Iso 27001 Plano Do Projeto

[logotipo da organização] organização] [nome da organização] organização]

PLANO DO PROJETO para implementação do Sistema de gestão da segurança da informação Código: Versão: Data da versão: Criado por: Aprovado por: Nível de confdencialidade:

©!"# $ste modelo pode ser %sado por clientes da $&&' 'ervices (td) ***)iso+!!"standard)com ***)iso+!!"standard)com de acordo com o Contrato de licença)

 [nome da organização]

[nível de confdencialidade]

Histório de alteraç!es Data

"ersã o

!","!,!" !)" #

#riado por

Desrição da alteração

De-an .os%tic

$s/oço /0sico do doc%mento

Sum$rio %& '(NAL(DADE) ES#OPO E *S*+R(OS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&, -& DO#*.ENTOS DE RE'ER/N#(A&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&, 0& PROJETO DE (.PLE.ENTA12O DO S3S(&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&,

#)") #)) #)#) #)7)

123$45V1 D1 &613$41))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))7 6$'8(4AD1' D1 &613$41))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))7 &6A91'))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))) 16;AN59A<=1 D1 &613$41)))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))>

3.4.1. Patrocinador do projeto.................................................................................6 3.4.2. Gerente do projeto.........................................................................................6 3.4.3. Equipe do projeto..........................................................................................6 #)) &65NC5&A5' 65'C1' D1 &613$41))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))+ #)>) ?$66A@$N4A' &A6A A 5@&($@$N4A<=1 D1 &613$41 $ ;$6A<=1 D$ 6$(A4651' ))))))))))))))))))))+

,& 3EST2O DE RE3(STROS .ANT(DOS DE A#ORDO #O. ESTE DO#*.ENTO&& && &4 5& "AL(DADE E 3EST2O DE DO#*.ENTOS&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&6

&lano do pro-eto para implementação do ';'5 [';CN]

ver [versão] de [data]

&0gina - de 4

©!"# $ste modelo pode ser %sado por clientes da $&&' 'ervices (td) ***)iso+!!"standard)com de acordo com o Contrato de licença)

 [nome da organização]

[nível de confdencialidade]

%& 'inalidade) esopo e usu$rios A fnalidade do &lano do pro-eto B defnir claramente o o/-etivo do pro-eto de implementação do 'istema de gestão da seg%rança da inormação ';'5EF dos doc%mentos a serem ela/orados e dos papBis e das responsa/ilidades no pro-eto) 1 &lano do pro-eto B aplicado a todas as atividades realizadas no pro-eto de implementação do ';'5) 1s %s%0rios deste doc%mentos são mem/ros da [alta administração] e da eG%ipe do pro-eto)

-& Doumentos de refer7nia • • • •

•

Norma 5'1,5$C +!!" Norma 5'1 #!" Norma 2' HHHI [decisão o% G%alG%er doc%mento similar G%e descreva o lançamento do pro-eto] [metodologia de gestão de pro-eto]

0& Pro8eto de implementação do S3S( 0&%& O98eti:o do pro8eto 5mplementar o 'istema de gestão da seg%rança da inormação de acordo com a norma 5'1 +!!" atB [data])

0&-& Resultados do pro8eto D%rante o pro-eto de implementação do ';'5F os seg%intes doc%mentos alg%ns deles contJm aneKos G%e não são mencionados aG%iE serão ela/orados: Proedimento de doumentação e ontrole de registros  I procedimento G%e descreve as regrasL/0sicas de ela/oraçãoF aprovaçãoF distri/%ição e at%alização de doc%mentos e registros Proedimento para identi;ação de re
•

•

•

&lano do pro-eto para implementação do ';'5 [';CN]

ver [versão] de [data]

&0gina 0 de 4

©!"# $ste modelo pode ser %sado por clientes da $&&' 'ervices (td) ***)iso+!!"standard)com de acordo com o Contrato de licença)

 [nome da organização]

•

•

•

•

•

•

•

•

•

[nível de confdencialidade]

.etodologia de a:aliação e tratamento de risos I descreve a metodologia de gestão de riscos O inormação Ta9ela de a:aliação de risos I a ta/ela B o res%ltado da avaliação dos valoresF das ameaças e das v%lnera/ilidades dos ativos Ta9ela de tratamento de risos %m ta/ela em G%e os controles de seg%rança adeG%ados são selecionados para cada risco inaceit0vel Relatório de a:aliação de risose de tratamento do riso I %m doc%mento no G%al constam todos os doc%mentos importantes ela/orados no processo de avaliação e tratamento de riscos Delaração de aplia9ilidade I %m doc%mento G%e determina os o/-etivos e a aplica/ilidade de cada controle de acordo com o AneKo A da norma 5'1 +!!" Proedimento para auditoria interna  I defne como B eita a seleção de a%ditoresF como os programas de a%ditoria são ela/oradosF como as a%ditorias são realizadas e como os res%ltados das a%ditorias são inormados Proedimento para aç!es orreti:as I descreve o processo de implementação de açes corretivas e preventivas 'ormul$rio para as .inutas de re:isão da gestão  I %m orm%l0rio %sado para criar min%tas da re%nião de an0lise da adeG%ação do ';'5 Plano de tratamento de risos  I %m doc%mento de implementação G%e especifca os controles a serem implementadosF o respons0vel pela implementaçãoF os prazos e os rec%rsos

1%tros doc%mentos G%e devem ser ela/orados d%rante a implementação da ';'5 são especifcados no &lano de tratamento de riscos) D%rante o pro-eto de implementação da gestão de contin%idade dos negóciosF os seg%intes doc%mentos alg%ns deles contJm aneKos G%e não são mencionados aG%iE serão ela/orados: Pol=tia de gestão de ontinuidade de negóios  I esta/elece %ma estr%t%ra /0sica para a ';CN e determina o escopo e as responsa/ilidades >uestion$rios de An$lise de impato nos negóios ?@(As I an0lise de impactos G%alitativos e G%antitativos so/re os negóciosF de rec%rsos necess0riosF etc) EstratBgia de ontinuidade de negóios I defne as atividades críticasF as interdependJnciasF os o/-etivos do tempo de rec%peraçãoF a estratBgia de gerenciamento e garantida da contin%idade de negóciosF a estratBgia de rec%peração de rec%rsos e a estratBgia para atividades críticas individ%ais Plano de ontinuidade de negóios  I %ma descrição detalPada de como responder a desastres o% o%tras interr%pçes nos negócios e de como rec%perarIse de todas as atividades críticas Plano de treinamento e onsientiCação I %ma visão geral detalPada so/re como os %ncion0rios serão conscientizados para realizar as tareas plane-adas e como eles são treinados so/re a importQncia da contin%idade de negócios •

•

•

•

•

&lano do pro-eto para implementação do ';'5 [';CN]

ver [versão] de [data]

&0gina , de 4

©!"# $ste modelo pode ser %sado por clientes da $&&' 'ervices (td) ***)iso+!!"standard)com de acordo com o Contrato de licença)

 [nome da organização]

•

•

•

0&0&

[nível de confdencialidade]

Plano de eer=ios e testes de ontinuidade de negóios I descreve como os planos serão eKercitados e testados com o o/-etivo de identifcar as açes corretivas necess0rias e aprimorar o plano Plano de re:isão e manutenção do S3#N I %ma visão geral detalPada so/re como os planos e o%tros doc%mentos do ';CN devem ser mantidos para garantir se% %ncionamento em caso de interr%pção nos negócios 'ormul$rio de re:isão de pósinidentes   I %m orm%l0rio %sado para analisar a efc0cia dos planos após %m incidente

PraCos

1s prazos para a aceitação de doc%mentos individ%ais d%rante a implementação do ';'5 são: Documento

Prazos para aceitação do documento

1s prazos para a aceitação de doc%mentos individ%ais d%rante a implementação do ';CN são: Documento

Prazos para aceitação do documento

A apresentação fnal dos res%ltados do pro-eto est0 plane-ada para [data])

0&,& OrganiCação do pro8eto 3.4.1.Patrocinador do projeto

Cada pro-eto poss%i %m RpatrocinadorR G%e não participa ativamente do pro-eto) 1 patrocinador deve rece/er periodicamente inormaçes do gerente do pro-eto so/re o stat%s do pro-eto e intererir se o pro-eto or paralisado) [nomeF cargo] oi nomeado como patrocinado do pro-eto) 3.4.2. Gerente do projeto

1 papel do gerente B garantir os rec%rsos necess0rios para a implementação do pro-etoF coordenar o pro-etoF inormar o patrocinador so/re o progresso e realizar &lano do pro-eto para implementação do ';'5 [';CN]

ver [versão] de [data]

&0gina 5 de 4

©!"# $ste modelo pode ser %sado por clientes da $&&' 'ervices (td) ***)iso+!!"standard)com de acordo com o Contrato de licença)

 [nome da organização]

[nível de confdencialidade]

as tareas administrativas relacionadas ao pro-eto) 1 gerente do pro-eto deve ter a%toridade s%fciente para garantir a implementação ininterr%pta do pro-eto de acordo com os prazos esta/elecidos) [nomeF cargo] oi nomeado como gerente do pro-eto) 3.4.3. Equipe do projeto

1 papel da eG%ipe do pro-eto B a%Kiliar nos diversos aspectos da implementação do pro-etoF realizar tareas conorme especifcado no pro-eto e tomar decises so/re as diversas G%estes G%e reG%erem %ma a/ordagem m%ltidisciplinar) A eG%ipe do pro-eto reSneIse antes de a versão fnal de %m doc%mento da seção  do &lano do pro-eto ser concl%ída e sempre G%e o gerente do pro-eto considerar necess0rio) Tabela de participantes do projeto Nome Unidade !argo organiacional

Tele"one

E#mail

0&5& Prinipais risos do pro8eto 1s principais riscos na implementação do pro-eto são: ") $Ktensão de prazos na ase de avaliação de riscos ) $Ktensão de prazos d%rante o desenvolvimento dos planos de contin%idade de negócios #) Atividades G%e gerem c%stos desnecess0rios e perda de tempo 7) 'eleção de m%itos controles e,o% controles c%stosos As medidas para red%zir os riscos mencionados acima são: 1 gerente do pro-eto monitora se todas as atividades do pro-eto são realizadas nos prazos defnidos e /%sca a intervenção do patrocinador G%ando necess0rio A contratação de %m cons%ltor para garantir G%e tempo o% rec%rsos não se-am desperdiçados em atividades G%e não são importantes para o pro-eto e G%e as atividades individ%ais não se desviem da direção correta A contratação de %m cons%ltor para sa/er G%ais são os controles com melPor c%stoI/eneício •

•

•

0&F& 'erramentas para a implementação do pro8eto e geração de relatórios 8ma pasta compartilPada G%e contenPa todos os doc%mentos ela/orados d%rante o pro-eto ser0 criada na rede local) 4odos os mem/ros da eG%ipe do &lano do pro-eto para implementação do ';'5 [';CN]

ver [versão] de [data]

&0gina F de 4

©!"# $ste modelo pode ser %sado por clientes da $&&' 'ervices (td) ***)iso+!!"standard)com de acordo com o Contrato de licença)

 [nome da organização]

[nível de confdencialidade]

pro-eto terão acesso a esses doc%mentos) 'omente o gerente do pro-eto [e os mem/ros da eG%ipe do pro-eto]tJm a%torização para alterar e eKcl%ir arG%ivos) 1 gerente do pro-eto ela/orar0 %m relatório de implementação do pro-eto mensalmente e o encaminPar0 ao patrocinador do pro-eto)

,& 3estão de registros mantidos de aordo om este doumento Nome do registro

(ocal de 6espons0vel armazenamen pelo to armazenamen to

Controle para proteção  4empo de do registro retenção

6elatório de implementação do pro-eto em ormato eletrTnicoE

&asta ;erente do compartilPad pro-eto a para atividades relacionadas ao pro-eto

'omente o gerente do pro-eto tem a%torização para editar dados

1 relatório B armazena do por trJs anos

5& "alidade e gestão de doumentos $ste doc%mento B v0lido a partir de [data] 1 propriet0rio do doc%mento B o [cargo]) Ao avaliar a efc0cia e a adeG%ação deste doc%mentoF os seg%intes critBrios devem ser considerados: •

•

se todos os %ncion0rios envolvidos no pro-eto realizam s%as atividades de acordo com este doc%mento se todos os prazos do pro-eto são c%mpridos

[cargo] [nome]  UUUUUUUUUUUUUUUUUUUUUUUUU  [assinat%ra]

&lano do pro-eto para implementação do ';'5 [';CN]

ver [versão] de [data]

&0gina 4 de 4

©!"# $ste modelo pode ser %sado por clientes da $&&' 'ervices (td) ***)iso+!!"standard)com de acordo com o Contrato de licença)