Analisar e Gerenciar os Riscos de TI

Imprimir
Detalhes
Categoria: Outros
Acessos: 299

Criar e manter uma estrutura de gestão de risco

PO Planejar e Organizar
PO9 Avaliar e Gerenciar os Riscos de TI
PO9.1 Alinhamento da gestão de riscos de TI e de Negócios
PO9.2 Estabelecimento do Cenário de Risco
PO9.3 Identificação dos riscos
PO9.4 Avaliação dos riscos
PO9.5 Resposta aos riscos
PO9.6 Monitoramento dos riscos
-------------------------------------------------------------------------------------------------------------

PO9.1 Alinhamento da gestão de riscos de TI e de Negócios
Estabelecer uma estrutura de gestão de riscos de TI alinhada com a estrutura de gestão de riscos da organização (corporação).

PO9.1 Alinhamento da gestão de riscos de TIC e de Negócios
PO9.1.1 Política de Gestão de Risco do EB
PO9.1.2 Política de Gestão de Risco do CML
PO9.1.3 Política de Gestão de Risco de TIC do CGTIC/CML
PO9.1.4 Política de Gestão de Risco de TIC da Sec TI/Cmdo do CML

PO9.2 Estabelecimento do Cenário de Risco
Estabelecer o contexto ao qual a estrutura de avaliação de risco é aplicada para assegurar resultados esperados.

PO9.2 Estabelecimento do Cenário de Risco
PO9.1.1 Gestão de Riscos - ABNT NBR ISO 31000
PO9.1.2 Metodologia da Política de Gestão de Risco do EB
PO9.1.3 Análise de Riscos para ambientes de TIC do EB
PO9.1.4 Metodologia da Política de Gestão de Risco do CML
PO9.1.5 Metodologia da Política de Gestão de Risco de TIC do CGTIC/CML
PO9.1.6 Metodologia da Política de Gestão de Risco de TIC da Sec TI/Cmdo do CML

PO9.3 Identificação dos riscos
Identificar os riscos (importante ameaça real que explora significativas vulnerabilidades) com potencial impacto negativo na infraestrutura, serviços, aplicativos ou nas operações da organização, incluindo aspectos de negócios, regulamentação, aspectos jurídicos, tecnologia, parcerias de negócio, recursos humanos e operacionais. Determinar a natureza do impacto e manter esta informação. Registrar e manter um histórico dos riscos relevantes. Montar uma EAR (Estrutura Analítica de Riscos).

PO9.3 Identificação dos riscos
PO9.3.1 Riscos de falha na infraestrutura interna de TI
PO9.3.2 Riscos de falha na infraestrutura externa de TI
PO9.3.3 Riscos de falha de serviços de TI
PO9.3.4 Riscos de falha de aplicações
PO9.3.5 Riscos de Segurança
PO9.3.6 Riscos de sinistro na OM
PO9.3.7 Riscos de Operação
PO9.3.8 Riscos de Recursos Humanos
PO9.3.9 Riscos de Fornecedor

PO9.4 Avaliação dos riscos
Avaliar regularmente a probabilidade e o impacto de todos os riscos identificados, utilizando métodos qualitativos e quantitativos. A probabilidade e o impacto associado ao risco inerente e residual devem ser determinados individualmente, por categoria e com base no portfólio da organização.

PO9.4 Avaliação dos riscos


PO9.5 Resposta aos riscos
Desenvolver e manter um processo de respostas a riscos para assegurar que controles com uma adequada relação custo-benefício mitiguem a exposição aos riscos de forma contínua. O processo de resposta ao risco deve identificar estratégias de risco, tais como evitar, reduzir, compartilhar ou aceitar o risco, determinar responsabilidades, e considerar os níveis de tolerância definidos.

PO9.5 Resposta aos riscos

PO9.6 Monitoramento dos riscos
Priorizar e planejar as atividades de monitoramentos dos riscos em todos os níveis da organização para implementar as respostas aos riscos identificados como necessárias, incluindo a identificação de custos, benefícios e responsabilidade pela execução. Obter aprovações para ações recomendadas e aceitação de quaisquer riscos residuais e assegurar que as ações aprovadas sejam assumidas pelos donos dos processos afetados. Monitorar a execução das respostas ao riscos e sua eficácia.

PO9.6 Monitoramento dos riscos