Processo de Inventário e Mapeamento de Ativos de Informação

Solve your problems or get new ideas with basic brainstorming

Iniziamo. È gratuito!
o registrati con il tuo indirizzo email
Rocket clouds
Processo de Inventário e Mapeamento de Ativos de Informação da Mind Map: Processo de Inventário e Mapeamento de Ativos de Informação

1. Responsabilidades

1.1. Alta Administração

1.1.1. Aprovar as diretrizes gerais e o processo de Inventário e Monitoramento de Ativos de Informação

1.2. Gestor de Segurança da Informação e Comunicações

1.2.1. Coordenação do Inventário e Mapeamento de Ativos de Informação

1.2.2. Indicar de Agente Responsável pela gerência de tais atividades

1.2.3. Analisaros resultados obtidos de controle dos níveis de segurança da informação e comunicações de cada ativo de informação

1.2.4. Propor ajustes e medidas preventivas e próativas à Alta Direção

1.3. Agente Responsável

1.3.1. Executar o processo de identificação e classificação de ativos de informação

1.3.2. Monitorar os níveis de segurança dos ativos de informação junto aos proprietários e custodiantes dos ativos de informação

1.3.3. Elaborar relatórios para os Gestores de Segurança da Informação e Comunicações

2. Necessidades

2.1. Conhecer, valorizar, proteger e manter seus ativos de informação, em conformidade com os requisitos legais e do negócio.

2.2. Obter informações para fazer a Gestão de Riscos de Segurança da Informação e Comunicações e elaborar a Estratégia de Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações.

2.3. Subsidiar propostas de novos investimentos na área de segurança da Informação e Comunicações

3. Sub-Processos

3.1. (1) - Identificação e classificação de ativos de informação (NC Nº 10 DSIC/GSIPR)

3.1.1. Atividade (1) - Coletar informações gerais dos ativos de informação

3.1.1.1. (1) Qual será a estratégia de coleta e o escopo?

3.1.1.2. (2) quem serão os responsáveis pela coleta?

3.1.1.3. (3) qual a previsão de conclusão?

3.1.1.4. (4) qual a periodicidade de atualização

3.1.2. Atividade (2)- Detalhar os ativos de informação

3.1.2.1. determinar com clareza e objetividade o conteúdo do ativo de informação;

3.1.2.1.1. A definição deve ter estas características: - consistência (não muda durante curtos períodos de tempo); - clareza (não é ambígua ou vaga, sujeitando a dupla interpretação); - entendimento universal (está acima de linguagens e tecnologias); - aceitação (é aceitável conforme requisitos do negócio); - materialidade (é clara a respeito de como o recurso é fisicamente instanciado - papel, mídia magnética, etc.)

3.1.2.2. identificar o(s) responsável(is) – proprietário(s) e custodiante(s) - de cada ativo de informação;

3.1.2.3. identificar o valor de cada ativo de informação

3.1.2.4. identificar os respectivos requisitos de segurança da informação e comunicações dos ativos de informação.

3.1.3. Atividade (3)- Identificar o(s) responsável(is) – proprietário(s) e custodiante(s) de cada ativo de informação

3.1.3.1. O proprietário do ativo de informação deve assumir, no mínimo, as seguintes responsabilidades: 1) descrever o ativo de informação, conforme Atividade (2) ; 2) definir as exigências de segurança da informação e comunicações do ativo de informação, conforme Atividade (5); 3) comunicar as exigências de segurança da informação e comunicações do ativo de informação a todos os custodiantes (curadores) e usuários; 4) assegurar-se de que as exigências de segurança da informação e comunicações estejam cumpridas por meio de monitoramento contínuo; 5) indicar os riscos de segurança da informação e comunicações que podem afetar os ativos de informação 6) Projetar uma estratégia apropriada de proteção do ativo da informação 7) Desenvolver as estratégias de tratamento de riscos

3.1.3.2. O custodiante do ativo de informação deve proteger um ou mais ativos de informação do órgão ou entidade da APF, como é armazenado, transportado e processado, de forma a assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação. Ou seja, deve proteger os contêineres dos ativos de informação, e, consequentemente, aplicar os níveis de controles de segurança conforme as exigências de segurança da informação e comunicações, comunicadas pelo(s) proprietário(s) do(s) ativo(s) de informação

3.1.4. Atividade (4) - Identificar os contêineres dos ativos de informação

3.1.4.1. (1) lista de todos os recipientes em que um ativo da informação é armazenado, transportado ou processado, e respectiva indicação dos responsáveis por manter estes recipientes

3.1.4.1.1. De maneira geral podem ser considerados 4 tipos: - Sistemas e aplicações; - Hardwares; - Pessoas; - Outros.

3.1.4.2. (2) definir os limites do ambiente que deve ser examinado para o risco

3.1.4.2.1. 1.1.2. Fronteiras dos Ativos de Informação, 46

3.1.4.3. Pode ser executada paralelamente a Atividade (3)

3.1.5. Atividade (5) - Definir dos requisitos de segurança da informação e comunicações

3.1.5.1. Sejam categorizados, no mínimo, em 5 categorias de controle: a) tratamento da informação; b) controles de acesso físico e lógico; c) gestão de risco de segurança da informação e comunicações; d) tratamento e respostas a incidentes em redes computacionais, e, f) gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação e comunicações.

3.1.5.1.1. Podem ser fontes primárias de requisitos de segurança: acordos, contratos, leis, relacionamento com outros ativos de informação, expectativas das partes interessadas e exigências do negócio.

3.1.6. Atividade (6)- Estabelecer do valor do ativo de informação

3.2. (2) - identificação de potenciais ameaças e vulnerabilidades (NC Nº 04 DSIC/GSIPR)

3.3. (3) - avaliação de riscos (NC Nº 04 DSIC/GSIPR)

4. Resultados

4.1. Prover a CMB: de um entendimento comum, consistente e inequívoco de seus ativos de informação; da identificação clara de seu(s) responsável(eis) - proprietário(s) e custodiante(s); de um conjunto completo de informações básicas sobre os requisitos de segurança da informação e comunicações de cada ativo de informação; de uma descrição do contêiner de cada ativo de informação; e da identificação do valor que o ativo de informação representa para o negócio da empresa.

4.2. Produzir subsídios tanto para a Gestão de Segurança da Informação e Comunicações, a Gestão de Riscos de Segurança da Informação e Comunicações, e a Gestão de Continuidade de Negócios, nos aspectos relacionados à Segurança da Informação e Comunicações, da CMB, tanto quanto para os procedimentos de avaliação da conformidade, de melhorias contínuas, auditoria e, principalmente, de estruturação e geração de base de dados sobre os ativos de informação.