Download - PD-CQ-006 Gestão de Risco
-
8/16/2019 PD-CQ-006 Gestão de Risco
1/18
GESTÃO DE RISCO
ELABORADO POR: QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 1
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
1. OBJETIVO
Definir a estratégia, conceitos, métodos e critérios para a implantação e execução de processo
contínuo de gestão de riscos em segurança da informação na empresa, criando um padrão para a
execução do processo.
2. APLICAÇÃO
Aplica-se a todas as áreas da empresa abrangidas pelas atiidades de gestão de risco.
!. DEFINIÇÕES (CONCEITOS E CRITÉRIOS)
Abordagem de ge!"o de r#$o são as metodologias adotadas no processo de gestão dos riscos
"análise #uantitatia, análise #ualitatia$, assim como as restriç%es organi&acionais e de escopo.Ba%$o de Dado de R#$o (BDR), pro'etado em ()-*xcel, contém as informaç%es necessárias +
análise e aaliação de riscos dos processos de negcio submetidos a este procedimento. D/ é
onde ficam as informaç%es pertinentes + gestão de riscos e é formado pelas seguintes planil0as, com
os respectios contedos
1. 3lanil0a de Atios 4 5digo, descrição, 0ost, irtual 0ost, aplicaç%es, seriços, classe, alor do
atio e proprietário6
2. 3lanil0a de 5lasse de Atios 4 5digo e nome da classe do atio6!. 3lanil0a de 3rocessos 4 5digo, nome e descrição do processo, local em #ue é usado e gestor6
7. 3lanil0a 5onsolidada de Aaliação de /iscos "35A/$ - 5digo do processo6 cdigo e descrição
do atio6 cdigo, descrição e alor da ameaça6 cdigo, descrição e alor da ulnerabilidade6
cenário do incidente e probabilidade de ocorrer o incidente6 conse#u8ncia, alor do impacto,
mecanismos ou controles existentes para eitar o risco, ob'etios de controle a serem
implementados, descrição do tratamento do risco, pra&o estimado, custo estimado, níel de
risco, status, estratégia, com todos os riscos dos processos leantados "recebidos atraés do
9TP&C'& Tem*+a!e P+a%#+,a de R#$o *or Pro$eo:$, consolidados nessa nica planil0a
e com terminologia uniformi&ada.
;. 3lanil0a de Ameaças 4 5digo, tipo, descrição da ameaça e motiação6
. 3lanil0a de ?ulnerabilidades 4 5digo, tipo, descrição da ulnerabilidade e detal0amento6
@. 5ontroles *spel0o da definição de controles existentes na Declaração de Aplicabilidade " DA-
CQ-001-Declaração de Aplicabilidade$ #ue são pertinentes e aplicáeis ao ))B da organi&ação, para
consulta no D.
-
8/16/2019 PD-CQ-006 Gestão de Risco
2/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 2
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
Tem*+a!e P+a%#+,a de R#$o *or Pro$eo (PRP), pro'etado em ()-*xcel, é praticamente uma
cpia do D/, sendo #ue ao inés da 35A/, tem a planil0a /iscos por 3rocesso "/3$, onde serão
identificados os riscos e seus detal0es do processo. Ca /3 é onde ficam as informaç%es pertinentes
+ gestão de riscos por processo, e é formado pelas seguintes planil0as, com os respectios
contedos
1. 3lanil0a de /iscos do 3rocesso "/3$ 4 3lanil0a editáel contendo 5digo do processo6 cdigo e
descrição do atio6 cdigo, descrição e alor da ameaça6 cdigo, descrição e alor da
ulnerabilidade6 cenário do incidente e probabilidade de ocorrer o incidente6 conse#u8ncia e
alor do impacto.
2. 3lanil0a de Atios 4 3lanil0a auxiliar não editáel contendo 5digo, descrição, 0ost, irtual
0ost, aplicaç%es, seriços, classe, alor do atio e proprietário6
!. 3lanil0a de 5lasse de Atios 4 3lanil0a auxiliar não editáel contendo 5digo e nome da classe
do atio6
7. 3lanil0a de 3rocessos 4 3lanil0a auxiliar não editáel contendo 5digo, nome e descrição do
processo, local em #ue é usado e gestor6
;. 3lanil0a de Ameaças 4 3lanil0a auxiliar não editáel contendo 5digo, tipo, descrição da
ameaça e motiação6
. 3lanil0a de ?ulnerabilidades 4 3lanil0a auxiliar não editáel contendo 5digo, tipo, descrição
da ulnerabilidade e detal0amento6
A%-+#e do R#$o é o uso sistemático de informações para identificar fontes e estimar o risco. Efetuada
pelo estor de /iscos, com a colaboração dos gestores de processos das áreas no escopo definido.
A.a+#a/"o de r#$o é o processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importncia do risco e sua prioridade no tratamento, aps a A%-+#e do R#$o0
Amea/a é tudo a#uilo #ue tem potencial de causar algum tipo de dano aos atios. estor de
/iscos manterá uma P+a%#+,a de Amea/a, encontrada no Ba%$o de Dado de R#$o (BDR) e
1ma $2*#a %o TP&C'& Tem*+a!e P+a%#+,a de R#$o *or Pro$eo para consulta pelas partes
interessadas #ue t8m a responsabilidade de identificar e monitorar os riscos em suas áreas de
atuação. Dee-se atribuir uma nota relatia de 1 a ;, conforme tabela 1
-
8/16/2019 PD-CQ-006 Gestão de Risco
3/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 3
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
Tabela 1 – Graduação de Ameaças
A3EAÇA CRITÉRIO(uito alta Cota ; 5om potencial altamente crítico para explorar ulnerabilidadesAlta Cota 7 5om alto potencial para explorar ulnerabilidades(ediana Cota ! 5om potencial consideráel para explorar ulnerabilidadesaixa Cota 2 5om baixo potencial de explorar ulnerabilidades(uito baixa Cota 1 5om baixo ou #uase nen0um potencial de explorar ulnerabilidades
V1+%erab#+#dade é uma condição ou situação #ue pode ser explorada por uma ameaça, acarretando
pre'uí&o. estor de /iscos manterá uma 3lanil0a de ?ulnerabilidades para consulta pelas partes
interessadas #ue t8m a responsabilidade de identificar e monitorar os riscos em suas áreas de
atuação. Dee-se atribuir uma nota relatia de 1 a ;, conforme tabela 2.
Tabela 2 – Graduação de Vulnerabilidades
V4LNERABILIDADES CRITÉRIO(uito alta Cota ; *xposição máxima ou aus8ncia total de barreirasAlta Cota 7 /elencia alta com tratamento complexo(oderada Cota ! /eleante com tratamento moderado.aixa Cota 2 /eleante, com tratamento simples.(uito baixa Cota 1 Brreleante, com tratamento muito simples.
Co%!e5!o é o ambiente interno ou externo no #ual a organi&ação busca atingir seus ob'etios, cu'os
parmetros deerão ser leados em consideração ao gerenciar riscos, além do estabelecimento doescopo e dos critérios de risco para a política de gestão de riscos.
Co%!ro+e é um mecanismo de proteção ou uma medida #ue modifica o risco.
Cr#!6r#o b-#$o compreende a abordagem para a gestão de riscos, critérios para a aaliação do
dos riscos, critérios de impacto, de tratamento e aceitação do risco, escopo e organi&ação para
gestão de riscos.
E$o*o é a abrang8ncia do processo de gestão de riscos em relação aos processos de negcio e
atios considerados.E.e%!o ou #%$#de%!e é a ocorr8ncia ou mudança em um con'unto específico de circunstncias. Em
eento pode consistir em uma ou mais ocorr8ncias e pode ter árias causas. A probabilidade de
ocorrer um incidente é obtida pelo produto dos graus da ameaça e da ulnerabilidade.
7e!or de R#$o colaborador com ínculo empregatício designado pela direção da empresa como
administrador do processo contínuo de gestão de riscos, sendo detentor de cargo ou não.
Ide%!#8#$a/"o do r#$o é o processo de identificar ameaças, ulnerabilidades e os impactos
decorrentes da ocorr8ncia de eentos #ue podem causar efeitos negatios em atios da organi&ação.
-
8/16/2019 PD-CQ-006 Gestão de Risco
4/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 4
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
Im*a$!o ou $o%e91:%$#a é o efeito do incidente nos ob'etios estratégicos ou nos processos de
negcio. Dee-se atribuir uma nota relatia de 1 a ;, conforme tabela !
Tabela 3 – Graduação de Impacto
I3PACTO CRITÉRIO
(uito alto Cota ;5ompromete grande parte dos ob'etios estratégicos definidos no
contexto ou nos ob'etios do processo de negcio.
Alto Cota 7Bmpacto eleado nos ob'etios estratégicos definidos no contexto
podendo comprometer, em parte, o processo de negcio enolido.
(ediano Cota !As conse#u8ncias nos ob'etios estratégicos e nos processos de
negcio são contornáeis com esforço ra&oáel.
aixo Cota 23e#ueno impacto nos ob'etios estratégicos e nos processos de
negcio, dependendo de soluç%es ra&oáeis.
(uito baixo Cota 1Bmpacto irreleante nos ob'etios estratégicos e nos processos de
negcio podendo ser facilmente resolido.
3o%#!orame%!o do r#$o será reali&ado pelo estor de /iscos atraés da análise dos fatores de
risco "alores de atios, ameaças, ulnerabilidades, controles e probabilidade de ocorr8ncia$. s
índices de segurança e de conformidade também deerão ser recalculados periodicamente, de
acordo com os controles recomendados pela norma AC= C/ B)FB*5 2>GG12GG;
Hndice de )egurança "B)$ I 1GG J /= F /A, onde/= a #uantidade dos riscos tratados
/A é a #uantidade de riscos aplicáeis.
Hndice de 5onformidade "B5$ I 1GG J 5B F 5A, onde
5B é a #uantidade de controles implementados e
5A é a #uantidade de controles aplicáeis.
.
N;.e+ de R#$o é obtido pelo produto da nota da probabilidade e&es a nota do impacto. s alores possíeis são mostrados na =abela 7, #ue classifica os riscos por importncia ou seeridade Kem
ermel0o, os riscos altos "L 1;$, em amarelo, os riscos médios "entre @ e 12$ e, em erde, os riscos
baixos "M
-
8/16/2019 PD-CQ-006 Gestão de Risco
5/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 8
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
2 2 7 < @ 1G
1 1 2 ! 7 ;
1 2 3 4 !
O *o;.e# %;.e# de r#$o "o<
A+!o! 2GGO$ ou é um eento ou
condição incerta #ue, se ocorrer, terá um efeito positio ou negatio sobre, pelo menos, um ob'etio
do pro'eto, como tempo, custo, mbito ou #ualidade "3(B, 3(T uide 2GG7$. Ca U5/,
usaremos o primeiro conceito para os procedimentos de gestão de risco e o segundo para os pro'etos
submetidos ao processo de estão de (udanças.
De #ual#uer forma, podemos substituir o termo 9pro'eto: por 9processo:. *sse efeito positio ou
negatio será medido pela probabilidade de ocorrer um incidente e&es o grau de impacto. *ssa
Im*a$!o
-
8/16/2019 PD-CQ-006 Gestão de Risco
6/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 6
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
medida representa o níel de risco da#uele atio, sendo classificado como alto, médio ou baixo,
exatamente como definido na =abela 7, para efeito de tratamento do risco.
*xemplo de medida de risco 4 )upon0a aaliar o risco de interromper o processo de Atendimento a
5lientes num 5all 5enter deido + aus8ncia de atendentes. cenário de incidente estudado neste
exemplo é causado pela ameaça de gree dos rodoiários e pela vulnerabilidade expressa pelo
percentual de pessoas #ue t8m condução prpria.
Deido + alta fre#u8ncia de grees desse tipo em )alador, a ameaça é alta e, considerando #ue no
setor, metade das pessoas disp%e de condução prpria, a vulnerabilidade será média, logo a
*robab#+#dade (P) de ocorrer o incidente “ausncia de atendentes: é 9alta ! ": "ide =abela !$. )e
a aus8ncia de atendentes, em apenas um dia, pode 95omprometer grande parte dos ob'etios do
processo de negcio:, então o #m*a$!o (I) é 9muito alto I ;: "?. =abela 1$. * o níel de risco será
R I P x I I 7 x ; R = 2G.
R#$o re#d1a+ é o risco remanescente aps o seu tratamento.
Tra!ame%!o do r#$o é o processo de seleção e implementação de medidas ou $o%!ro+e para
modificar um risco. Vá diersas estratégias para tratamento de um risco. 5abe ao estor de /isco
selecionar a estratégia mais ade#uada em função do níel do risco, do tempo máximo para
recuperação da operacionalidade do processo, do alor de reposição do atio, do con0ecimento para
tratar o risco, etc. "?ide =abela < 4 *stratégias para =ratamento dos /iscos$.
Cr#!6r#o de !ra!ame%!o do r#$o Bndependente dos critérios definidos a seguir, a direção da
empresa poderá recomendar o tratamento ou aceitar o risco identificado.
• riscos altos, sempre serão tratados. 3ara o tratamento de riscos de alta seeridade "faixa
ermel0a da =abela 7$, pode-se adotar mais de uma estratégia, inclusie planos de
conting8ncia, #uando não se consegue redu&ir o risco a um níel aceitáel.
• riscos médios sempre serão tratados de forma #ue se'am redu&idos a um níel aceitáel6
• riscos baixos serão aceitos, sem tratamento. Co entanto, estes riscos poderão sofrer algum
tratamento em decorr8ncia do tratamento de outros riscos de maior seeridade. *sses riscos
serão sempre acompan0ados pelo gestor de riscos a cada ciclo de A/.
Tabela # – $strat%&ias para tratamento de riscos
ESTRATÉ7IA DESCRIÇÃO
*liminar /emoer a sua causa.
-
8/16/2019 PD-CQ-006 Gestão de Risco
7/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA:
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
ESTRATÉ7IA DESCRIÇÃO
(itigar ou modificar =omar aç%es para redu&ir a probabilidade de ocorrer ou redu&ir o
impacto do risco.
Acompan0ar econtrolar
bserar e, periodicamente, reaaliar as características do risco,
podendo até alterar sua estratégia de tratamento. Ainda assim, pode-se
ter um plano de conting8ncia, se necessário.
Aceitar
=er consci8ncia do risco, mas não tomar nen0uma ação. Cormalmente
utili&ada para riscos muito baixos e para a#ueles cu'o tratamento é
iniáel.
=ransferir ou
compartil0ar
/ealocar os re#uisitos, ainda atendendo as necessidades do cliente,
para outros re#uisitos de riscos menores.
-
8/16/2019 PD-CQ-006 Gestão de Risco
8/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 9
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
S!a!1 é o controle de estado do risco, e nunca dee estar a&io. s possíeis status para os riscos
são
Tabela ' – (tatus dos riscos
S!a!1 De$r#/"oIde%!#8#$ado /iscos #ue foram identificados e serão monitorados.
Em A%-+#e /iscos #ue estão sendo analisados pelo estor de /iscos
Em Tra!ame%!o /iscos 'á analisados, priori&ados e em processo de tratamento
A$e#!o /iscos de níel igual ou inferior a Re#d1a+ /iscos #ue ocorreram, foram tratados, mas ainda 0á comoocorrerem noamente.
E+#m#%ado /iscos #ue não tem mais como ocorrer.
7. RESPONSABILIDADES7.1. D *)=/ D* /B)5)
estor de /iscos é designado pela Direção da empresa, a #uem responderá diretamente, e tem
como atribuiç%es superisionar os pro'etos de tratamento dos riscos6 reisar permanentemente os
critérios básicos da gestão de riscos6 reali&ar, a #ual#uer tempo, noas análises de riscos6 manter o
anco de Dados de /iscos6 comunicar riscos6 monitorar os níeis de risco da empresa6 e subsidiar
as reuni%es de análise crítica.
7.2. D) *)=/*) D* 3/5*)))
s gestores dos processos inscritos no escopo da gestão de riscos deerão contribuir
significatiamente com a identificação e aaliação dos riscos em sua área de atuação, além de
estarem permanentemente atentos a noas ameaças e ulnerabilidades, inclusie pela adição ou
remoção de atios.
7.!. D 5(B=W D* )*E/ACPA DA BCX/(APY
5omit8 de )egurança da Bnformação exercerá um papel consultio em todas as etapas do
processo de gestão de risco, podendo ser conidado a opinar sobre as decis%es estratégicas.
;. I3PLANTAÇÃO O4 REVISÃO DO PROCESSO DE 7ESTÃO DE RISCOS
s procedimentos descritos neste capítulo serão utili&ados para a implantação de um processo de
gestão de riscos na U5/ Bnformática ou nas sucessias reis%es do processo.
A Direção da empresa
-
8/16/2019 PD-CQ-006 Gestão de Risco
9/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA:
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
;.1. *stabelece o contexto interno e externo para gestão de riscos de segurança da informação
considerando os ob'etios estratégicos da organi&ação6 uma aaliação dos re#uisitos de segurança
da informação6 a política do sistema de gestão da segurança da informação da empresa6 os riscos
potenciais de incidentes de segurança da informação6 os resultados de análises de riscos efetuadas
anteriormente6 a abordagem de análise e aaliação de riscos na organi&ação.;.2. Define o escopo da Análise de /iscos estabelecendo os processos de negcio #ue serão
ob'eto da gestão de riscos.;.!. Designa o estor de /isco, define seu papel, suas responsabilidades e sua inculação
0ierár#uica. estor de /iscos;.7. /eisa os critérios básicos definidos neste documento e elabora o #$-CQ-001-#lano de
%rabal&o da 'estão de (iscos, onde constará• Zustificatia para a implantação do processo ou reisão do processo de gestão de riscos
apoiada no contexto interno e externo da empresa, além do apontamento das restriç%es
organi&acionais e #ue podem afetar o escopo definido.• *stabelecimento ou modificaç%es introdu&idas nos critérios básicos do processo 4 critérios
de aaliação dos riscos, critérios de impacto, critérios de aceitação dos riscos, estratégias de
tratamento e critérios de monitoramento dos riscos.• Definição do escopo da gestão de riscos 4 processos #ue serão ob'eto de análise, tratamento
e monitoramento dos riscos.•
3roposta de organi&ação para gestão dos riscos na empresa, incluindo atribuiç%es dosenolidos.
;.;. *labora ou atuali&a a )A*+,*--1*)eclaração de Aplicabilidade baseada no Anexo A da
norma AC= B) B*5 2>GG12GG;, contendo os ob'etios de controle e controles no escopo
definido, os controles existentes "'á implementados$ e as exclus%es de controles com as respectias
'ustificatias.;.. )ubmete + aproação da Direção da empresa.;.@. *dita o #$-CQ-001-#lano de %rabal&o da 'estão de (iscos com as orientaç%es para
implantação ou reisão da análise de riscos e recomendaç%es consideradas.;.O. 5omunica +s partes interessadas.
-
8/16/2019 PD-CQ-006 Gestão de Risco
10/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 10
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
-
8/16/2019 PD-CQ-006 Gestão de Risco
11/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 11
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
seguida, l0es dá um alor, conforme os critérios predefinidos "?ide probabilidade no
capítulo ! deste documento e tabela ;$.• estor do 3rocesso poderá considerar noas ameaças e ulnerabilidades e lançá-los
nas =abelas respectias, mas sempre de forma destacada para #ue o estor de /iscos
possa identificar mais adiante.. 3ara cada par ameaça-ulnerabilidade, preenc0e o campo 9cenário de incidente: com o
eento resultante. A probabilidade é calculada automaticamente pela planil0a eletr]nica, de
acordo com a =abela ;.• Alguns incidentes poderão ser lançados nessa planil0a sem #ue ten0am sido
identificadas as respectias ameaça e ulnerabilidade "ide tabelas 1 e 2$, mas neste
caso, o estor de 3rocesso deerá atribuir uma nota + probabilidade de ocorrer a#uele
incidente, conforme predefinido "?ide 5apítulo ! 4 3robabilidade$.
-
8/16/2019 PD-CQ-006 Gestão de Risco
12/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 12
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
. 3ara os eentos com níel de risco L 1;, cu'o tratamento não este'a em curso no 3lano de
Ação para =ratamento de /iscos ")tatus 9 m %ratamento:$, define os controles a serem
implementados no campo prprio, atraés dos c*di+os do obetivo de controle e controle
correspondentes.
.1. 3ara situaç%es onde os atios se'am descontinuados, estor de /iscos deerá
alterar os alores de ameaça e ulnerabilidade para G "&ero$, os campos
9(*5ACB)() E 5C=/R*) *QB)=*C=*) 3A/A *?B=A/ /B)5:,
9D*)5/BPY D =/A=A(*C= D /B)5:, 93/AU *)=B(AD: e 95E)=
*)=B(AD: para 9CA:, e informar se o atio foi descontinuado permanentemente ou
temporariamente no campo 9Z*=B?) D* 5C=/R*) A )*/*(
B(3R*(*C=AD):, além disso, alterar o status e a estratégia dos riscos para
9*liminado:. *sses riscos deem ser mantidos para #uest%es de 0istrico, e possíelreatiação do atio posteriormente.
-
8/16/2019 PD-CQ-006 Gestão de Risco
13/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 13
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
-
8/16/2019 PD-CQ-006 Gestão de Risco
14/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 14
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
-
8/16/2019 PD-CQ-006 Gestão de Risco
15/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 18
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
• )ubmete + aproação da alta direção e fa& as correç%es recomendadas no 3lano de Ação
para =ratamento dos /iscos.GG12GG; 4 5digo de 3rática para a estão da )egurança da Bnformação
AC= C/ B) B*5 2>GG; 4 estão de /iscos de )egurança da Bnformação
X-5\-G17 /elatrio de =ratamento de /iscos
X-5\-G1; /elatrio de Aceitação de /iscos
X-5\-G1O *olução dos Bncidentes de )egurança
O. FL4?O7RA3A
-
8/16/2019 PD-CQ-006 Gestão de Risco
16/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 16
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
-
8/16/2019 PD-CQ-006 Gestão de Risco
17/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 1
Av. Luiz Viana Fi!"# $/n# %& 10# Pa'(u) T)*n"+,i*" a a!ia E. T)*n"*)n'"# $aa$ 201 ) 202. Pa'a)a#ava"'# A.CEP 4130-101. .z*'.*"&.5' *"&uni*a*a"7z*'.*"&.5'
1G. CONTROLE DE REVISÃO
Re.#"o Da!a #!2r#$o da re.#e I!em Re.#ado *orG1 27FG7F2G11 Bnserção da noa tabela de controle de registros. Alteração
do la`out, cdigo do documento e do #uadro de reis%esconforme documento 3D-5\-GG16 alteração do #uadro deregistros conforme documento 3D-5\-GG2.
; e @ \ualidade
G2 2!FG;F2G12 b'etio foi reescrito, foram incluídos noos termos noglossário e as etapas foram reistas para dar maior clare&a6foi criado um noo formulário para leantamento das
probabilidades de ocorrer os incidentes e impactosgerados.
1, !, ;, , @
\ualidade
G! 2 2!FG;F2G1! /eisão e a'ustes nas definiç%es para compatibili&ar com anoa estrutura do Ba%$o de Dado de R#$o (BDR) eincorporação da Declaração de Aplicabilidade no mesmo.
1, ! e > \ualidade
G@ 2>FG;F2G1! 5orreção nas colunas da 35A/ e alteração na tabela deulnerabilidades "definição de (uito alta$.
! \ualidade
GO G!FG
-
8/16/2019 PD-CQ-006 Gestão de Risco
18/18
GESTÃO DE RISCO
ELABORADO POR: (QUALIDADEAPROVADO POR: DIRETORIA
OD.: PD-
REVISÃO: 11 DATA:
.O.: INTERNO PÁGINA: 19
)tatus de riscos$, a.a+#a/"o de r#$o e !ra!ame%!o der#$o.
e