza e objetividade o conteúdo do ativo de informação;

3.1.2.1.1. A definição deve ter estas características: - consistência (não muda durante curtos períodos de tempo); - clareza (não é ambígua ou vaga, sujeitando a dupla interpretação); - entendimento universal (está acima de linguagens e tecnologias); - aceitação (é aceitável conforme requisitos do negócio); - materialidade (é clara a respeito de como o recurso é fisicamente instanciado - papel, mídia magnética, etc.)

3.1.2.2. identificar o(s) responsável(is) – proprietário(s) e custodiante(s) - de cada ativo de informação;

3.1.2.3. identificar o valor de cada ativo de informação

3.1.2.4. identificar os respectivos requisitos de segurança da informação e comunicações dos ativos de informação.

3.1.3. Atividade (3)- Identificar o(s) responsável(is) – proprietário(s) e custodiante(s) de cada ativo de informação

3.1.3.1. O proprietário do ativo de informação deve assumir, no mínimo, as seguintes responsabilidades: 1) descrever o ativo de informação, conforme Atividade (2) ; 2) definir as exigências de segurança da informação e comunicações do ativo de informação, conforme Atividade (5); 3) comunicar as exigências de segurança da informação e comunicações do ativo de informação a todos os custodiantes (curadores) e usuários; 4) assegurar-se de que as exigências de segurança da informação e comunicações estejam cumpridas por meio de monitoramento contínuo; 5) indicar os riscos de segurança da informação e comunicações que podem afetar os ativos de informação 6) Projetar uma estratégia apropriada de proteção do ativo da informação 7) Desenvolver as estratégias de tratamento de riscos

3.1.3.2. O custodiante do ativo de informação deve proteger um ou mais ativos de informação do órgão ou entidade da APF, como é armazenado, transportado e processado, de forma a assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação. Ou seja, deve proteger os contêineres dos ativos de informação, e, consequentemente, aplicar os níveis de controles de segurança conforme as exigências de segurança da informação e comunicações, comunicadas pelo(s) proprietário(s) do(s) ativo(s) de informação

3.1.4. Atividade (4) - Identificar os contêineres dos ativos de informação

3.1.4.1. (1) lista de todos os recipientes em que um ativo da informação é armazenado, transportado ou processado, e respectiva indicação dos responsáveis por manter estes recipientes

3.1.4.1.1. De maneira geral podem ser considerados 4 tipos: - Sistemas e aplicações; - Hardwares; - Pessoas; - Outros.

3.1.4.2. (2) definir os limites do ambiente que deve ser examinado para o risco

3.1.4.2.1. 1.1.2. Fronteiras dos Ativos de Informação, 46

3.1.4.3. Pode ser executada paralelamente a Atividade (3)

3.1.5. Atividade (5) - Definir dos requisitos de segurança da informação e comunicações

3.1.5.1. Sejam categorizados, no mínimo, em 5 categorias de controle: a) tratamento da informação; b) controles de acesso físico e lógico; c) gestão de risco de segurança da informação e comunicações; d) tratamento e respostas a incidentes em redes computacionais, e, f) gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação e comunicações.

3.1.5.1.1. Podem ser fontes primárias de requisitos de segurança: acordos, contratos, leis, relacionamento com outros ativos de informação, expectativas das partes interessadas e exigências do negócio.

3.1.6. Atividade (6)- Estabelecer do valor do ativo de informação

3.2. (2) - identificação de potenciais ameaças e vulnerabilidades (NC Nº 04 DSIC/GSIPR)

3.3. (3) - avaliação de riscos (NC Nº 04 DSIC/GSIPR)

4. Resultados

4.1. Prover a CMB: de um entendimento comum, consistente e inequívoco de seus ativos de informação; da identificação clara de seu(s) responsável(eis) - proprietário(s) e custodiante(s); de um conjunto completo de informações básicas sobre os requisitos de segurança da informação e comunicações de cada ativo de informação; de uma descrição do contêiner de cada ativo de informação; e da identificação do valor que o ativo de informação representa para o negócio da empresa.

4.2. Produzir subsídios tanto para a Gestão de Segurança da Informação e Comunicações, a Gestão de Riscos de Segurança da Informação e Comunicações, e a Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, da CMB, tanto quanto para os procedimentos de avaliação da conformidade, de melhorias contínuas, auditoria e, principalmente, de estruturação e geração de base de dados sobre os ativos de informação.