Вы находитесь на странице: 1из 3

PLANO DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÕES

E SEGURANÇA CIBERNÉTICA
Objetivo
Planejar as açõõ es de segurança da infõrmaçaõ õ e cõmunicaçõõ es que seraõ õ implementadas, cõnsiderandõ
õs requisitõs õu pressupõstõs estabelecidõs pelõ planejamentõ õrganizaciõnal, bem cõmõ as diretrizes
expedidas pela autõridade decisõó ria de seu õó rgaõ õ õu entidade.

Itens
1 – Introdução
[Apresentação do documento, normativos e padrões utilizados pela organização.]

2 – Escopo e Limites
[Definição do escopo e dos limites onde serão desenvolvidas as ações de segurança da informação e
comunicações (SIC) e Segurança Cibernética (SegCiber).]

3 – Diretrizes
[Relacionar os instrumentos de planejamentos e seus itens, tais como o PDTIC, PEI, POSIC, EGTIC e PPA.]

4 – Justificativa
[Correlacionar a iniciativa em SIC com os Normativos, Acórdãos, decisões colegiadas e Padrões em SIC.]

5 – Objetivos de SIC
[Definição dos objetivos a serem alcançados com a implementação das ações de SIC e SegCiber,
considerando as expectativas ou diretrizes formuladas pela autoridade decisória de seu órgão ou
entidade.]

6 – Abordagem da Gestão de Riscos


6.1 – Metodologia de Gestão de Riscos
[Adequada ao escopo, limites e objetivos estabelecidos.]

6.2 – Aceitabilidade de Riscos


[Identificar os níveis de riscos aceitáveis e os critérios para sua aceitação, considerando decisões
superiores e o planejamento estratégico do órgão ou entidade.]

7 – Identificação de Riscos
[Pode-se elaborar uma tabela única relacionando os itens 7.1, 7.2 e 7.3.]
7.1 – Lista de Ativos
[Identificação dos ativos e seus responsáveis dentro do escopo onde serão desenvolvidas as ações de
SIC e SegCiber.]

7.2 – Lista de Vulnerabilidades


[Identificação das vulnerabilidades dos ativos identificados no item 7.1.]

7.3 – Lista de Impactos


[Identificação dos impactos que perdas de disponibilidade, integridade, confidencialidade e
autenticidade podem causar nos ativos identificados no item 7.1.]

8 – Análise de Riscos
Pode-se elaborar uma tabela única relacionando os itens 8.1, 8.2, 8.3 e 8.4.
8.1 – Lista de Impactos para a Missão do Órgão ou Entidade
[Identificar os impactos para a missão do Órgão ou Entidade que podem resultar de falhas de
segurança, levando em consideração as consequências de uma perda de disponibilidade, integridade,
confidencialidade ou autenticidade destes ativos.]

8.2 – Probabilidades
[Identificação das probabilidades reais de ocorrência de falhas de segurança, considerando as
vulnerabilidades prevalecentes, os impactos associados a estes ativos e as ações de segurança da
informação e comunicações atualmente implementadas no órgão ou entidade.]

8.3 – Estimativa dos Níveis de Riscos

8.4 – Lista Categorizada de Riscos Aceitáveis e Não Aceitáveis


[Definição dos riscos aceitáveis e não aceitáveis, que requerem tratamento utilizando os
critérios para aceitação de riscos estabelecidos em 6.2.]

9 – Ações de Tratamento de Riscos


9.1 – Lista de Ações de SIC e SegCiber
[Lista de Ações de SIC e SegCiber além das que já estão sendo executadas.]

9.2 – Lista de Riscos Aceitáveis


[Riscos que satisfazem o planejamento organizacional, bem como a diretrizes expedidas pela
autoridade decisória do órgão ou entidade e os critérios de aceitação de riscos estabelecidos em 6.2.]
9.3 – Lista de Ações Para Evitar Riscos

9.4 – Lista de Ações Para Transferir os Riscos


[Lista de ações para transferir os riscos a outras partes, por exemplo, seguradoras ou terceirizados.]

10 – Ações de SIC e SegCiber Para Tratamento de Riscos


10.1 – Ações Para Tratamento de Riscos
[Definição de ações para o tratamento de riscos. Alguns exemplos de ações de segurança da
informação e comunicações são: Política de Segurança da Informação e Comunicações, infraestrutura
de segurança da informação e comunicações, tratamento da informação, segurança em recursos
humanos, segurança física, segurança lógica, controle de acesso, segurança de sistemas, tratamento
de incidentes, gestão de continuidade, conformidade, auditoria interna, além de outras que serão
exploradas em outras normas complementares.]

10.2 – Formas de Acompanhamento das Ações


[Definição de mecanismos para companhamento e avaliação das ações definidas no item 10.1.]

11 – Aprovação
Aprovação da autoridade decisória do órgão ou entidade quanto aos riscos residuais propostos.

12 – Autorização
Autorização da autoridade decisória do órgão ou entidade para implementar as ações de segurança da
SIC e SegCiber selecionadas.
12.1 – Declaração de Aplicabilidade
a) Definiçaõ õ dõs õbjetivõs e õs recursõs necessaó riõs para cada açaõ õ de SIC e SegCiber seleciõnada
e as razõõ es para sua seleçaõ õ.
b) Lista dõs õbjetivõs de cada açaõ õ de SIC e SegCiber que jaó fõram implementadas nõ õó rgaõ õ õu
entidade.
c) Resumõ das decisõõ es relativas aà gestaõ õ de riscõs.
d) Justificativas de põssíóveis exclusõõ es de açõõ es de SIC e SegCiber sugeridas pelõ Gestõr de SIC e
SegCiber e naõ õ autõrizadas pela autõridade decisõó ria dõ õó rgaõ õ õu entidade.