1. Responsabilidades
1.1. Alta Administração
1.1.1. Aprovar as diretrizes gerais e o processo de Inventário e Monitoramento de Ativos de Informação
1.2. Gestor de Segurança da Informação e Comunicações
1.2.1. Coordenação do Inventário e Mapeamento de Ativos de Informação
1.2.2. Indicar de Agente Responsável pela gerência de tais atividades
1.2.3. Analisaros resultados obtidos de controle dos níveis de segurança da informação e comunicações de cada ativo de informação
1.2.4. Propor ajustes e medidas preventivas e próativas à Alta Direção
1.3. Agente Responsável
1.3.1. Executar o processo de identificação e classificação de ativos de informação
1.3.2. Monitorar os níveis de segurança dos ativos de informação junto aos proprietários e custodiantes dos ativos de informação
1.3.3. Elaborar relatórios para os Gestores de Segurança da Informação e Comunicações
2. Sub-Processos
2.1. (1) - Identificação e classificação de ativos de informação (NC Nº 10 DSIC/GSIPR)
2.1.1. Atividade (1) - Coletar informações gerais dos ativos de informação
2.1.1.1. (1) Qual será a estratégia de coleta e o escopo?
2.1.1.2. (2) quem serão os responsáveis pela coleta?
2.1.1.3. (3) qual a previsão de conclusão?
2.1.1.4. (4) qual a periodicidade de atualização
2.1.2. Atividade (2)- Detalhar os ativos de informação
2.1.2.1. determinar com clareza e objetividade o conteúdo do ativo de informação;
2.1.2.1.1. A definição deve ter estas características: - consistência (não muda durante curtos períodos de tempo); - clareza (não é ambígua ou vaga, sujeitando a dupla interpretação); - entendimento universal (está acima de linguagens e tecnologias); - aceitação (é aceitável conforme requisitos do negócio); - materialidade (é clara a respeito de como o recurso é fisicamente instanciado - papel, mídia magnética, etc.)
2.1.2.2. identificar o(s) responsável(is) – proprietário(s) e custodiante(s) - de cada ativo de informação;
2.1.2.3. identificar o valor de cada ativo de informação
2.1.2.4. identificar os respectivos requisitos de segurança da informação e comunicações dos ativos de informação.
2.1.3. Atividade (3)- Identificar o(s) responsável(is) – proprietário(s) e custodiante(s) de cada ativo de informação
2.1.3.1. O proprietário do ativo de informação deve assumir, no mínimo, as seguintes responsabilidades: 1) descrever o ativo de informação, conforme Atividade (2) ; 2) definir as exigências de segurança da informação e comunicações do ativo de informação, conforme Atividade (5); 3) comunicar as exigências de segurança da informação e comunicações do ativo de informação a todos os custodiantes (curadores) e usuários; 4) assegurar-se de que as exigências de segurança da informação e comunicações estejam cumpridas por meio de monitoramento contínuo; 5) indicar os riscos de segurança da informação e comunicações que podem afetar os ativos de informação 6) Projetar uma estratégia apropriada de proteção do ativo da informação 7) Desenvolver as estratégias de tratamento de riscos
2.1.3.2. O custodiante do ativo de informação deve proteger um ou mais ativos de informação do órgão ou entidade da APF, como é armazenado, transportado e processado, de forma a assegurar a disponibilidade, integridade, confidencialidade e autenticidade da informação. Ou seja, deve proteger os contêineres dos ativos de informação, e, consequentemente, aplicar os níveis de controles de segurança conforme as exigências de segurança da informação e comunicações, comunicadas pelo(s) proprietário(s) do(s) ativo(s) de informação
2.1.4. Atividade (4) - Identificar os contêineres dos ativos de informação
2.1.4.1. (1) lista de todos os recipientes em que um ativo da informação é armazenado, transportado ou processado, e respectiva indicação dos responsáveis por manter estes recipientes
2.1.4.1.1. De maneira geral podem ser considerados 4 tipos: - Sistemas e aplicações; - Hardwares; - Pessoas; - Outros.
2.1.4.2. (2) definir os limites do ambiente que deve ser examinado para o risco
2.1.4.2.1. 1.1.2. Fronteiras dos Ativos de Informação, 46
2.1.4.3. Pode ser executada paralelamente a Atividade (3)
2.1.5. Atividade (5) - Definir dos requisitos de segurança da informação e comunicações
2.1.5.1. Sejam categorizados, no mínimo, em 5 categorias de controle: a) tratamento da informação; b) controles de acesso físico e lógico; c) gestão de risco de segurança da informação e comunicações; d) tratamento e respostas a incidentes em redes computacionais, e, f) gestão de continuidade dos negócios nos aspectos relacionados à segurança da informação e comunicações.
2.1.5.1.1. Podem ser fontes primárias de requisitos de segurança: acordos, contratos, leis, relacionamento com outros ativos de informação, expectativas das partes interessadas e exigências do negócio.
2.1.6. Atividade (6)- Estabelecer do valor do ativo de informação