11. Descrição e Propósito do Processo:
Definir, operar e monitorar um sistema de gestão de
Segurança da Informação (SI). Manter o impacto e
ocorrência de incidentes de SI dentro dos níveis
aceitáveis de risco da organização.
ç
13. “Não há praticamente uma atividade de TI
que não esteja ligada à segurança da
informação. Em COBIT 5 cada processo tem
um aspecto que impacta ou é impactado
pela segurança da informação...”
Fonte: http://www.itgovernance.co.za/3/index.php/all-articles/179-security-management-system
Onde Atua?
16. Tabela RACI
Função
APO13.01
Estabelecer e manter
um ISMS
APO13.02
Definir e gerenciar um
plano de tratamento
para o risco de SI
APO13.03
Monitorar e revisar o
ISMS
CEO C C -
Diretor Financeiro C C
Diretor de Operações C C C
Executivos de
Negócios
I C R
Proprietários de
Processos de Negócios
C C C
Comitê Executivo
Estratégico
I I -
Diretor de
Gerenciamento de
Projeto
I I R
Diretor Riscos C C -
RACI
1/3
17. Tabela RACI
Função
APO13.01
Estabelecer e manter
um ISMS
APO13.02
Definir e gerenciar um
plano de tratamento
para o risco de SI
APO13.03
Monitorar e revisar o
ISMS
Diretor da Segurança
de Informação
A A A
Diretoria de
Arquitetura
C C -
Comitê de Risco da
Empresa
C C -
Observância C C C
Auditoria C C C
Diretor da Informação R R R
Arquiteto-Chefe I C R
Chefe de
Desenvolvimento
I C R
RACI
2/3
18. Tabela RACI
Função
APO13.01
Estabelecer e manter
um ISMS
APO13.02
Definir e gerenciar um
plano de tratamento
para o risco de SI
APO13.03
Monitorar e revisar o
ISMS
Chefe de Operações de
TI
I C R
Chefe de
Administração de TI
R R R
Gerente de Serviços I C R
Gerente de Segurança
da Informação
R R R
Gerente de
Continuidade de
Negócios
C C R
Diretor de Privacidade C C R
RACI
3/3
19. Principais Características do Processo
APO13.01
Prática Chave Entradas Saídas
Estabelecer e manter um
ISMS que fornece acesso
padrão, formal e contínuo
ao gerenciamento de
segurança da informação
De Descrição Descrição Para
Externo ao
COBIT
Acesso de segurança à
empresa
Política ISMS Interno
Homologação de
escopo ISMS
APO01.02
DSS06.03
Atividades: Define um ISMS de acordo com a política da empresa e alinha com a empresa, a organização, sua
localização, ativos e tecnologia / Define e comunica à gestão de segurança da informação regras e responsabilidades.
20. Principais Características do Processo
APO13.02
Prática Chave Entradas Saídas
Manter um plano de segurança
da informação que descreve
como o risco de segurança da
informação está sendo
gerenciada e alinhada com a
estratégica e arquitetura da
empresa. Assegurando que as
recomendações para
implementação de melhoria da
segurança estão baseadas nos
casos de negócios aprovados e
implementado como uma parte
integral dos serviços e soluções
de desenvolvimento, então,
operados como uma parte
integral da operação de
negócios.
De Descrição Descrição Para
APO02.04
Encaixe e mudanças
necessárias para
realizar a meta
Plano de tratamento
de risco da segurança
da informação
Todos os EDM
Todos os APO
Todos os BAI
Todos os DSS
Todos os MEA
APO03.02
Descrições de
domínio da linha
bases e definição de
arquitetura Casos de negócios da segurança da informação
APO02.05
APO12.05
Propostas de projetos
para redução de risco
Atividades: Fornecer entrada para o design e desenvolvimento de práticas de gerenciamento e soluções selecionadas do
plano de tratamento de risco de segurança.
21. Principais Características do Processo
APO13.03
Prática Chave Entradas Saídas
Monitorar e revisar o ISMS
De Descrição Descrição Para
DSS02.02
Requisições de
serviços e incidentes
priorizados e
classificados
Relatório de auditoria
ISMS
MEA02.01
Recomendações para
melhorias do ISMS
Interno
Atividades: Conduzir auditorias ISMS à intervalos planejados / Armazenar ações e eventos que podem ter um impacto
na eficácia ou performance do ISMS.