Plano de Resposta a Incidentes de Segurança da Informação e Privacidade (V2).pdf

1
PLANO DE RESPOSTA A INCIDENTES
de Segurança da Informação e Privacidade
Pág.
01
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
https://portal.sgpe.sea.sc.gov.br/portal-externo
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
4

2
Data Versão Descrição Autor
24/05/2022 v1 Plano de Resposta a Incidentes FCC Rinaldo Albieri
22/03/2023 V2 Plano de Resposta a Incidentes Rinaldo Albieri
INFORMAÇÕES
Fundação Catarinense de Cultura
(48) 3664-2555
Endereço: Av. Gov. Irineu
Bornhausen, 5600 - Agronômica -
Florianópolis/SC - CEP 88025-200
PRESIDENTE FUNDAÇÃO CATARINENSE DE CULTURA
Rafael Nogueira Alves Tavares da Silva
(48) 3664-2559
presidente@fcc.sc.gov.br
ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
Rinaldo Albieri
(48) 3664-2685
Pág.
02
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
5

3
Estado de Santa Catarina
ÍNDICE
APRESENTAÇÃO....................................................................................................................... 4
1 - ORGANOGRAMA.................................................................................................................. 5
2 – COMPETÊNCIAS INSTITUCIONAIS .................................................................................... 6
3 – INTRODUÇÃO....................................................................................................................... 7
4 – OBJETIVO............................................................................................................................. 7
5 – ABRANGÊNCIA E PRAZO DE VIGÊNCIA........................................................................... 8
6 – TERMOS E DEFINIÇÕES ..................................................................................................... 8
7 – DESCRIÇÃO DOS PROCESSOS....................................................................................... 10
8 – FLUXO DOS PROCESSOS ................................................................................................ 13
9 – SUGESTÃO DE INDICADOR DE DESEMPENHO ............................................................. 14
10 – APROVAÇÃO .....................................................................................................................15
Pág.
03
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
6

4
Dados Gerais (Anexo V, Item I)
IDENTIFICAÇÃO Fundação Catarinense de Cultura
CNPJ
83.722.462/0001-40
Endereço Av. Gov. Irineu Bornhausen, 5600 - Agronômica - Florianópolis/SC - CEP 88025-200
Telefone (48) 3664-2555
Site www.cultura.sc.gov.b
Ato de Criação
Decreto Estadual nº 7439 de 24 de abril de 1979
Reconhecimento Lei Complementar nº 741, DE 12 DE JUNHO DE 2019
Estatuto Decreto Estadual Nº 7440 de 24 de abril de 1979
Regimento Geral / Interno
APRESENTAÇÃO
Fundação Catarinense de Cultura - FCC
A Fundação Catarinense de Cultura (FCC), pessoa jurídica de direito público, foi criada oficialmente em 24 de abril de 1979 pelo Decreto
Estadual nº 7439. Tem como missão valorizar a cultura por meio de ações que estimulem, promovam e preservem a memória e a produção
artística catarinense. É a instituição estadual responsável pelas políticas públicas na área de cultura.
Seu compromisso é ser uma instituição reconhecida pela excelência na valorização da memória e estímulo à produção e difusão cultural,
com autonomia para realizar suas ações de modo a democratizar o acesso à cultura no Estado de Santa Catarina. Para tanto, seu objetivo é
executar políticas de apoio à cultura; formular, coordenar e executar programas de incentivo às manifestações artístico-culturais; estimular a
pesquisa da arte e da cultura; apoiar instituições culturais públicas e privadas; incentivar a produção e a divulgação de eventos culturais e
integrar a comunidade às atividades culturais. É responsável pelo Sistema Estadual de Cultura, Lei 17.449/2018, em processo de alteração.
Objetivamente são duas áreas de atuações finalísticas: a Preservação de Bens Culturais e a Difusão de Arte e Cultura.
A Diretoria de Preservação de Bens Culturais trabalha com ações efetivas na área museal, tombamentos de edificações e objetos com valor
histórico-cultural, restauração, conservação de bens culturais, além do registro e valorização de bens culturais de natureza imaterial. Já a
Diretoria de Difusão de Arte e Cultura trabalha por meio de oficinas, publicações especializadas e eventos artísticos de teatro, dança,
música, pintura, fotografia, entre outros.
Tem sob sua responsabilidade o Teatro Álvaro de Carvalho (TAC), o Teatro Pedro Ivo, o complexo cultural do Centro Integrado de Cultura
(CIC) - que compreende o Teatro Ademir Rosa, o Museu de Arte de Santa Catarina (MASC), o Museu de Imagem e Som (MIS/SC), as
Oficinas de Arte, a Escolinha de Artes, o Espaço Cultural Lindolf Bell e a Biblioteca de Arte & Cultura.
Administra também a Galeria do Artesanato da Casa da Alfândega, a Biblioteca Pública de Santa Catarina, o Museu Histórico de Santa
Catarina, o Museu Etnográfico Casa dos Açores (Biguaçu), a Casa de Campo Governador Hercílio Luz (Rancho Queimado) e o Museu
Nacional do Mar - Embarcações Brasileiras (São Francisco do Sul). Todos os equipamentos culturais de atuação e referência em nível
estadual.
Pág.
04
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
7

5
1 - ORGANOGRAMA
Pág.
05
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
8

6
2 - COMPETÊNCIAS INSTITUCIONAIS
Art. 67 da Lei Complementar Nº 741, de 12 de junho de 2019;
A FCC, fundação estadual vinculada ao Gabinete do Governador, na qualidade de órgão gestor do Sistema Estadual de Cultura (SIEC), tem por objetivo
fomentar, planejar, desenvolver e executar a política estadual de apoio à arte e cultura, obedecidas as normas constitucionais e a legislação específica.
§ 1º Compete à FCC, além de outras atribuições previstas em lei:
I – formular, planejar, normatizar, coordenar, promover e executar os programas, os projetos e as ações da política estadual de cultura e de incentivo às
manifestações culturais e artísticas;
II – preservar bens e valores culturais e manifestações artísticas;
III – estimular a pesquisa e o estudo sobre arte e cultura;
IV – fomentar a produção cultural e artística e apoiar publicações setoriais da cultura do Estado;
V – promover a integração da sociedade às áreas culturais, por intermédio da mobilização de escolas, entidades e grupos culturais;
VI – administrar os museus, as bibliotecas e os espaços culturais a ela vinculados;
VII – normatizar os critérios de tombamento dos monumentos e das obras de arte inventariados e classificados;
VIII – inventariar, classificar, salvaguardar, valorizar, promover e proteger legalmente o patrimônio material, imaterial, histórico, artístico, arqueológico,
natural, documental e bibliográfico de valor para o Estado;
IX – apoiar as instituições públicas e privadas que visem ao desenvolvimento artístico e cultural;
X – apoiar a ampliação e diversificação da infraestrutura cultural do Estado;
XI – apoiar e incentivar manifestações e eventos culturais;
XII – estabelecer parcerias com órgãos públicos federais, municipais e privados, intercambiando experiências para o desenvolvimento integrado da
cultura;
XIII – elaborar estudos e análises específicas sobre as áreas culturais visando à proposição de diretrizes para o desenvolvimento integrado da cultura;
XIV – planejar e coordenar, juntamente com organismos estaduais, nacionais e internacionais, ações voltadas à captação de recursos para
financiamento de projetos relativos ao desenvolvimento da economia da cultura; e
XV – elaborar programas, projetos e ações para a cultura de Santa Catarina voltados à inclusão de pessoas com deficiência, das minorias e demais
segmentos da sociedade que, historicamente, se encontram em situação de exclusão ou vulnerabilidade social.
§ 2º Ficam absorvidos pela FCC o patrimônio, as receitas, o acervo técnico, os direitos e as obrigações da Secretaria de Estado de Turismo, Cultura e
Esporte relacionados à área da cultura, em decorrência de sua extinção.
§ 3º Fica a FCC sub-rogada em todos os contratos firmados e nas dotações orçamentárias da Secretaria de Estado de Turismo, Cultura e Esporte
relacionados à área da cultura.
Pág.
06
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
9

7
3 - INTRODUÇÃO
A publicação da Lei Geral de Proteção de Dados e normas posteriores mudaram a forma com que a Administração Pública se relaciona com o cidadão
no que se refere a privacidade dos dados pessoais. O gerenciamento de resposta a incidentes torna-se fundamental para a padronização dos passos a
serem seguidos diante de incidentes que interrompem a oferta de serviços ou que visam capturar dados pessoais de administrados.
Considerando que a Fundação Catarinense de Cultura (FCC) possui em suas atribuições duas principais áreas finalísticas e, ainda, uma estrutura
administrativa , são estimados uma grande quantidade de dados pessoais tratados em diferentes sistemas tecnológicos. Considerando ainda que os
vazamentos ou investidas cibernéticas tornam-se mais sofisticados a cada avanço de segurança, é imprescindível que servidores e funcionários desta
Fundação estejam preparados a responderem prontamente a incidentes de diferentes naturezas.
Dessa forma, este documento deverá ser amplamente divulgado entre servidores e funcionários pois dispõe de medidas a serem adotadas no caso de
acessos indevidos, perdas, ataques, descartes, repasse e permissões indevidas, assim como a eventos que possam causar indisponibilidade ou danos a
serviços prestados ao público.
É importante ressaltar que o Plano de Resposta a Incidentes inclui em sua fase final o levantamento de evidências e de aprendizado para
aperfeiçoamento dos sistemas e processos, além de definir procedimentos de retenção de dados dos incidentes.
Enfim, este plano buscou aplicar as melhores práticas administrativas visando preparar esta Fundação a tomar decisões frente a incidentes que
envolvam segurança e privacidade de dados pessoais.
Referências: Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD); Decreto Estadual nº 39, de 21 de fevereiro de
2019 e a Instrução Normativa n° 3/2019 – SEA.
4 - OBJETIVO
O Plano de Resposta a Incidentes de Segurança e Privacidade visa contribuir na transformação cultural da Administração Pública, em particular da
Fundação Catarinense de Cultura (FCC), orientando servidores e funcionários a reagirem diante de incidentes que interrompam serviços prestados ao
público ou envolvam dados pessoais de cidadãos que tratam com o estado.
Ademais trata-se de documento de formalização do fluxo de procedimentos que produzam respostas rápidas e adequadas no caso de incidentes,
agilizando a retomada dos serviços oferecidos e a preservação da reputação desta Fundação.
Pág.
07
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
10

8
Cabe ressaltar que o Plano não aborda um incidente específico tampouco o meio com que ocorreu ou a extensão do incidente. O Plano tem uma visão
geral para auxiliar os agentes de tratamento a tomar decisões as mais breves possíveis.
5 - ABRANGÊNCIA E PRAZO DE VIGÊNCIA
Este Plano abrange todos os processos físicos ou que utilizam sistemas tecnológicos para tratamento de dados pessoais. O Plano entrará em vigor na
data de sua publicação, por tempo indeterminado, e quando necessário será retificado.
6 - TERMOS E DEFINIÇÕES
a) AGENTE DE TRATAMENTO: são agentes de tratamento aqueles que podem ter alguma ação no tratamento de um incidente que coloque em
risco a segurança dos dados pessoais. Tais agentes abrangem:
a.1) CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados
pessoais; na administração pública estadual, os órgãos exercem as funções típicas do controlador.
a.2) OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza otratamento de dados pessoais em nome do controlador.
A depender do contexto, uma mesma operação de tratamento de dados pessoais pode envolver mais de um operador ou controlador (controladoria
conjunta, ou co-controladores).
b) ENCARREGADO DE DADOS: pessoa indicada pelo controlador para atuar como canal de comunicação com os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD).
c) AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS: os arts. 55-A e seguintes da LGPD definem a Autoridade Nacional de Proteção de Dados
(ANPD) como entidade responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional, conforme as atribuições
descritas no art. 55-J da LGPD e no Decreto nº 10.474, de 26 de agosto de 2020.
d) GTI: grupo de trabalho interno da FCC nomeados em portaria específica.
e) TITULAR DOS DADOS: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
f) DADO PESSOAL: é toda informação relacionada a pessoa natural identificada ou identificável.
Pág.
08
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
11

9
g) IDP: O Inventário de Dados Pessoais representa um artefato primordial para documentar o tratamento de dados pessoais realizados pela
instituição.
h) INCIDENTE: evento, ação ou omissão que tenha permitido ou possa vir a permitir acesso não autorizado, interrupção ou mudança nas operações
(inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação
protegida ou, ainda, apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação ou de alguma atividade
crítica por um período de tempo inferior ao tempo objetivo de recuperação.
i) INCIDENTE DE SEGURANÇA: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou
das redes de computadores.
j) INCIDENTE DE SEGURANÇA COM DADOS PESSOAIS: incidente de segurança à proteção de dados pessoais é qualquer evento adverso,
confirmado ou sob suspeita, relacionado à violação de dados pessoais, sendo acesso não autorizado, acidental ou ilícito que resulte em destruição,
perda, alteração, vazamento ou qualquer forma de tratamento de dados ilícita ou inadequada, que tem a capacidade de pôr em risco os direitos e as
liberdades dos titulares dos dados pessoais.
k) LGPD: Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), cujo objetivo é proteger os direitos
fundamentais de privacidade e de liberdade de cada indivíduo.
l) RELATÓRIO FINAL: relatório que contenha todas as evidências e ações realizadas para tratamento do incidente e que deve ser emitido ao final
das tratativas.
m) RIPD: conforme a LGPD, o Relatório de Impacto a Proteção de Dados (RIPD) é uma documentação do controlador que contém a descrição dos
processos de tratamento de dados pessoais que tem o potencial de gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem
como medidas, salvaguardas e mecanismos de mitigação de risco.
n) ANONIMIZAÇÃO: é a utilização de meios técnicos razoáveis e disponíveis por meio dos quais um dado perde a possibilidade de associação, direta
ou indireta, a um indivíduo.
o) LOG: processo de registro de eventos relevantes num sistema computacional;
p) SISTEMAS: hardware, software, network de dados, armazenador de mídias e demais sistemas usados, adquiridos, desenvolvidos, acessados,
controlados, cedidos ou operados por esta Fundação para dar suporte na execução de suas atividades.
q) POSIN: Política de Segurança da Informação é definida como as regras que ditam o acesso, o controle e a transmissão da informação em uma
organização.
Pág.
09
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
12

10
r) VIOLAÇÃO DE PRIVACIDADE: qualquer violação à legislação aplicável ou conduta e evento que resulte na destruição acidental ou ilícita dos dados,
bem como sua perda, roubo, alteração, divulgação ou acesso não autorizado, danos ou desvio de finalidade em seu tratamento.
7 – DESCRIÇÃO DOS PROCESSOS
A definição da sequência de eventos a serem seguidos foram distribuídos nas seguintes etapas:
a) O INCIDENTE - A comunicação de um incidente de segurança pode originar-se de qualquer fonte: interna através de um servidor ou funcionário, ou
externa através da abertura de um processo no protocolo, da ouvidoria ou de um sistema de monitoramento de sistema. Também podem ser através de
diferentes meios de comunicação: correspondência eletrônica, telefone, registro na Central de Chamados do setor de informática. Canais para
comunicações de Incidentes de segurança:
a.1) Correspondência Eletrônica: protecaodedados@fcc.sc.gov.br
a.2) Telefone: (48) 3664-2685
a.3) Plataforma digital do Governo do Estado de SC: https://www.sc.gov.br/servicos/detalhe/solicitar-atendimento-lgpd
a.4) Chamados no Setor de Informática da FCC: https://fcc.eksinformatica.com.br/index.php?redirect=%2Ffront%2Fticket.php&error=3
b) A CRITICIDADE - Diante do registro do incidente, das causas, das circunstâncias e dos possíveis sistemas / processos interrompidos, o Encarregado
de Dados irá avaliar a gravidade do incidente para, se possível, em conjunto com o setor impactado corrigir ou restaurar à normalidade os sistemas /
processos. Não ocorrendo interrupção permanente do sistema/processo ou dano aos titulares dos dados encerra-se a comunicação.
Em geral, os sistemas/processos que sejam acessíveis pela internet exigem uma resposta mais rápida para restauração da normalidade, portanto o
tempo de restabelecimento do serviço é uma importante variável para tomada de decisões.
As comunicações que sejam consideradas improcedentes deverão ser descartadas.
Porém, concluindo que o incidente interrompeu permanentemente o sistema/processo ou que pode causar dano e prejuízo aos titulares dos dados, o
Encarregado de Dados deve convocar o Grupo de Trabalho Interno (GTI) para uma avaliação mais detalhada a respeito do risco da situação se agravar
se não houver uma resposta imediata.
c) A CLASSIFICAÇÃO - Em se tratando de vários incidentes ao mesmo tempo, é importante estabelecer uma ordenação de atendimento conforme a
classificação. Nesta fase os incidentes devem ser classificados em:
Pág.
10
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
13

11
- Alto: Incidente grave que pode causar consequências negativas para esta Fundação e para os titulares de dados;
- Médio: Incidente que pode causar consequências significativas porém sem prejuízo para esta Fundação ou para titulares de dados;
- Baixo: Incidente que não pode causar consequências a esta Fundação ou para titulares de dados.
Nesta fase o GTI deverá avaliar internamente a situação da ocorrência e a vulnerabilidade do sistema/processo ( acesso ou permissões indevidos, roubo
de dados, ataques, falha de programação, descartes, engenharia social), a fonte de onde foram subtraídos dados (sistemas, formulários, livros registro),
a categoria dos dados (pessoais, pessoais sensíveis), a extensão do vazamento e a avaliação do impacto aos serviços e aos titulares dos dados.
É importante que o GTI envolva os especialistas do setor impactado para colaborar no diagnóstico do incidente de segurança, acionando os
responsáveis setoriais a manifestarem a respeito da resposta a ser adotada. Cabe à gestão administrativa desta Fundação optar em instituir um grupo de
trabalho exclusivamente para tratamento de incidentes computacionais (grupo interno, terceirizado ou misto) onde sejam bem definidas as competências
dentro da equipe. Caberá ao grupo a elaboração de um plano exclusivo de resposta a incidentes que contenha procedimentos específicos de
restauração do sistema e inibição de novos incidentes.
Em se tratando de incidente de segurança causado por ação humana, é indispensável que o gestor administrativo pondere a respeito de abertura de
sindicância administrativa.
Diante dos fatos apresentados, o Encarregado de Dados deve elaborar, caso ainda não o tenha feito, o Relatório de Impacto à Proteção de Dados
Pessoais (RIPD) relacionado ao processo específico do incidente. O Relatório deve ser fundamentado no Inventário de Dados Pessoais (IDP) desta
Fundação.
Cabe ao Encarregado de Dados comunicar, no prazo de até dois dias do registro do incidente, ao Controlador e a todos os envolvidos na FCC, além de
comunicar a Agência Nacional de Proteção de Dados (ANPD) e aos titulares dos dados, a respeito do incidente, apoiando-se no RIPD específico. A
ANPD poderá solicitar o encaminhamento da RIPD para instrução de processo.
d) A CONTENÇÃO E RECUPERAÇÃO - O objetivo desta fase é limitar e isolar a causa do incidente para evitar mais danos e recuperar o
sistema/processo. Em se tratando de sistemas é preciso mantê-los indisponível para manutenção o mais breve possível. Os processos deverão ser
revisados a fim de certificar que não mais apresentem riscos de novas interrupções ou aos titulares.
É importante lembrar da necessidade de preservar evidências do incidente para possibilitar identificações e métodos utilizados contra a segurança. Nos
caso de sistemas digitais é preciso reter os registros de eventos (log) e preservar arquivos e aplicações atingidos para análise.
Algumas técnicas corretivas e preventivas podem ser utilizadas para recuperar os sistemas afetados e evitar novos acontecimentos. A elaboração de
uma Política de Segurança da Informação (POSIN) voltada à confidencialidade, integridade, disponibilidade e autenticidade poderá contribuir para ações
de eficácia no controle de acesso, redundância de sistemas, cópias de segurança e a uma gestão de risco apropriada. Sobre processos, a restrição de
acessos ou a aplicação de técnicas de anonimização / pseudonomização podem ajustar à conformidade entre a proteção dos dados pessoais e o acesso
à informação.
Pág.
11
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
14

12
A recuperação relaciona-se a medidas de manutenção dos sistemas/processos relacionando em relatório as ações tomadas que possibilitaram o
restauro do serviço por completo. O relacionamento das ações que sanaram a falha é fundamental à próxima etapa que trata do aprendizado e da
proposta de melhorias.
e) O APRENDIZADO - Com o incidente de segurança já controlado e os danos reparados, cabe ao Grupo de Trabalho Interno (GTI) deliberar pela
melhor forma de disseminação do conhecimento adquirido sobre o evento. O objetivo será de discutir falhas e obstáculos encontrados, propor avanços
aos sistemas/processos, avaliar o atual Plano de Resposta a Incidentes e contribuir para a elaboração do Relatório Final.
f) O RELATÓRIO FINAL - Cabe ao Encarregado de Dados elaborar o Relatório Final do incidente fundamentando-se nas informações colhidas a
respeito das causas, das circunstâncias, dos eventos ocorridos ao longo do tempo, das consequências do fato e dos ensinamentos aprendidos.
Por decisão do Controlador, no caso de danos ou prejuízo aos titulares de dados, os mesmos deverão ser informados para que possam preparar-se para
eventual adversidade.
A ANPD poderá solicitar o encaminhamento do Relatório Final para instrução do processo do incidente de segurança específico.
Pág.
12
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
15

13
8 - FLUXO DOS PROCESSOS (Fonte: https://www.lucidchart.com/)
Pág.
13
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
16

14
9 - SUGESTÃO DE INDICADOR DE DESEMPENHO
Para aferição do desempenho do Plano de Resposta a Incidentes de Segurança da Informação e Privacidade, sugere-se a criação de um indicador
"Incidentes de Segurança da Informação e Privacidade" que contenha as seguintes variáveis:
Item Variável Métrica
1 Quantidade total de incidentes comunicados (QTI)
Método: Soma dos incidentes comunicados;
Periodicidade: Anual
2 Quantidade total de incidentes solucionados (QTIS)
Método: Soma dos incidentes comunicados e solucionados;
3
Quantidade total de incidentes não solucionados
(QTINS)
Método: Soma dos incidentes comunicados e não solucionados;
4 Tempo médio de resposta aos incidentes (T)
Método: Tempo médio para iniciar o atendimento ao incidente;
5 Percentual de incidentes solucionados (%)
Método: PIS = (QTIS x 100)/QTI
Abreviações:
QTIS = Quantidade total de incidentes solucionados
QTI = Quantidade total de incidentes comunicados
6 Percentual de incidentes não solucionados (%)
Método: PIS = (QTINS x 100)/QTI
Abreviações:
QTINS = Quantidade total de incidentes não solucionados
QTI = Quantidade total de incidentes comunicados
Pág.
14
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
17

15
10 - Aprovação do Plano de Resposta a Incidentes
Responsáveis:
Elaboração:
Rinaldo Albieri – matr. 0957044-6-01 - Encarregado de Dados - FCC
Orientações:
Ana Cláudia Allet Aguiar - matr. 0263817-7-02 - Consultoria Jurídica FCC
Daniel Rohden Speck - matr. 0955234-0-02 - Controle Interno FCC
Aprovação:
Rafael Nogueira Alves Tavares da Silva - matr. 0712059-1-02 - Presidente FCC
Pág.
15
de
15
-
Documento
assinado
digitalmente.
Para
conferência,
acesse
o
site
e
informe
o
processo
FCC
00000933/2023
e
o
código
G16P0T0G.
18

Assinaturas do documento
Código para verificação: G16P0T0G
Este documento foi assinado digitalmente pelos seguintes signatários nas datas indicadas:
RINALDO ALBIERI (CPF: 158.XXX.228-XX) em 22/03/2023 às 14:30:31
Emitido por: "SGP-e", emitido em 13/07/2018 - 15:00:58 e válido até 13/07/2118 - 15:00:58.
(Assinatura do sistema)
DANIEL ROHDEN SPECK (CPF: 057.XXX.569-XX) em 24/03/2023 às 16:08:30
RAFAEL NOGUEIRA ALVES TAVARES DA SILVA (CPF: 323.XXX.298-XX) em 29/03/2023 às 17:21:04
Para verificar a autenticidade desta cópia, acesse o link https://portal.sgpe.sea.sc.gov.br/portal-externo/conferencia-
documento/RkNDXzQyNzRfMDAwMDA5MzNfOTQxXzIwMjNfRzE2UDBUMEc= ou o site
https://portal.sgpe.sea.sc.gov.br/portal-externo e informe o processo FCC 00000933/2023 e o código G16P0T0G
ou aponte a câmera para o QR Code presente nesta página para realizar a conferência.

Plano de Resposta a Incidentes de Segurança da Informação e Privacidade (V2).pdf

Recommended

Recommended

More Related Content

Similar to Plano de Resposta a Incidentes de Segurança da Informação e Privacidade (V2).pdf

Similar to Plano de Resposta a Incidentes de Segurança da Informação e Privacidade (V2).pdf (20)

Plano de Resposta a Incidentes de Segurança da Informação e Privacidade (V2).pdf