Políticas do Processo
Declaração | Razão |
---|---|
A equipe de TI deverá seguir as políticas, o processo e os procedimentos definidos para o Gerenciamento de Incidentes. Portanto, desvios ao processo não serão aceitos e alterações devem ser conduzidas pelo Gestor do Processo e aprovadas pelo Proprietário do Processo. | Garantir a consistência do processo e alta qualidade dos serviços entregues pela TI. |
Declaração | Razão |
---|---|
Existirá apenas um processo de Gerenciamento de Configuração e Ativos para serviços de TIC para toda a organização. | Garantir unicidade, eficiência e eficácia das atividades de gerenciamento de configuração e ativos de TIC. |
Declaração | Razão |
---|---|
O escopo definido para o processo de Gerenciamento de Configuração e Ativos de TIC é o conjunto de todos os ICs importantes para o negócio, conforme NBR ISO/IEC 27002, item 7.1.1, reproduzido a seguir: “7.1.1 Inventário dos ativos Controle: Convém que todos os ativos sejam claramente identificados e um inventário de todos os ativos importantes seja estruturado e mantido. Diretrizes para implementação: Convém que a organização identifique todos os ativos e documente a importância destes ativos. [...]” (NBR ISO/IEC 27002, item 7.1.1) Entendem-se como importantes os ativos que dão suporte às atividades e processos de negócio elencados na Cadeia de Valor da instituição e que tenham registro na ferramenta de Gestão de Material e Patrimônio. |
Garantir que todos os itens relevantes para a prestação de serviços de TIC estejam sendo efetivamente controlados pelo processo. |
Declaração | Razão |
---|---|
Todos os Itens de Configuração (ICs) que fazem parte do escopo do processo devem ser registrados no BDGC, conforme requisitos de informações mínimas necessárias. |
Garantir que todos os ICs sejam registrados. Necessário para controle da integridade de histórico dos ICs. |
Declaração | Razão |
---|---|
As informações mínimas que devem ser registradas para os ativos estão definidas na NBR ISO/IEC 27002, no trecho reproduzido a seguir: “7.1.1 Inventário dos ativos [...] Diretrizes para implementação: Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localização, informações sobre cópias de segurança, informações sobre licenças e a importância do ativo para o negócio. [...]” (NBR ISO/IEC 27002, item 7.1.1) Assim, constituem informações mínimas:
|
Garantir que todos os ICs possuam registro das informações que permitam sua correta identificação, determinação de seu responsável, controle de seus inter-relacionamentos no ambiente da organização e, quando necessário, a recuperação em caso de desastre. |
Declaração | Razão |
---|---|
Um IC pode apenas ser modificado e inserido no BDGC via mudanças registradas e devidamente autorizadas. |
|
Declaração | Razão |
---|---|
O BDCG representa a situação atual dos ambientes controlados conforme escopo do processo definido pela organização. As pessoas envolvidas com as atividades relacionadas ao Gerenciamento de Configuração e Ativos de TIC são responsáveis por garantir a confiabilidade do BDGC. |
Garantir que o BDGC esteja atualizado e seja confiável para realização de consultas, avaliação de impactos e atendimento às auditorias, a qualquer momento. |
Declaração | Razão |
---|---|
Os registros dos ICs podem ser descontinuados, mas nunca excluídos do BDGC. |
Garantir que dados requisitados por auditores estejam disponíveis. Necessário para controle da integridade de histórico dos ICs. |
Declaração | Razão |
---|---|
Um IC deve estar em um dos seguintes estados:
Outros estados poderão vir a ser acrescentados, conforme a necessidade operacional do gerenciamento de ativos. |
Padronizar os estados possíveis e uniformizar o entendimento sobre o estado atual de um ativo. |
Declaração | Razão |
---|---|
A nomenclatura dos ICs no BDGC deve seguir o padrão definido pela instituição. |
Garantir que a nomenclatura dos itens esteja de acordo com as regras da instituição a fim de facilitar as pesquisas e manutenções de ICs e evitar vulnerabilidades de segurança, dúvidas, incidentes etc. |