[nome da
[nome da organizaçãorganização]o]
PLANO DO PROJETO
PLANO DO PROJETO
para implementação do Sistema de gestão da
para implementação do Sistema de gestão da
segurança da informação
segurança da informação
Código: Código: Versão: Versão: Data da versão: Data da versão: Criado por: Criado por: Aprovado por: Aprovado por: Nível de Nível de confdencialidade: confdencialidade:Histório de alteraç!es
Data "ersã
o
#riado por Desrição da alteração
!","!,!" #
!)" De-an .os%tic
$s/oço /0sico do doc%mento
Sum$rio
%& '(NAL(DADE) ES#OPO E *S*+R(OS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&, -& DO#*.ENTOS DE RE'ER/N#(A&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&, 0& PROJETO DE (.PLE.ENTA12O DO S3S(&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&,
#)") 123$45V1 D1 &613$41))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))7 #)) 6$'8(4AD1' D1 &613$41))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))7 #)#) &6A91'))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) #)7) 16;AN59A<=1 D1 &613$41)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))> 3.4.1. Patrocinador do projeto...6 3.4.2. Gerente do projeto...6 3.4.3. Equipe do projeto...6 #)) &65NC5&A5' 65'C1' D1 &613$41))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))+
#)>) ?$66A@$N4A' &A6A A 5@&($@$N4A<=1 D1 &613$41 $ ;$6A<=1 D$ 6$(A4651'))))))))))))))))))))+ ,& 3EST2O DE RE3(STROS .ANT(DOS DE A#ORDO #O. ESTE DO#*.ENTO&& && &4 5& "AL(DADE E 3EST2O DE DO#*.ENTOS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&6
%& 'inalidade) esopo e usu$rios
A fnalidade do &lano do pro-eto B defnir claramente o o/-etivo do pro-eto de implementação do 'istema de gestão da seg%rança da inormação ';'5EF dos doc%mentos a serem ela/orados e dos papBis e das responsa/ilidades no pro-eto) 1 &lano do pro-eto B aplicado a todas as atividades realizadas no pro-eto de
implementação do ';'5)
1s %s%0rios deste doc%mentos são mem/ros da [alta administração] e da eG%ipe do pro-eto)
-& Doumentos de refer7nia
• Norma 5'1,5$C +!!" • Norma 5'1 #!" • Norma 2' HHHI
• [decisão o% G%alG%er doc%mento similar G%e descreva o lançamento do pro-eto]
• [metodologia de gestão de pro-eto]
0& Pro8eto de implementação do S3S(
0&%& O98eti:o do pro8eto
5mplementar o 'istema de gestão da seg%rança da inormação de acordo com a norma 5'1 +!!" atB [data])
0&-& Resultados do pro8eto
D%rante o pro-eto de implementação do ';'5F os seg%intes doc%mentos alg%ns deles contJm aneKos G%e não são mencionados aG%iE serão ela/orados:
• Proedimento de doumentação e ontrole de registros I
procedimento G%e descreve as regrasL/0sicas de ela/oraçãoF aprovaçãoF distri/%ição e at%alização de doc%mentos e registros
• Proedimento para identi;ação de re<uisitos M procedimento para identifcação de o/rigaçes estat%t0riasF reg%lamentaresF contrat%ais e o%tras
• Esopo do Sistema de gestão da segurança da informação I %m
doc%mento G%e defne precisamente os ativosF os locaisF a tecnologiaF etc)F G%e azem parte do escopo
• Pol=tia da segurança da informação I este B %m doc%mento
importante %sado pela gestão para controlar a gestão da seg%rança da inormação
&lano do pro-eto para implementação do ';'5 [';CN]
• .etodologia de a:aliação e tratamento de risos I descreve a metodologia de gestão de riscos O inormação
• Ta9ela de a:aliação de risos I a ta/ela B o res%ltado da avaliação dos valoresF das ameaças e das v%lnera/ilidades dos ativos
• Ta9ela de tratamento de risos %m ta/ela em G%e os controles de seg%rança adeG%ados são selecionados para cada risco inaceit0vel • Relatório de a:aliação de risose de tratamento do riso I %m
doc%mento no G%al constam todos os doc%mentos importantes ela/orados no processo de avaliação e tratamento de riscos
• Delaração de aplia9ilidade I %m doc%mento G%e determina os
o/-etivos e a aplica/ilidade de cada controle de acordo com o AneKo A da norma 5'1 +!!"
• Proedimento para auditoria interna I defne como B eita a seleção de a%ditoresF como os programas de a%ditoria são ela/oradosF como as a%ditorias são realizadas e como os res%ltados das a%ditorias são
inormados
• Proedimento para aç!es orreti:as I descreve o processo de implementação de açes corretivas e preventivas
• 'ormul$rio para as .inutas de re:isão da gestão I %m orm%l0rio %sado para criar min%tas da re%nião de an0lise da adeG%ação do ';'5 • Plano de tratamento de risos I %m doc%mento de implementação G%e
especifca os controles a serem implementadosF o respons0vel pela implementaçãoF os prazos e os rec%rsos
1%tros doc%mentos G%e devem ser ela/orados d%rante a implementação da ';'5 são especifcados no &lano de tratamento de riscos)
D%rante o pro-eto de implementação da gestão de contin%idade dos negóciosF os seg%intes doc%mentos alg%ns deles contJm aneKos G%e não são mencionados aG%iE serão ela/orados:
• Pol=tia de gestão de ontinuidade de negóios I esta/elece %ma estr%t%ra /0sica para a ';CN e determina o escopo e as responsa/ilidades
• >uestion$rios de An$lise de impato nos negóios ?@(As I an0lise de impactos G%alitativos e G%antitativos so/re os negóciosF de rec%rsos necess0riosF etc)
• EstratBgia de ontinuidade de negóios I defne as atividades críticasF as interdependJnciasF os o/-etivos do tempo de rec%peraçãoF a estratBgia de gerenciamento e garantida da contin%idade de negóciosF a estratBgia de rec%peração de rec%rsos e a estratBgia para atividades críticas individ%ais
• Plano de ontinuidade de negóios I %ma descrição detalPada de como responder a desastres o% o%tras interr%pçes nos negócios e de como rec%perarIse de todas as atividades críticas
• Plano de treinamento e onsientiCação I %ma visão geral detalPada so/re como os %ncion0rios serão conscientizados para realizar as tareas plane-adas e como eles são treinados so/re a importQncia da contin%idade de negócios
• Plano de eer=ios e testes de ontinuidade de negóios I descreve como os planos serão eKercitados e testados com o o/-etivo de identifcar as açes corretivas necess0rias e aprimorar o plano
• Plano de re:isão e manutenção do S3#N I %ma visão geral detalPada so/re como os planos e o%tros doc%mentos do ';CN devem ser mantidos para garantir se% %ncionamento em caso de interr%pção nos negócios
• 'ormul$rio de re:isão de pósinidentes I %m orm%l0rio %sado para analisar a efc0cia dos planos após %m incidente
0&0&
PraCos
1s prazos para a aceitação de doc%mentos individ%ais d%rante a implementação do ';'5 são:
Documento Prazos para aceitação
do documento
1s prazos para a aceitação de doc%mentos individ%ais d%rante a implementação do ';CN são:
Documento Prazos para aceitação
do documento
A apresentação fnal dos res%ltados do pro-eto est0 plane-ada para [data])
0&,& OrganiCação do pro8eto
3.4.1.Patrocinador do projeto
Cada pro-eto poss%i %m RpatrocinadorR G%e não participa ativamente do pro-eto) 1 patrocinador deve rece/er periodicamente inormaçes do gerente do pro-eto so/re o stat%s do pro-eto e intererir se o pro-eto or paralisado)
[nomeF cargo] oi nomeado como patrocinado do pro-eto)
3.4.2. Gerente do projeto
1 papel do gerente B garantir os rec%rsos necess0rios para a implementação do pro-etoF coordenar o pro-etoF inormar o patrocinador so/re o progresso e realizar
&lano do pro-eto para implementação do ';'5 [';CN]
as tareas administrativas relacionadas ao pro-eto) 1 gerente do pro-eto deve ter a%toridade s%fciente para garantir a implementação ininterr%pta do pro-eto de acordo com os prazos esta/elecidos)
[nomeF cargo] oi nomeado como gerente do pro-eto)
3.4.3. Equipe do projeto
1 papel da eG%ipe do pro-eto B a%Kiliar nos diversos aspectos da implementação do pro-etoF realizar tareas conorme especifcado no pro-eto e tomar decises so/re as diversas G%estes G%e reG%erem %ma a/ordagem m%ltidisciplinar) A eG%ipe do pro-eto reSneIse antes de a versão fnal de %m doc%mento da seção do &lano do pro-eto ser concl%ída e sempre G%e o gerente do pro-eto considerar necess0rio)
Tabela de participantes do projeto
Nome Unidade
organiacional
!argo Tele"one E#mail
0&5& Prinipais risos do pro8eto
1s principais riscos na implementação do pro-eto são: ") $Ktensão de prazos na ase de avaliação de riscos
) $Ktensão de prazos d%rante o desenvolvimento dos planos de contin%idade de negócios
#) Atividades G%e gerem c%stos desnecess0rios e perda de tempo 7) 'eleção de m%itos controles e,o% controles c%stosos
As medidas para red%zir os riscos mencionados acima são:
• 1 gerente do pro-eto monitora se todas as atividades do pro-eto são realizadas nos prazos defnidos e /%sca a intervenção do patrocinador G%ando necess0rio
• A contratação de %m cons%ltor para garantir G%e tempo o% rec%rsos não se-am desperdiçados em atividades G%e não são importantes para o
pro-eto e G%e as atividades individ%ais não se desviem da direção correta • A contratação de %m cons%ltor para sa/er G%ais são os controles com
melPor c%stoI/eneício
0&F& 'erramentas para a implementação do pro8eto e geração de
relatórios
8ma pasta compartilPada G%e contenPa todos os doc%mentos ela/orados d%rante o pro-eto ser0 criada na rede local) 4odos os mem/ros da eG%ipe do
pro-eto terão acesso a esses doc%mentos) 'omente o gerente do pro-eto [e os mem/ros da eG%ipe do pro-eto]tJm a%torização para alterar e eKcl%ir arG%ivos) 1 gerente do pro-eto ela/orar0 %m relatório de implementação do pro-eto
mensalmente e o encaminPar0 ao patrocinador do pro-eto)
,& 3estão de registros mantidos de aordo om este
doumento
Nome do registro (ocal de
armazenamen to 6espons0vel pelo armazenamen to
Controle para proteção do registro 4empo de retenção 6elatório de implementação do pro-eto em ormato eletrTnicoE &asta compartilPad a para atividades relacionadas ao pro-eto ;erente do pro-eto 'omente o gerente do pro-eto tem a%torização para editar dados 1 relatório B armazena do por trJs anos
5& "alidade e gestão de doumentos
$ste doc%mento B v0lido a partir de [data]1 propriet0rio do doc%mento B o [cargo])
Ao avaliar a efc0cia e a adeG%ação deste doc%mentoF os seg%intes critBrios devem ser considerados:
• se todos os %ncion0rios envolvidos no pro-eto realizam s%as atividades de acordo com este doc%mento
• se todos os prazos do pro-eto são c%mpridos [cargo]
[nome]
UUUUUUUUUUUUUUUUUUUUUUUUU [assinat%ra]
&lano do pro-eto para implementação do ';'5 [';CN]