Processo de Gestão de Continuidade de TIC
| Responsável pelo processo |
|---|
| Coordenadoria de Segurança da Informação e Proteção de Dados |
Papéis e responsabilidades
Papéis |
Responsabilidades |
|
Presidência |
Órgão diretivo máximo do TRT |
Aprovar os planos de continuidade propostos pela SETIC e principal interessada nas atividades-fim críticas do TRT. |
Comitê de Segurança da Informação e Proteção de Dados |
Comitê multidisciplinar de assessoramento da Administração na área de segurança da informação e Proteção de Dados |
Analisar e opinar sobre a documentação de Continuidade de TIC produzida pela SETIC, apoiando a Presidência na avaliação do processo. |
Subcomitê de Tecnologia da Informação e Comunicação |
Subcomitê formado pelo gestor da Secretaria de Tecnologia da Informação e Comunicações, pelos Coordenadores e Chefe do Divisão de Projetos e Assessoramento Administrativo |
Avaliar as proposições e documentos encaminhados pela CSIPD. |
Encaminhar as proposições às instâncias superiores, para avaliação e aprovação. Quando necessário, retornar à CSIPD, indicando pontos de melhorias a serem realizados. |
||
Coordenadoria de Segurança da Informação e Proteção de Dados (CSIPD) |
Coordenadoria responsável pela área de segurança da informação e Proteção de Dados |
Elaborar e atualizar modelos de documentos utilizados na gestão de continuidade de TIC. |
Assessorar na análise e na tomada de decisões a respeito de continuidade de TIC. |
||
Gerenciar o processo de continuidade de TIC e manter a documentação relacionada atualizada; |
||
Outras áreas da SETIC |
Compreendem as áreas técnicas da SETIC, responsáveis por administrar os serviços de TIC e atendimento às atividades críticas do TRT. |
Preencher e revisar os Planos de Continuidade e de Recuperação de Desastres, executar os testes com apoio da CSIPD no processo. |
Indicador de processo
Descrição |
Método de apuração / fórmula de cálculo |
Frequência |
Percentual de Planos com Cenários Testados |
número de planos com, ao menos, um cenário testado sobre o total de planos existentes. |
Anual |
Controle de execução
|
Método de execução |
Frequência |
Auditoria |
Realizar uma reunião com as equipes executoras do processo, para avaliar a aderência, os benefícios gerados e oportunidades de melhoria do processo. Essa revisão deve identificar se o processo necessita de revisão. |
Anual |
Descrição das tarefas
Definir estratégias de continuidade de TIC |
||
Descrição |
Identificar as estratégias de continuidade e de recuperação disponíveis para os serviços de TIC mais críticos. Tais estratégias norteiam as tarefas e procedimentos a serem executados antes e durante a ocorrência de um desastre e a identificação dos recursos humanos, tecnológicos, financeiros, etc necessários para sua implementação. |
|
Considerações importantes |
Nesta fase avaliam-se quais as possíveis ações adotar para implementar a gestão de continuidade de TIC, levando-se em conta a viabilidade de adoção da solução técnica, além de medidas de contingência que possam ser adotadas. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados, Subcomitê de Tecnologia da Informação e Comunicação e Outras áreas da SETIC. |
|
Entradas |
Análise de Impacto de Negócio (AIN) |
|
Saídas |
Estratégias de continuidade de TIC para os serviços críticos |
|
Atividades |
Definir estratégia de continuidade de TIC |
Para cada serviço crítico, avalia-se as possíveis ações para manter o serviço em um nível minimamente operável, de acordo com os prazos estabelecidos na AIN, a quantidade de recursos necessária, etc. |
Templates |
N/A |
|
Avaliar necessidade de criação, alteração ou exclusão dos PCNs |
||
Descrição |
Identificar a necessidade de revisão periódica dos planos ou circunstâncias que ensejem a criação, alteração ou exclusão dos documentos que compõem o Plano de Continuidade. |
|
Considerações importantes |
. Para a revisão do ciclo que se inicia deverão ser consideradas as oportunidades de melhorias identificadas no ciclo anterior. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Planos já existentes em sua última versão; Solicitações de Mudanças; Oportunidades de melhorias identificadas no ciclo anterior; Análise de Impacto de Negócio; Análise de Riscos; Relatórios de Incidentes de Segurança da Informação (RISIs) |
|
Saídas |
Relação de planos em que se sugere a criação, alteração ou exclusão |
|
Atividades |
Identificar as necessidades de criação, alteração ou exclusão dos planos |
CSIPD avalia se há oportunidade de criação ou exclusão de novos PCN. Segundo diretrizes, a revisão dos planos existentes deve ocorrer a cada ano. |
Atualizar listagem de controles de revisão dos PCNs |
Atualizar a listagem de controle com os planos para alteração, sugestões de criação ou exclusão. |
|
Templates |
N/A |
|
Solicitar a elaboração, revisão e testes dos planos |
||
Descrição |
Disponibilizar os PCN (PCOs e PRDs) existentes para revisão às áreas da SETIC responsáveis pela administração do serviço/atividade crítica; sugerir criação de novos ou exclusão de PCNs; modelo de relatório de execução de testes. |
|
Considerações importantes |
Atualmente os documentos são disponibilizados via Google Docs, para facilitar a edição colaborativa. A revisão pode ter sido solicitada por instâncias superiores durante a validação dos planos propostos. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Relação de planos em que se sugere a criação, alteração ou exclusão |
|
Saídas |
Comunicação às áreas envolvidas sobre a necessidade de revisão dos PCNs e relatórios de execução dos testes, quando realizados. |
|
Atividades |
Disponibilizar os documentos via Google Drive |
Procedimento operacional realizado pela CSIPD para disponibilizar uma nova cópia do modelo do plano em questão. |
Avisar área e combinar um prazo de entrega |
Avisar a área responsável pelo preenchimento dos documentos e combinar uma data para entrega dos documentos. Obs.: cabe às áreas a atualização dos PCNs e elaboração dos relatório de execução dos testes, quando realizados. |
|
Templates |
Plano de Continuidade Operacional, Plano de Recuperação de Desastres e Relatório de Execução de Testes |
|
Revisar PCO's |
||
Descrição |
Propor Plano de Continuidade Operacional com o objetivo de elencar as atividades e procedimentos necessários para garantir a operacionalidade da atividade/serviço em um nível mínimo aceitável frente aos cenários de falhas descritos. |
|
Considerações importantes |
||
Papéis |
Outras áreas da SETIC Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Modelos dos planos e PCOs para revisão |
|
Saídas |
Plano de Continuidade Operacional (PCO) |
|
Atividades |
Coleta de informações |
Área responsável pela coleta de informações para identificar principais cenários de falha e sobre a forma de atuação em cada cenário de falha identificado. |
Preenchimento dos planos |
A área preenche os planos, descrevendo os procedimentos a serem executados para cada cenário de falha levantado. A CSIPD apoia as áreas nesta tarefa. |
|
Encaminha PCO para teste |
A área deverá encaminhar para testes de, ao menos, um cenário do PCO. Recomenda-se que PCOs novos, ou grandes alterações, sejam testados em sua totalidade. A área deverá justificar quando não realizar testes em um PCO. |
|
Templates |
Plano de Continuidade Operacional |
|
Elaborar/revisar PRD's |
||
Descrição |
Propor Plano de Recuperação de Desastres com o intuito de descrever as atividades e procedimentos necessários para retornar as operações dos serviços críticos à normalidade frente à ocorrência de eventos adversos. |
|
Considerações importantes |
||
Papéis |
Outras áreas da SETIC Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Modelos dos planos e PRDs para revisão |
|
Saídas |
Plano de Recuperação de Desastres (PRD) |
|
Atividades |
Coleta de informações |
A área responsável coleta informações para identificar os principais cenários de falha e sobre a forma de atuação em cada cenário de falha identificado. |
Preenchimento dos planos |
A área preenche os planos, descrevendo os procedimentos a serem executados para cada cenário de falha levantado. A CSIPD apoia as áreas nesta tarefa. |
|
Encaminha PRD para teste |
A área deverá encaminhar para testes de, ao menos, um cenário do PRD. Recomenda-se que PRDs novos, ou grandes alterações, sejam testados em sua totalidade. A área deverá justificar quando não realizar testes em um PRD. |
|
Templates |
Plano de Recuperação de Desastres |
|
Validar planos, testes e armazenar artefatos |
||
Descrição |
A CSIPD recebe os planos revisados (PCO’s e PRD’s) e os relatórios de execução de testes das áreas técnicas com o intuito de validá-los em relação ao formato, à estrutura do documento e aos demais itens. Estando conforme, a CSIPD compila as informações referente à revisão dos planos para encaminhamento ao Subcomitê de Tecnologia da Informação e Comunicação, para validá-los e os relatórios de teste para armazenamento. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
PCO's e PRD's |
|
Saídas |
Planos validados |
|
Atividades |
Avaliar planos |
A CSIPD avalia os planos apresentados pelas áreas técnicas. |
Encaminhar para Subcomitê de Tecnologia da Informação e Comunicação |
Avaliados os planos, a CSIPD encaminha um compêndio dos planos ao Subcomitê de Tecnologia da Informação e Comunicação, para validação. |
|
Encaminhar para ajustes |
Caso a CSIPD entenda ser necessário, poderá devolver os PCN às áreas para ajustes. |
|
Templates |
N/A |
|
Apreciar planos |
||
Descrição |
Apreciar os planos recebidos, recomendar ajustes e encaminhar para o Comitê de Segurança da Informação e Proteção de Dados opinar. |
|
Considerações importantes |
||
Papéis |
Subcomitê de TIC |
|
Entradas |
PCO's, PRD's e relatórios de testes |
|
Saídas |
Recomendações de ajustes ou encaminhamento dos documentos para o Comitê de Segurança da Informação e Proteção de Dados opinar. |
|
Atividades |
Apreciar documentação |
Apreciar planos e relatórios recebidos |
Recomendar ajustes |
Quando julgar necessário, recomendar ajustes nos planos ou novos testes |
|
Encaminhar documentação |
Encaminhar formalmente os documentos ao Comitê de Segurança da Informação e Proteção de Dados. |
|
Templates |
N/A |
|
Opinar sobre os documentos |
||
Descrição |
O Comitê de Segurança da Informação e Proteção de Dados avalia criticamente a documentação produzida pela SETIC. Após avaliação, opina, formalmente, sobre a documentação. |
|
Considerações importantes |
Conforme estabelecido na Política de Segurança da Informação, o Comitê de Segurança da Informação e Proteção de Dados assessora a Presidência do TRT em questões relacionadas à matéria. |
|
Papéis |
Comitê de Segurança da Informação e Proteção de Dados |
|
Entradas |
Documentação encaminhada para aprovação |
|
Saídas |
Opinião sobre a documentação |
|
Atividades |
Avaliar documentação |
O Comitê analisa a documentação recebida. |
Recomendar ajustes |
Quando julgar necessário, o Comitê pode recomendar ajustes na documentação, devolvendo-a para a Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Encaminhar expediente à Presidência |
A opinião do Comitê deve ser juntada ao expediente, que deve ser encaminhado à Presidência. |
|
Templates |
N/A |
|
Aprovar os documentos e manifestação |
||
Descrição |
De posse da opinião do Comitê, a Presidência avalia os documentos e decide pela aprovação ou não dos mesmos. Caso não aprove, a Presidência indicará os ajustes necessários. |
|
Considerações importantes |
N/A |
|
Papéis |
Presidência |
|
Entradas |
Planos de Continuidade de TIC, com opinião do Comitê de Segurança da Informação e Proteção de Dados |
|
Saídas |
Aprovação ou reprovação da documentação |
|
Atividades |
Analisar a opinião do Comitê e avaliar documentação |
A Presidência avalia a opinião do Comitê e analisa criticamente a documentação encaminhada. |
Decisão final |
A Presidência dá seguimento ao fluxo, informando a aprovação ou não da documentação, com ciência à SETIC sobre a deliberação. |
|
Templates |
N/A |
|
Gerir documentação |
||
Descrição |
A documentação aprovada deve ser organizada no Google Drive, movimentando os arquivos nos diretórios respectivos, concedendo o correto permissionamento e fazendo uma cópia de arquivos na rede, para contingência. Os planos são, ainda, impressos e guardados no cofre da CIT. |
|
Considerações importantes |
A manutenção de versionamento é importante para manter um registro histórico de atualizações e responsáveis pela atualização. O controle de acesso é necessário pois alguns documentos possuem informações restritas. Os PCN serão armazenados no Drive em formato PDF, em pasta compartilhada para leitura com as demais áreas da SETIC, além de impressos e guardados em pasta própria, devidamente identificados, no cofre da Coordenadoria de Infraestrutura Tecnológica.
|
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Documentos aprovados |
|
Saídas |
Documentos em sua versão final, digitais e físicos, com registro do versionamento |
|
Atividades |
Organizar documentos nos diretórios |
A CSIPD organiza os documentos nos diretórios de rede e no Google Drive. Os documentos antigos devem ser movidos para a pasta com acesso exclusivo da CSIPD. Os documentos aprovados devem ser organizados na pasta de versões vigentes. |
Atualizar a tabela de versionamento |
Preencher a tabela de versionamento, incluindo quem realizou a mudança, quais mudanças foram feitas e quando elas foram realizadas. |
|
Conceder acesso aos interessados |
Conceder ou revisar, documento por documento, o correto permissionamento. |
|
Imprimir e guardar documentos |
A CSIPD imprime os documentos e os guarda em uma pasta, armazenada no cofre da CIT. |
|
Templates |
N/A |
|
Divulgar documentos às áreas interessadas |
||
Descrição |
A CSIPD manda email às áreas interessadas (técnicas e chefias) divulgando os documentos aprovados, para consulta quando necessário. |
|
Considerações importantes |
A divulgação é essencial para que as equipes saibam da existência dos documentos, os utilizem quando necessário e para que informem a CSIPD quando for necessário atualizar a documentação. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Planos versionados |
|
Saídas |
Planos divulgados |
|
Atividades |
Mandar email aos interessados |
CSIPD divulga, via email, o local onde os arquivos estão disponíveis. |
Templates |
N/A |
|
Identificar e registrar oportunidades de melhoria |
||
Descrição |
Identificar e registrar oportunidades de melhoria tanto no que diz respeito ao processo de Gestão de Continuidade, quanto aos documentos em vigor, para serem implementadas no próximo ciclo. |
|
Considerações importantes |
Para esta atividade devem ser analisados o resultado dos testes e da avaliação dos incidentes críticos. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Documentação gerada, análise histórico de incidentes |
|
Saídas |
Documento com oportunidades de melhoria |
|
Atividades |
Identificar oportunidades de melhoria |
A CSIPD poderá consultar as áreas envolvidas para a elaboração do documento |
Templates |
N/A |
|