Baixe o app para aproveitar ainda mais
Prévia do material em texto
COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1 Otávio Fernandes Frota Fortaleza-2012 Qualificação do InstrutorQualificação do Instrutor Otávio FrotaOtávio Frota �� MestreMestre emem AdministraçãoAdministração (UECE(UECE--20052005),), EspecialistaEspecialista emem GestãoGestão parapara ExecutivosExecutivos (UFC(UFC-- 20002000),), EspecialistaEspecialista emem InformáticaInformática (UNIFOR(UNIFOR--19891989)) ee emem RedesRedes dede ComputadoresComputadores (UNIFOR(UNIFOR--19941994)) ee GraduadoGraduado emem EngenhariaEngenharia CivilCivil (UNIFOR(UNIFOR--19861986)).. �� GerenteGerente dede InformáticaInformática dada CompanhiaCompanhia dede ÁguaÁgua ee EsgotoEsgoto dodo CearáCeará –– CAGECECAGECE �� CertificaçõesCertificações emem ProjectProject ManagementManagement ProfessionalProfessional (PMP)(PMP) ee InformationInformation TechnologyTechnology InfrastructureInfrastructure LibraryLibrary (ITIL),(ITIL), ControlControl ObjectivesObjectives forfor InformationInformation andand relatedrelated TechnologyTechnology (COBIT),(COBIT), ITIT ServiceService ManagementManagement accordingaccording toto ISO/IECISO/IEC 2000020000 ee SixSix SigmaSigma GreenGreen BeltBelt �� AtuouAtuou comocomo DiretorDiretor FinanceiroFinanceiro dodo PMIPMI CearáCeará nono períodoperíodo dede 20082008 aa 20112011 �� CoordenadorCoordenador dodo CursoCurso dede MBAMBA emem GovernançaGovernança dede TITI ,, GestãoGestão BancáriaBancária,, GerênciaGerência dede SistemasSistemas dada EstácioEstácio dodo CearáCeará �� ProfessorProfessor dede cursoscursos dede PósPós GraduaçãoGraduação emem UniversidadesUniversidades//FaculdadesFaculdades ((EstácioEstácio dodo CearáCeará,, FGV,FGV, UNIFOR,UNIFOR, UECE,UECE, CHRISTUS,CHRISTUS, FANOR,FANOR, ATENEU)ATENEU) �� TreinamentoTreinamento inin companycompany (Tribunal(Tribunal RegionalRegional dodo TrabalhoTrabalho –– MaceióMaceió,, JJ MacedoMacedo,, ProcuradoriaProcuradoria GeralGeral dodo Estado,Estado, SoftiumSoftium InformáticaInformática,, CoelceCoelce,, AurigaAuriga,, TribunalTribunal dede JustiçaJustiça dodo CearáCeará,, DERDER -- DepartamentoDepartamento dede EdificaçõesEdificações ee RodoviasRodovias,, EscolaEscola dede GestãoGestão PúblicaPública dodo CearáCeará)) otaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.com http://br.linkedin.com/pub/otaviohttp://br.linkedin.com/pub/otavio--frota/16/409/9b4 frota/16/409/9b4 http://br.linkedin.com/pub/otaviohttp://br.linkedin.com/pub/otavio--frota/16/409/9b4 frota/16/409/9b4 99829982--86458645 CobiT 4.1CobiT 4.1CobiT 4.1CobiT 4.1 COBITCOBIT CC OBOB ControlControl OBjectivesOBjectives II TT for Informationfor Information and Related Technologyand Related Technology O que é CobiT ?O que é CobiT ? Control Objectives for Information and Related TechnologyControl Objectives for Information and Related Technology Padrão de melhores práticas para auxiliar na associação entre os Padrão de melhores práticas para auxiliar na associação entre os riscos de negócios, as necessidades de controle e os riscos de negócios, as necessidades de controle e os aspectos tecnológicos, através de uma matriz de domínios, aspectos tecnológicos, através de uma matriz de domínios, processos e objetivos de controle.processos e objetivos de controle. Alinhado com padrões Alinhado com padrões –––– ITIL, CMM, BS 7799, ISO 9001:2000.ITIL, CMM, BS 7799, ISO 9001:2000. Origem em 1996 Origem em 1996 -- Atualmente na edição 4.1 Atualmente na edição 4.1 -- 20072007 Criado e mantido pelo ISACA Criado e mantido pelo ISACA –– Information Systems Audit and Information Systems Audit and Control AssociationControl Association Missão do COBITMissão do COBIT Pesquisar, desenvolver, publicar e promover um framework de Pesquisar, desenvolver, publicar e promover um framework de governança e controle de TI reconhecido, atualizado e governança e controle de TI reconhecido, atualizado e internacional aceito, para adoção pelas empresas e uso de internacional aceito, para adoção pelas empresas e uso de gestores de negócios, profissionais de TI, de segurança e gestores de negócios, profissionais de TI, de segurança e auditoria.auditoria. • Administradores: para auxiliá-los na ponderação entre risco e investimento e controle de ambientes muitas vezes imprevisíveis como o de TI; Aplicação do COBITAplicação do COBIT • Usuários: para se certificarem da segurança e dos controles dos serviços de TI fornecidos internamente ou por terceiros; • Auditores de Sistemas: para subsidiar suas opiniões e/ou prover aconselhamento aos administradores sobre controles internos. The Information Systems Audit and Control The Information Systems Audit and Control Association (ISACA) Association (ISACA) Produtos do COBITProdutos do COBIT Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1 Board Briefing on IT Governance Guia executivo que aborda o entendimento da importância da Governança de TI e das suas principais características e responsabilidades da alta administração na sua condução IT Assurance Guide Fornece diretrizes em alto nível para a condução de iniciativas de testes e validação, visando garantir que os objetivos de controle do CobIT estejam corretamente implementados (substitui o antigo Audit Guidelines) IT Governance Implementation GuideIT Governance Implementation Guide Fornece um roteiro genérico para a implementação da Governança de TI, utilizando o framework do CobIT e outras ferramentas de suporte IT Control Objectives for Sarbanes-Oxley Orienta sobre como grarantir compliance com esta lei para o ambiente de TI com base no CobIT CobIT Control Practices Descreve em maiores detalhes as práticas de controle relacionadas aos 34 objetivos de controle de alto nível IT Control Objectives for Basel II Fornece diretrizes para o gerenciamento de riscos relacionados à informação no contexto do Acordo Basileia II com base no CobIT Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1 CobIT Quickstart Fornece uma base de controle para pequenas organizações e orienta empresas maiores a darem os primeiros passos na direção do controle dos seus processos CobIT Security Baseline Focaliza os passos principais para a implementação da segurança da informação em uma empresa, alinhada com a norma ISO/IEC 17799 Information Security Governance Explica os conceitos relacionados à segurança da informação de uma forma mais próxima aos negócios, direcionada a alta administração das organizações Mapping Mapas de correção com outros modelos, tais como: ITIL, PMBOK, CMMI VAL IT Complementa o CobIT com uma perspectiva financeira e de negócios, fornecendo diretrizes para que as organizações gerenciem o seu portfólio de investimentos de negócio habilitados pela TI Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1 Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1 Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1 Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1 Componentes ChavesComponentes Chaves • Requisitos de Qualidade – Custo – Qualidade – Entrega • Requisitos Fiduciários – Eficiência Requisitos de InformaçãoRequisitos de Informação � Eficiência � Eficácia � Confiabilidade CritériosCritérios – Eficiência – Eficácia – Confiabilidade – Conformidade • Requisitos de Segurança – Confidencialidade – Integridade – Disponibilidade � Conformidade � Confidencialidade � Integridade � Disponibilidade Categorias de InformaçãoCategorias de Informação Eficiência Capacidade de Produzir o máximo nos resultados com o mínimo de recursos. Diz respeito à provisão da informação através douso otimizado (mais produtivo e econômico) dos recursos. Tem foco na otimização de custos. Confiabilidade Relaciona-se à provisão de informação apropriada para a gerência operar a entidade e para a gerência exercer suas Eficácia É a capacidade de alçar metas e resultados propostos. Trata da informação que está sendo relevante e pertinente ao processo de negócio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e útil Relaciona-se à provisão de informação apropriada para a gerência operar a entidade e para a gerência exercer suas responsabilidades de relatar aspectos de conformidade e finanças Conformidade Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negócio está sujeito Confidencialidade Diz respeito à proteção da informação sigilosa contra a revelação não autorizada Integridade Relaciona-se à exatidão e à inteireza da informação bem como à sua validez de acordo com os valores e expectativas do negócio Disponibilidade Relaciona-se à informação que está sendo disponibilizada quando requerida pelo processo de negócio agora e no futuro. Também diz respeito à salvaguarda dos recursos necessários e às capacidades associadas. Tem foco na Entrega de serviços Recursos de TIRecursos de TI Informação os dados de todos os formulários de entrada, processados e exibidos pelos sistemas de informação, podendo ser qualquer formulário que é usado pelo negócio Aplicações Sistemas automatizados e procedimentos manuais para processar informações podendo ser qualquer formulário que é usado pelo negócio Infra-estrutura inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia, etc. É tudo que é necessário para o funcionamento das aplicações Pessoas pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e avaliar os sistemas de informação e serviços. Podem ser internos ou terceirizados. • 4 domínios – Planejamento e Organização – Aquisição e Implementação Componentes do CobiTComponentes do CobiT – Entrega e Suporte – Monitoramento • 34 objetivos de controle de alto nível • 210 objetivos de controle detalhados Evolução do COBITEvolução do COBIT Componentes Componentes do COBITdo COBIT Framework COBITFramework COBIT Focado no Negócio Baseado em Controles Orientado a Processos Direcionada a Medição Orientado a ProcessoOrientado a Processo Planejamento e Organização (PO) Monitoramento e Avaliação (ME) Aquisição e Implementação (AI) Entrega e Suporte (DS) Focado nos Requisitos de NegócioFocado nos Requisitos de Negócio Requisitos de Negócio Direciona investimentos emQue responde a Recursos de TI Processos de TI Informações Que são utilizados porPara entrega de Baseado em ControlesBaseado em Controles Normas Agir Normas Padrões Objetivos Processo Controle da Informação Compara DefiniçõesDefinições CONTROLECONTROLE Controle envolve as políticas, procedimentos, práticas e Controle envolve as políticas, procedimentos, práticas e estruturas organizacionais projetadas para fornecer estruturas organizacionais projetadas para fornecer segurança para que os objetivos do negócio sejam segurança para que os objetivos do negócio sejam alcançados e eventos não desejados sejam prevenidos ou alcançados e eventos não desejados sejam prevenidos ou alcançados e eventos não desejados sejam prevenidos ou alcançados e eventos não desejados sejam prevenidos ou detectados e corrigidos.detectados e corrigidos. OBJETIVOS DE CONTROLEOBJETIVOS DE CONTROLE Definição de determinados objetivos ou resultados a serem Definição de determinados objetivos ou resultados a serem obtidos ao implementar procedimentos de controle em uma obtidos ao implementar procedimentos de controle em uma determinada atividade de TIdeterminada atividade de TI Fronteiras de Negócios, Fronteiras de Negócios, Controles Gerais e de AplicativosControles Gerais e de Aplicativos Process Control (PC) Process Control (PC) Controle Gerais de ProcessosControle Gerais de Processos PC2 Propriedade dos Processos Cada processo deve ter um responsável PC1 Metas e Objetivos do Processo Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados a resultados e no tempo apropriado para a efetiva execução de cada processo de TI.. PC3 Repetibilidade dos Processos Os processos devem ser executados de forma consistente PC4 Papéis e Responsabilidades A responsabilidade pela execução das atividades dos processos deve ser atribuída a papéis específicos PC5 Políticas Planos e Procedimentos Políticas, planos e procedimentos associados aos processos devem ser documentados, revisados, mantidos atualizados e comunicados para os envolvidos PC6 Melhoria do Processo de Performance Os processos devem ter seu desempenho melhorado continuamente Control Control Objectives Objectives (CO)(CO) 34 Processos34 Processos 210 Objetivos 210 Objetivos de Controlede Controle Application Control (AC)Application Control (AC) Controles de AplicativosControles de Aplicativos AC2 Entrada e Coleta de Dados Fontes Os dados devem ser alimentados de forma tempestiva por pessoas autorizadas, e eventuais correções não devem comprometer os níves de autorização do sistema AC1 Preparação e Autorização de Dados Originais Os documentos de origem devem ser preparados e aprovados segundo o critério de segregação de funções. Erros e omissões podem ser minizados e corrigidos. AC3 Testes de Veracidade, Totalidade e AutenticidadeAC3 Testes de Veracidade, Totalidade e Autenticidade Todas as transações devem ser precisas, completas e válidas AC4 Processamento Íntegro e Válido Os dados devem ser mantigos íntegros e válidos durante todo o ciclo de processamento AC5 Revisão das Saídas, Reconciliação e Manuseio de Erros As saídas do sistema devem ser verificadas quanto à precisão, protegidas durante a transmissão, entregues aos destinatários corretos e utilizadas corretamente AC6 Autenticação e Integridade das Transações Os dados passados entre aplicações ou áreas da organização devem ser verificados quanto à autenticidade e integridade MediçãoMedição NegócioNegócio TI Processo Atividade Indicadores de Desempenho Medições de resultados Modelos de maturidade Medição de DesempenhoMedição de Desempenho DS5 Garantir a segurança dos serviçosDS5 Garantir a segurança dos serviços Modelo de MaturidadeModelo de Maturidade Avaliação de MaturidadeAvaliação de Maturidade 0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo reconheceu que existe uma questão a ser trabalhada. 1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem questões e que precisam ser trabalhadas. No entanto, não existe processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado. 2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou uma comunicação dos procedimentos padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de Modelo de Maturidade GenéricoModelo de Maturidade Genérico padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer. 3 Processo Definido – Procedimentos foram padronizados, documentados e comunicados através de treinamento. É mandatório que esses processos sejamseguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos não são sofisticados mas existe a formalização das práticas existentes. 4 Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos procedimentos e adota ações onde os processos parecem não estar funcionando muito bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou fragmentada. 5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no resultado de um contínuo aprimoramento e modelagem da maturidade como outras organizações. TI é utilizada como um caminho integrado PO2 PO2 Definir a Definir a Arquitetura da Arquitetura da InformaçãoInformação PO3 PO3 Determinar as Determinar as Diretrizes de Diretrizes de TecnologiaTecnologia PO1 PO1 Definir um Definir um Plano Estratégico Plano Estratégico de TIde TI PO4 PO4 Definir os Processos, Definir os Processos, a Organização e osa Organização e os Relacionamentos Relacionamentos de TIde TI PO5 PO5 Gerenciar o Gerenciar o Investimento Investimento de TIde TI Planejamento e Organização ( PO)Planejamento e Organização ( PO) Aquisição e Implementação (AI)Aquisição e Implementação (AI) PO6 PO6 Comunicar Comunicar Metas e Metas e Diretrizes Diretrizes GerenciaisGerenciais PO7 PO7 Gerenciar os Gerenciar os Recursos Humanos Recursos Humanos de TIde TI PO8 PO8 Gerenciar Gerenciar a Qualidadea Qualidade PO9 PO9 Avaliar e Avaliar e Gerenciar os Gerenciar os Riscos Riscos de TIde TI PO10 PO10 Gerenciar Gerenciar ProjetosProjetos AI2 AI2 Adquirir e Manter Adquirir e Manter Software AplicativoSoftware Aplicativo AI3 AI3 Adquirir e Manter Adquirir e Manter InfraestruturaInfraestrutura de Tecnologiade Tecnologia AI 1AI 1 Identificar Soluções Identificar Soluções AutomatizadasAutomatizadas AI4 AI4 Habilitar Operação Habilitar Operação e Uso de TIe Uso de TI AI6 AI6 AI7 AI7 AI5 AI5 ME1 Monitorar e avaliar desempenho de TI ME2 Monitorar e avaliar controle interno Monitoramento e Monitoramento e Avaliação Avaliação (ME)(ME) AI6 AI6 GerenciarGerenciar MudançasMudanças AI7 AI7 Instalar e HomologarInstalar e Homologar Soluções e MudançasSoluções e Mudanças AI5 AI5 Adquirir Adquirir Recursos de TIRecursos de TI DS2DS2 Gerenciar Gerenciar Serviços Serviços TerceirizadosTerceirizados DS3 DS3 Gerenciar o Gerenciar o Desempenho e Desempenho e a Capacidadea Capacidade DS1 DS1 Definir e Gerenciar Definir e Gerenciar Níveis de ServiçosNíveis de Serviços DS4 DS4 Assegurar a Assegurar a Continuidade dos Continuidade dos ServiçosServiços DS5 DS5 Garantir a Garantir a Segurança dos Segurança dos SistemasSistemas Entrega e Suporte (DS)Entrega e Suporte (DS) DS6 DS6 Identificar e Identificar e Alocar CustosAlocar Custos DS7 DS7 Educar e Educar e Treinar os UsuáriosTreinar os Usuários DS8 DS8 Gerenciar a Gerenciar a Central de Serviço Central de Serviço e os Incidentese os Incidentes DS9 DS9 Gerenciar a Gerenciar a ConfiguraçãoConfiguração DS10 DS10 Gerenciar Gerenciar ProblemasProblemas ME4 Prover governança ME3 Assegurar o Cumprimento das regulamentações DS11 DS11 Gerenciar os Gerenciar os DadosDados DS12 DS12 Gerenciar o Gerenciar o Ambiente FísicoAmbiente Físico DS13 DS13 Gerenciar as Gerenciar as OperaçõesOperações Planejamento e Organização (PO)Planejamento e Organização (PO) Definição Este domínio tem abrangência estratégica e tática e identifica as formas através das quais a TI pode contribuir melhor para o atendimento dos objetivos de negócio, enolvolvendo planejamento, comunicação e gerenciamento dem diversas perspectivas Processos PO1 Definir um Plano Estratégico de TI PO2 Definir a Arquitetura da Informação PO3 Determinar as Diretrizes de Tecnologia PO4 Definir os Processos, a Organização e os Relacionamentos de TI PO5 Gerenciar o Investimento de TI PO6 Comunicar Metas e Diretrizes Gerenciais PO7 Gerenciar os Recursos Humanos de TI PO8 Gerenciar a Qualidade PO9 Avaliar e Gerenciar os Riscos de TI PO10 Gerenciar Projetos PO1 Definir o plano estratégido de TI PO2 Definir arquitetura de PO3 Definir direcionamento PO4 Definir organização e relacionamentos da PO8 Gerenciar qualidade PO9 Gerenciar riscos AI Aquisição e Implementação DS Entrega e Suporte Requisitos de negócios Requisitos externos (PO)(PO) Planejamento Planejamento e e OrganizaçãoOrganização informação tecnológico relacionamentos da área de TI PO5 Gerenciar investimentos de TI PO6 Comunicar objetivos e metas gerenciais PO7 Gerenciar recursos humanos AI Aquisição e Implementação DS Entrega e Suporte PO10 Gerenciar projetos ME1-4 Monitoramento e avalição PO1 PO1 -- Definir o plano estratégico de TIDefinir o plano estratégico de TI Planejamento Corporativo Vincular objetivos de negócio com objetivos de TI Identificar as dependências críticas e o desempenho atual Definir um plano estratégico de TI para gerenciar e direcionar todos recursos de TI alinhado com as prioridades e estratégias de negócios Objetivo Produzir um plano estratégico de TI Produzir um plano tático de TI Analisar o portfólio de programas e gerenciar portfólio de projetos e serviços PO1 Definir um Plano Estratégico de TIPO1 Definir um Plano Estratégico de TI PO1.1 Gerenciamento de Valor da TI PO1.2 Alinhamento entre TI e Negócio PO1.3 Avaliação da Capacidade e Desempenho Correntes PO1.4 Plano Estratégico de TI PO1.5 Planos Táticos de TI PO1.6 Gerenciamento do Portfólio de TI PO2 Definir a Arquitetura da InformaçãoPO2 Definir a Arquitetura da Informação Criar e manter o modelo de informação corporativa Criar e manter os dicionários de dados corporativos Estabelecer e manter uma estrutura de classificação de dados Ciar e atualizar regularmente um modelo de informações de negócios e definir um sistema apropriado para otimizar o uso da informação Objetivo classificação de dados Fornecer aos proprietários de dados procedimentos e ferramentas para classificação dos sistemas de informação Utilizar o modelo de informação, dicionário de dados e estrutura de classificação para planejar sistemas otimizados PO2.1 Modelo de Arquitetura da Informação da Organização PO2.2 Dicionário de Dados Corporativos e Regras de Sintaxe de Dados PO2 Definir a Arquitetura da InformaçãoPO2 Definir a Arquitetura da Informação PO2.3 Esquema de Classificação de Dados PO2.4 Gerenciamento de Integridade PO3 Determinar as Diretrizes da TecnologiaPO3 Determinar as Diretrizes da Tecnologia Determinar o direcionamento tecnológico para suportar os objetivos e metas de negócios ObjetivoCriar e manter um planejamento de infraestrutura tecnológica Criar e manter padrões tecnológicos Publicar padrões tecnológicosPublicar padrões tecnológicos Monitorar evolução tecnológica Definir uso (futuro) (estratégico) de novas tecnologias PO3.1 Planejamento da Diretriz Tecnológica PO3.2 Plano de Infraestrutura Tecnológica PO3 Determinar as Diretrizes da TecnologiaPO3 Determinar as Diretrizes da Tecnologia PO3.3 Monitoramento de Regulamentos e Tendências Futuras PO3.4 Padrões Tecnológicos PO3.5 Conselho de Arquitetura de TI PO4 Definir os Processos, Organização e PO4 Definir os Processos, Organização e Relacionamentos de TIRelacionamentos de TI Definir uma organização de TI considerando requisitos de competências, funções, autoridade,papéis, responsabilidade e supervisão. ObjetivoEstabelecer a estrutura organizacional de TI, incluindo comitês e relacionamentos com partes interessadas e fornecedores Projetar a estrutura de processos de TI Identificar os proprietários dos sistemas Identificar os proprietários dos dados Estabelecer e implementar papéis, funções e responsabilidades de TI, incluindo supervisão e segregação de atividades PO4.1 Estrutura de Processos de TI PO4.2 Comitê Estratégico de TI PO4.3 Comitê Executivo de TI PO4.4 Posicionamento Organizacional da área de TI PO4.5 Estrutura Organizacional de TI PO4.6 Definição de Papéis e Responsabilidades PO4.7 Responsabilidade pela Garantia de Qualidade PO4 Definir os Processos, Organização e PO4 Definir os Processos, Organização e Relacionamentos de TIRelacionamentos de TI PO4.7 Responsabilidade pela Garantia de Qualidade PO4.8 Responsabilidade por Riscos, Segurança e Conformidade PO4.9 Proprietários de Dados e Sistemas PO4.10 Supervisão PO4.11 Segregação de Funções PO4.12 Recrutamento de pessoal de TI PO4.13 Pessoal Chave de TI PO4.14 Políticas e Procedimentos para Pessoal Contratado PO4.15 Relacionamentos PO5 Gerenciar o Investimento de TIPO5 Gerenciar o Investimento de TI Definir e manter um modelo para gerenciar programas de investimentos de TI ObjetivoManter portfólio de programas Manter portfólio de projetos Manter portfólio de serviçosManter portfólio de serviços Estabelecer e manter o processo orçamentário de TI Identificar, comunicar e monitorar os investimentos em TI, custos e valor para o negócio PO5.1 Estrutura da Administração Financeira PO5.2 Priorização dentro do Orçamento de TI PO5 Gerenciar o Investimento de TIPO5 Gerenciar o Investimento de TI PO5.3 Processo de Orçamento de TI PO5.4 Gerenciamento de Custo PO5.5 Gerenciamento de Benefícios PO6 Comunicar Metas e Diretrizes PO6 Comunicar Metas e Diretrizes GerenciaisGerenciais Para comunicar objetivos de gestão através de um modelo de controle de TI, e definir e comunicar políticas de TI ObjetivoEstabelecer e manter a estrutura e ambiente de controle de TI Desenvolver e manter as políticas de TI Comunicar a estrutura de controle, os Comunicar a estrutura de controle, os objetivos e as diretrizes de TI PO6.1 Política de TI e Ambiente de Controle PO6.2 Risco de TI Corporativo e Estrutura Interna de Controle PO6 Comunicar Metas e Diretrizes PO6 Comunicar Metas e Diretrizes GerenciaisGerenciais PO6.3 Gerenciamento de Políticas de TI PO6.4 Distribuição da Política PO6.5 Comunicação dos Objetivos e Diretrizes de TI PO7 Gerenciar os Recursos Humanos de TIPO7 Gerenciar os Recursos Humanos de TI Gerenciar recursos humanos através da aquisição, manutenção e motivação de uma competente força de trabalho para a criação e entrega de serviços de TI para o negócio ObjetivoIdentificar habilidades, descrição de cargos, faixas salariais e comparações de desempenho individual com o mercado (benchmarks) para TI; Executar políticas e procedimentos de RH Executar políticas e procedimentos de RH relevantes para TI (recrutamento, contratação, compensação, treinamento, avaliação, promoção e desligamento) PO7.1 Recrutamento e Retenção de Pessoal PO7.2 Competências Pessoais PO7.3 Preenchimento de Vagas PO7 Gerenciar os Recursos Humanos de TIPO7 Gerenciar os Recursos Humanos de TI PO7.4 Treinamento do Pessoal PO7.5 Dependência de Indivíduos PO7.6 Procedimentos de Liberação de Pessoal PO7.7 Avaliação de Desempenho Profissional PO7.8 Mudança e Desligamento de Cargo PO8 Gerenciar a QualidadePO8 Gerenciar a Qualidade Gerenciar qualidade através de desenvolvimento e manutenção de sistemas de gerenciamento da quualidade, que incluem padrões e processos para a melhoria da qualidade ObjetivoDefinir um sistema de gerenciamento da qualidade (SGQ) Estabelecer e manter um sistema de gerenciamento da qualidade Criar e comunicar padrões de qualidade Criar e comunicar padrões de qualidade para a organização Criar e manter o planejamento de qualidade para melhoria contínua Medir, monitorar e revisar criticamente a conformidade com os objetivos de qualidade PO8.1 Sistema de Gerenciamento de Qualidade (SGQ) PO8.2 Padrões e Práticas de Qualidade de TI PO8.3 Padrões de Desenvolvimento e Aquisição PO8 Gerenciar a QualidadePO8 Gerenciar a Qualidade PO8.3 Padrões de Desenvolvimento e Aquisição PO8.4 Foco no Cliente PO8.5 Melhoria Contínua PO8.6 Medição, Monitoramento e Revisão da Qualidade PO9 Avaliar e Gerenciar os Riscos de TIPO9 Avaliar e Gerenciar os Riscos de TI Avaliar e gerenciar riscos de TI através da criação e manutenção de modelo de gerenciamento de riscos ObjetivoPromover o alinhamento da gestão de riscos (por exemplo: avaliação de riscos) Entender os objetivos estratégicos de negócio relevantes Entender os objetivos de processos de negócio relevantes Identificar objetivos internos de TI e estabelecer contexto de risco; Identificar eventos associados com objetivos Avaliar criticamente os riscos associados com eventos Avaliar respostas aos eventos Planejar e priorizar as atividades de controle Aprovar e assegurar o financiamento de planos de ações para riscos; Manter e monitorar os planos de ações para riscos PO9.1 Alinhamento da gestão de riscos de TI e de Negócios PO9.2 Estabelecimento do Contexto de Risco PO9.3 Identificação de Eventos PO9 Avaliar e Gerenciar os Riscos de TIPO9 Avaliar e Gerenciar os Riscos de TI PO9.4 Avaliação de Risco PO9.5 Resposta ao Risco PO9.6 Manutenção e Monitoramento do Plano de Ação de Risco PO10 Gerenciar ProjetosPO10 Gerenciar Projetos Gerenciar projetos através de modelo de gerenciamento de programas e projetos para gerenciamento de todos projetos de TI ObjetivoDefinir uma estrutura de gerenciamento de programas e portfólios para os investimentos de TI Estabelecer e manter uma estrutura de gerenciamento de projetos Estabelecer e manter um sistema de gerenciamento, monitoramento e acompanhamento de projetos de TIacompanhamento de projetos de TI Criar cronogramas, planos de qualidade, orçamentos, planos de comunicação e planos de gerenciamento de riscos para projetos; Assegurar a participação e compromisso das partes interessadas Assegurar o controle eficaz de projetos e de mudanças em projetos; Definir e implementar uma metodologia de revisão e qualidade em projetos PO10.1 Estrutura de Gestão de Programas PO10.2 Estrutura de Gestão de Projetos PO10.3 Abordagem da Gestão de Projetos PO10.4 Comprometimento das Partes Interessadas PO10.5 Declaração do Escopo do Projeto PO10.6 Fase de Início do Projeto PO10 Gerenciar ProjetosPO10 Gerenciar Projetos PO10.6 Fase de Início do Projeto PO10.7 Plano Integrado de Projeto PO10.8 Recursos do Projeto PO10.9 Gestão de Risco do Projeto PO10.10 Plano de Qualidade de Projeto PO10.11 Controle de Mudança de Projeto PO10.12 Planejamento de métodos de validação PO10.13 Medição de Desempenho, Monitoramento e Reporte do Projeto PO10.14 Conclusão do Projeto PO10 Gerenciar projetos Aquisição e Implementação (AI)Aquisição e Implementação (AI) Definição Este domínio cobre a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. Mudanças e manutenções em sistemas existentes também estão cobertas por este domínio, para garantir a continuidade dos respectivos ciclos de vida. Processos AI 1 Identificar Soluções Automatizadas AI2 Adquirir e Manter Software Aplicativo AI3 Adquirir e Manter Infraestrutura de Tecnologia AI4 HabilitarOperação e Uso AI5 Adquirir Recursos de TI AI6 Gerenciar Mudanças AI7 Instalar e Homologar Soluções e Mudanças AI1 Identificar soluções automatizadas DS9 Gerenciar configuração PO8 Gerenciar qualidade PO9 Gerenciar riscos DS Entrega e Suporte PO Planejamento e Organização Requisitos de negócios Requisitos externos (AI)(AI) Aquisição Aquisição e e ImplementaçãoImplementação AI6 Gerenciar mudanças PO Planejamento e Organização DS Entrega e Suporte PO10 Gerenciar projetos ME1-4 Monitoramento e avaliçãoAI7 Instalar e credenciar soluções e mudanças AI3 Adquirir e manter infraestrutura tecnológica AI2 Adquirir e manter software aplicativo AI4 Habilitar operação e uso AI5 Adquirir recursos de TI AI 1 Identificar Soluções AutomatizadasAI 1 Identificar Soluções Automatizadas Analisar a necessidade por novas aplicações ou funções, antes da aquisição ou criação e garantir que os requisitos de negócios são satisfeitos numa abordagem eficiente e eficaz Objetivo Definir requisitos técnicos e funcionais de negócio Estabelecer processos para integridade/atualização de requisitos Identificar, documentar e analisar os riscos de processos de negócio Conduzir um estudo de Conduzir um estudo de viabilidade/avaliação de impacto para a implementação dos requisitos de negócio propostos Avaliar os benefícios das soluções propostas para a operação de TI Avaliar os benefícios das soluções propostas para o negócio Desenvolver um processo de aprovação de requisitos; Aprovação e liberação das soluções propostas AI1 Definição e Manutenção de Requisitos Técnicos e Funcionais de Negócio AI1.2 Relatório de Análise de Risco AI 1 Identificar Soluções AutomatizadasAI 1 Identificar Soluções Automatizadas AI1.3 Estudo de Viabilidade e Formulação de Ações Alternativas AI1.4 Decisão e Aprovação de Requisitos e Estudo de Viabilidade AI2 Adquirir e Manter Software AplicativoAI2 Adquirir e Manter Software Aplicativo Adquirir e manter software aplicativo em conformidade com os requisitos de negócios ObjetivoTraduzir os requisitos de negócio em macro especificações de projeto Preparar projeto detalhado e requisitos técnicos dos softwares aplicativos Especificar no projeto os controles das aplicações Customizar e implementar as Customizar e implementar as funcionalidades automatizadas adquiridas; Desenvolver metodologias e processos formais para gerenciar o processo de desenvolvimento de aplicações Criar um plano de garantia da qualidade de software para os projetos Rastrear e gerenciar requisitos das aplicações Desenvolver um plano para a manutenção dos softwares aplicativos A12.1 Projeto em Nível Macro AI2.2 Projeto Detalhado AI2.3 Controle e Auditabilidade do Aplicativo AI2.4 Segurança e Disponibilidade do Aplicativo AI2 Adquirir e Manter Software AplicativoAI2 Adquirir e Manter Software Aplicativo AI2.5 Configuração e Implementação de Software Aplicativo Adquirido AI2.6 Principais Atualizações dos Sistemas Existentes AI2.7 Desenvolvimento de Software Aplicativo AI2.8 Garantia de Qualidade de Software AI2.9 Gestão dos Requisitos das Aplicações AI2.10 Manutenção de Software Aplicativo AI3 Adquirir e Manter Infraestrutura de AI3 Adquirir e Manter Infraestrutura de TecnologiaTecnologia Objetivo Definir processos/procedimentos de aquisição Negociar aquisição e adquirir a requerida infraestrutura com os fornecedores Adquir e manter a infraestrutura tecnológica alinhada com as necessidades de negócios e aplicações de negócios infraestrutura com os fornecedores Definir estratégia e plano de manutenção para a infraestrutura; Configurar componentes da infraestrutura AI3.1 Plano de Aquisição de Infraestrutura Tecnológica AI3.2 Infraestrutura de Recursos, Proteção e Disponibilidade AI3 Adquirir e Manter Infraestrutura de AI3 Adquirir e Manter Infraestrutura de TecnologiaTecnologia AI3.3 Manutenção da Infraestrutura AI3.4 Viabilidade do Ambiente de Teste AI4 Habilitar Operação e UsoAI4 Habilitar Operação e Uso Garantir a utilização correta e operação de aplicações e infraestrutura através de fornecimento de documentação e treinamento Objetivo Desenvolver estratégia para operacionalizar a solução Desenvolver metodologia de transferência de conhecimento Desenvolver manuais de procedimentos para usuários finais Desenvolver documentação de suporte técnico para equipes de operação e suporte Desenvolver e realizar treinamento Avaliar os resultados dos treinamentos e melhorar a documentação quando necessário AI4.1 Planejamento para Soluções Operacionais AI4.2 Transferência de Conhecimento ao Gerenciamento do Negócio AI4 Habilitar Operação e UsoAI4 Habilitar Operação e Uso AI4.3 Transferência de Conhecimento aos Usuários Finais AI4.4 Transferência de Conhecimento às Equipes de Operações e Suporte AI5 Adquirir Recursos de TIAI5 Adquirir Recursos de TI Adquir recursos de TI (pessoas, aplicações, informação e infraestrutura) ObjetivoDesenvolver políticas e procedimentos de aquisição de TI alinhadas com as políticas de aquisição corporativas Estabelecer/manter uma listagem de fornecedores homologados Avaliar e selecionar fornecedores através Avaliar e selecionar fornecedores através de processos de requisição de propostas (RFP - Request For Proposal) Desenvolver contratos que protejam os interesses corporativos Adquirir de acordo com os procedimentos estabelecidos Avaliar os resultados dos treinamentos e melhorar a documentação quando necessário AI5.1 Controle de Aquisição AI5.2 Gerenciamento de Contratos de Fornecedores AI5 Adquirir Recursos de TIAI5 Adquirir Recursos de TI AI5.3 Seleção de Fornecedores AI5.4 Aquisição de Recursos de TI AI6 Gerenciar MudançasAI6 Gerenciar Mudanças Gerenciar todas as mudanças relacionadas a infraestrutura e aplicações de maneira controlada ObjetivoDesenvolver e implementar um processo para registrar, avaliar e priorizar de forma consistente as solicitações de mudança Avaliar criticamente o impacto e priorizar mudanças baseadas em necessidades do negócio Assegurar que qualquer mudança crítica e emergencial siga o processo aprovado Autorizar mudanças Gerenciar e disseminar informações relevantes relacionadas a mudanças AI6.1 Padrões e Procedimentos de Mudança AI6.2 Avaliação de Impacto, Priorização e Autorização AI6 Gerenciar MudançasAI6 Gerenciar Mudanças AI6.3 Mudanças de Emergência AI6.4 Acompanhamento de Status e Relatórios de Mudanças AI6.5 Finalização da Mudança e Documentação AI7 Instalar e Homologar Soluções e AI7 Instalar e Homologar Soluções e MudançasMudanças Instalar e homologar novos sistemas e soluções alinhados com as expectativas e resultados acordados ObjetivoConfeccionar e revisar o planejamento de implantação Definir e revisar a estratégia de testes (critérios de entrada e saída) e a metodologia de planejamento de testes operacionais Confeccionar e manter um repositório de Confeccionar e manter um repositório de requisitos de negócio e técnicos e testes realizados em sistemas homologados Realizar os testes de conversão e integração no ambiente de testes Fornecer o ambiente de testes e conduzir os testes finais de aceitação Recomendar migração para produção baseado nos critérios de homologação acordados AI7.1 Treinamento AI7.2 Plano de Teste AI7.3 Plano de Implementação AI7.4 Ambiente de Testes AI7 Instalar e Homologar Soluções e AI7 Instalar e Homologar Soluções e MudançasMudanças AI7.5 Conversão de Dados e Sistemas AI7.6 Teste de Mudanças AI7.7Teste de Aceitação Final AI7.8 Promoção para a Produção AI7.9 Revisão pós-implementação Entrega e Suporte (DS)Entrega e Suporte (DS) Definição Este domínio cobre a entrega propriamente dita dos serviços requiridos, incluindo o gerenciamento de segurança e continuidade, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional Processos DS1 Definir e Gerenciar Níveis de Serviços DS2 Gerenciar Serviços Terceirizados DS3 Gerenciar o Desempenho e a Capacidade DS4 Assegurar a Continuidade dos Serviços DS5 Garantir a Segurança dos Sistemas DS6 Identificar e Alocar Custos DS7 Educar e Treinar os Usuários DS8 Gerenciar a Central de Serviço e os Incidentes DS9 Gerenciar a Configuração DS10 Gerenciar Problemas DS11 Gerenciar os Dados DS12 Gerenciar o Ambiente Físico DS13 Gerenciar as Operações PO8 Gerenciar qualidade PO9 Gerenciar riscos AI Aquisição e Implementação PO Planejamento e Organização Requisitos de negócios Requisitos externos (DS)(DS) Entrega Entrega e e SuporteSuporte DS3 Gerenciar desempenho e capacidade DS4 Assegurar continuidade de serviços DS5 DS6 Identificar e alocar custos DS1 Definir e gerenciar níveis de serviços DS2 Gerenciar serviços terceirizados DS11 Gerenciar dados DS12 Gerenciar ambiente físico DS13 Gerenciar operações PO Planejamento e Organização AI Aquisição e Implementação PO10 Gerenciar projetos ME1-4 Monitoramento e avalição DS5 Assegurar segurança de sistemas DS7 Educar e treinar usuários dados ambiente físico operações DS8 Gerenciar central de serviços e incidentes DS10 Gerenciar problemas DS9 Gerenciar configuração DS1 Definir e Gerenciar Níveis de ServiçoDS1 Definir e Gerenciar Níveis de Serviço Definir e gerenciar níveis de serviço com alinhamento entre serviços de TI e requisitos relacionados com os negócios Objetivo Criar uma estrutura para a definição de serviços de TI Produzir um catálogo de serviços de TI Definir acordos de níveis de serviços (SLAs) para serviços críticos de TI Definir acordos de níveis de operação Definir acordos de níveis de operação (OLAs) para atendimento de SLAs Monitorar e reportar o desempenho do nível de serviço fim-a-fim Revisar contratos de SLA e de fornecedores de serviços Revisar e atualizar o catálogo de serviços de TI Criar plano de melhoria de serviços DS1.1 Estrutura de Gestão de Níveis de Serviço DS1.2 Definição de Serviços DS1.3 Acordos de Nível de Serviço DS1 Definir e Gerenciar Níveis de ServiçoDS1 Definir e Gerenciar Níveis de Serviço DS1.3 Acordos de Nível de Serviço DS1.4 Acordos de Nível Operacional DS1.5 Monitoramento e Relatório de Realizações de Nível de Serviço DS1.6 Revisão dos Acordos de Nível de Serviço e dos Contratos DS2 Gerenciar Serviços TerceirizadosDS2 Gerenciar Serviços Terceirizados Gerenciar os serviços de fornecedores para atendimento dos requisitos de negócios com minização de riscos ObjetivoIdentificar e categorizar relacionamentos com prestadores de serviços terceirizados Definir e documentar o processo de gestão de fornecedores Estabelecer políticas e procedimentos de minização de riscosEstabelecer políticas e procedimentos de seleção e avaliação de fornecedores Identificar, avaliar criticamente e mitigar riscos de fornecimento Monitorar a entrega de serviços de fornecedores Avaliar os objetivos de longo prazo do relacionamento com fornecedores de serviços para todas as partes interessadas DS2.1 Identificação do Relacionamento com Todos os Fornecedores DS2.2 Gestão do Relacionamento com Fornecedores DS2 Gerenciar Serviços TerceirizadosDS2 Gerenciar Serviços Terceirizados DS2.3 Gerenciamento de Riscos do Fornecedor DS2.4 Monitoramento de Desempenho do Fornecedor DS3 Gerenciar o Desempenho e a DS3 Gerenciar o Desempenho e a CapacidadeCapacidade Gerenciar o desempenho e capacidade dos recursos de TI para garantir que suportem os requisitos de negócios e que estejam continuamente disponíveis ObjetivoEstabelecer um processo de planejamento para revisar o desempenho e capacidade de recursos de TI Revisar o desempenho e capacidade atuais de recursos de TI Conduzir previsão de desempenho e capacidade de recursos de TI continuamente disponíveiscapacidade de recursos de TI Conduzir análises de desvios para identificar erros de dimensionamento de recursos de TI Conduzir um plano de contingência para potenciais indisponibilidades de recursos de TI Monitorar constantemente e reportar a disponibilidade, desempenho e capacidade de recursos de TI DS3.1 Desempenho e Planejamento de Capacidade DS3.2 Capacidade e Desempenho Atuais DS3 Gerenciar o Desempenho e a DS3 Gerenciar o Desempenho e a CapacidadeCapacidade DS3.3 Capacidade e Desempenho Futuros DS3.4 Disponibilidade de Recursos de TI DS3.5 Monitoramento e Relatórios DS4 Assegurar a Continuidade dos ServiçosDS4 Assegurar a Continuidade dos Serviços Minimizar a probabilidade e impacto de grandes interrupções em serviços de TI em processos críticos de negócios ObjetivoDesenvolver uma estrutura de continuidade de TI; Realizar uma análise de impacto no negócio (BIA) e avaliação de riscos; Desenvolver e manter planos de continuidade de TI Identificar e categorizar recursos de TI baseado em objetivos de recuperação; Definir e executar procedimentos de controle de mudanças para assegurar a atualização do plano de mudanças para assegurar a atualização do plano de continuidade de TI Testar frequentemente o plano de continuidade de TI Desenvolver um plano de ações com base nos resultados dos testes Planejar e conduzir treinamento de continuidade de TI Planejar a recuperação dos serviços de TI Planejar e implementar a guarda e proteção das cópias de segurança (backup) Estabelecer procedimentos para condução de revisões pós-restabelecimento dos serviços DS4.1 Estrutura de Continuidade DS4.2 Planos de Continuidade de TI DS4.3 Recursos Críticos de TI DS4.4 Manutenção do Plano de Continuidade de TI DS4 Assegurar a Continuidade dos ServiçosDS4 Assegurar a Continuidade dos Serviços DS4.5 Teste do Plano de Continuidade de TI DS4.6 Treinamento do Plano de Continuidade de TI DS4.7 Distribuição do Plano de Continuidade DS4.8 Recuperação e Retomada dos Serviços de TI DS4.9 Armazenamento de Cópias de Segurança em Locais Remotos DS4.10 Revisão Pós-Retomada dos Serviços DS5 Garantir a Segurança dos SistemasDS5 Garantir a Segurança dos Sistemas Proteger todos ativos de TI para minimizar o impacto de vulnerabilidades de segurança e incidentes ObjetivoDefinir e manter um plano de segurança de TI Definir, implementar e operar um processo de gestão de identidades (contas) Monitorar incidentes de segurança reais e potenciais Revisar e validar periodicamente os privilégios e direitos Revisar e validar periodicamente os privilégios e direitos de acesso de usuários Implementar e manter procedimentos para manter e proteger chaves criptográficas Implementar e manter controles técnicos e procedimentais para proteger a comunicação de dados através das redes; Conduzir frequentemente análise de vulnerabilidades DS5.1 Gestão da Segurança de TI DS5.2 Plano de Segurança de TI DS5.3 Gestão de Identidade DS5.4 Gestão de Contas de Usuário DS5.5 Teste de Segurança, Vigilância e Monitoramento DS5 Garantir a Segurança dos SistemasDS5 Garantir a Segurança dos Sistemas DS5.5 Teste de Segurança, Vigilância e Monitoramento DS5.6 Definição de Incidente de Segurança DS5.7 Proteção da Tecnologia de Segurança DS5.8 Gestão de Chave CriptográficaDS5.9 Prevenção, Detecção e Correção de Software Malicioso DS5.10 Segurança de Rede DS5.11 Comunicação de Dados Confidenciais DS6 Identificar e Alocar CustosDS6 Identificar e Alocar Custos Identificar e alocar custos para garantir que a área de negócio tome mais decisões baseadas em informações com relação ao ObjetivoMapear a infraestrutura de TI em serviços fornecidos / processos de negócio suportados Identificar todos custos de TI (pessoas, tecnologia, etc) e mapeá-los aos serviços de TI de forma unitária uso de TI Estabelecer e manter processos de contabilidade e controle de custos de TI Estabelecer e manter políticas e procedimentos de custeio DS6.1 Definição de Serviços DS6.2 Contabilidade de TI DS6 Identificar e Alocar CustosDS6 Identificar e Alocar Custos DS6.3 Modelagem de Custo e Cobrança DS6.4 Manutenção do Modelo de Custo DS7 Educar e Treinar os UsuáriosDS7 Educar e Treinar os Usuários Educar e treinar usuários para garantir o uso efetivo de tecnologia e aplicações e conformidade com controles chaves de segurança ObjetivoIdentificar e caracterizar as necessidades de treinamento de usuários Criar um programa de treinamento com controles chaves de segurança Conduzir atividades de conscientização, educação e treinamento Realizar avaliação dos treinamentos Identificar e avaliar os melhores métodos e ferramentas de treinamento DS7.1 Identificação das Necessidades de Ensino e Treinamento DS7.2 Entrega de Treinamento e Ensino DS7 Educar e Treinar os UsuáriosDS7 Educar e Treinar os Usuários DS7.3 Avaliação do Treinamento Recebido DS8 Gerenciar a Central de Serviço e os DS8 Gerenciar a Central de Serviço e os IncidentesIncidentes Gerenciar central de serviços e incidentes para garantir no tempo apropriado e resposta efetiva de problemas e consultas de usuários ObjetivoCriar processos de classificação (severidade e impacto) e escalação (funcional e hierárquica); Detectar e registrar incidentes, solicitações de serviço e solicitações de informações Classificar, investigar e diagnosticar consultasClassificar, investigar e diagnosticar consultas Resolver, recuperar e fechar incidentes Informar usuários (por exemplo atualizações de status) Produzir relatórios gerenciais DS8 Central de Serviço DS8.2 Registro dos Chamados dos Clientes DS8 Gerenciar a Central de Serviço e os DS8 Gerenciar a Central de Serviço e os IncidentesIncidentes DS8.3 Escalonamento de Incidentes DS8.4 Encerramento de Incidente DS8.5 Relatórios e Análises de Tendências DS9 Gerenciar a ConfiguraçãoDS9 Gerenciar a Configuração Gerenciar a configuração para garantir a integridade de configurações de hardware e software através de um banco de dados completo de configuração ObjetivoDesenvolver procedimentos de planejamento de gestão de configuração Coletar informação de configuração inicial e estabelecer perfis básicos (baselines) de configuração Verificar e auditar informação de configuração (incluindo detecção de software não autorizado) Atualizar repositório de configuração DS9.1 Repositório de Configuração e Perfis Básicos DS9 Gerenciar a ConfiguraçãoDS9 Gerenciar a Configuração DS9.2 Identificação e Manutenção dos Itens de Configuração DS9.3 Revisão da Integridade de Configuração DS10 Gerenciar ProblemasDS10 Gerenciar Problemas Gerenciar problemas para melhorar os níveis de serviços, reduzir custos e melhorar a satisfação dos clientes ObjetivoIdentificar e classificar os problemas Realizar análises de causa-raiz Resolver problemasResolver problemas Avaliar o status dos problemas Emitir recomendações para melhoria e criar a respectiva solicitação de mudança (RFC); Manter registros de problemas DS10.1 Identificar e Classificar os Problemas DS10.2 Rastreamento e Resolução de Problemas DS10 Gerenciar ProblemasDS10 Gerenciar Problemas DS10.3 Encerramento do Problema DS10.4 Integração de Gerenciamento de Mudanças, Configuração e Problemas DS11 Gerenciar os DadosDS11 Gerenciar os Dados Gerenciar dados para garantir a qualidade, atualidade e disponibilidade dos dados de negócios ObjetivoTraduzir os requisitos de armazenamento e retenção de dados em procedimentos Definir, manter e implementar procedimentos para gerenciar biblioteca de mídias (fitoteca) Definir, implementar e manter procedimentos para dispensa de forma segura de equipamentos e mídias Realizar cópia de segurança (backup) de acordo com o esquema Definir, implementar e manter procedimentos para restauração de dados DS11.1 Requisitos de Negócio para o Gerenciamento de Dados DS11.2 Arranjos de Armazenamento e Retenção DS11.3 Sistema de Gerenciamento de Biblioteca de Mídia DS11 Gerenciar os DadosDS11 Gerenciar os Dados DS11.3 Sistema de Gerenciamento de Biblioteca de Mídia DS11.4 Descarte de Dados e Equipamentos DS11.5 Backup e Restauração DS11.6 Requisitos de Segurança para o Gerenciamento de Dados DS12 Gerenciar o Ambiente FísicoDS12 Gerenciar o Ambiente Físico Gerenciar o ambiente físico para reduzir interrupções de negócios por danos para equipamentos de TI ObjetivoDefinir o nível necessário de proteção física Selecionar e comissionar instalações físicas (data, center, escritório, etc) equipamentos de TI Implementar medidas no ambiente físico Gerenciar o ambiente físico (manutenção, monitoração e relatórios incluídos) Definir e implementar procedimentos para autorização e manutenção de acesso físico DS12.1 Seleção do Local e Layout DS12.2 Medidas de Segurança Física DS12 Gerenciar o Ambiente FísicoDS12 Gerenciar o Ambiente Físico DS12.3 Acesso Físico DS12.4 Proteção contra Fatores Ambientais DS12.5 Gerenciamento de Instalações Físicas DS13 Gerenciar as OperaçõesDS13 Gerenciar as Operações Este processo inclui a definição de políticas e procedimentos de operações para o gerenciamento eficaz do processamento agendado, proteção de resultados sigilosos, ObjetivoCriar / modificar procedimentos de operações (incluindo manuais, listas, documentações, procedimentos de escalação, etc) Agendar carga de trabalho e jobs (batch jobs) Monitorar a infraestrutura e processamento e resolver problemas agendado, proteção de resultados sigilosos, monitoramento de infraestrutura e manutenção preventiva de hardware Gerenciar e proteger os ativos físicos (papéis, mídias, etc) Aplicar correções ou mudanças ao processamento ou infraestrutura; Implementar / estabelecer um processo para salvaguarda de dispositivos de autenticação contra interferência, perda ou roubo; Programar e realizar manutenção preventiva DS13.1 Procedimentos e Instruções de Operações DS13.2 Agendamento de Jobs DS13 Gerenciar as OperaçõesDS13 Gerenciar as Operações DS13.3 Monitoramento da Infraestrutura de TI DS13.4 Documentos Confidenciais e Dispositivos de Saída DS13.5 Manutenção Preventiva de Hardware Monitoramento e Avaliação (ME)Monitoramento e Avaliação (ME) Definição Este domínio visa assegurar a qualidade dos processos de TI, assim como a sua governança e conformidade com os objetivos de controle, através dos mecanismos regulares de acompanhamento, monitoração dos controles internos e de avaliações internas e externas Processos ME1 Monitorar e Avaliar o Desempenho de TI ME2 Monitorar e Avaliar os Controles Internos ME3 Assegurar a Conformidade com Requisitos Externos ME4 Prover Governança de TI PO8 Gerenciar qualidade PO9 Gerenciar riscos AI Aquisição e Implementação PO Planejamento e Organização Requisitos de negócios Requisitos externos (ME)(ME) MonitoramentoMonitoramento ee AvaliaçãoAvaliaçãoDS3 Gerenciar desempenho e capacidade DS4 Assegurar continuidade de serviços DS Entrega e Suporte ME4 Prover governança ME1 Monitorar e avaliar desempenho de TI PO Planejamento e Organização AI Aquisição e Implementação PO10 Gerenciar projetos DS5 Assegurar segurança de sistemas DS7 Educar e treinar usuários DS Entrega e Suporte Prover governança ME2 Monitorar e avaliar controle interno ME3 Assegurar o cumprimento das regulamentações ME1 Monitorar e Avaliar o Desempenho de TIME1 Monitorar e Avaliar o Desempenho de TI Monitorar e avaliar o desempenho de TI para garantir que as coisas certas sejam feitas e estão conforme com as políticas e diretrizes ObjetivoEstabelecer uma abordagem de monitoração Identificar e coletar objetivos mensuráveis que sustentem os objetivos de negócio; Criar scorecards Avaliar criticamente o desempenho Reportar o desempenho Identificar e monitorar ações de melhoria de desempenho ME1.1 Abordagem de Monitoramento ME1.2 Definição e Coleta dos Dados de Monitoramento ME1.3 Método de Monitoramento ME1 Monitorar e Avaliar o Desempenho de TIME1 Monitorar e Avaliar o Desempenho de TI ME1.3 Método de Monitoramento ME1.4 Avaliação de Desempenho ME1.5 Relatórios para a Alta Direção ME1.6 Ações Corretivas ME2 Monitorar e Avaliar os Controles ME2 Monitorar e Avaliar os Controles InternosInternos Monitorar e avaliar controles internos para fornecer a garantia de operações eficientes e eficazes e conformidade com leis e regulamentos ObjetivoMonitorar e controlar atividades de controle interno de TI Monitorar o processo de auto-avaliação; Monitorar o desempenho de revisões, auditorias e avaliações independentes Monitorar o processo para auditar controles operados por terceiros Monitorar o processo para identificar e avaliar criticamente exceções de controles Monitorar o processo para identificar e corrigir exceções de controles Reportar a partes interessadas chave ME2.1 Monitoramento da Estrutura de Controles Internos ME2.2 Revisão Gerencial ME2.3 Exceções aos Controles ME2 Monitorar e Avaliar os Controles ME2 Monitorar e Avaliar os Controles InternosInternos ME2.4 Autoavaliação dos Controles ME2.5 Garantia dos Controles Internos ME2.6 Controles Internos Aplicados a Terceiros ME2.7 Ações Corretivas ME3 Assegurar a Conformidade com ME3 Assegurar a Conformidade com Requisitos ExternosRequisitos Externos Estabelecer um processo independente de revisão para garantir a conformidade de TI com leis e regulamentos ObjetivoDefinir e executar um processo para identificar requisitos legais, contratuais, de políticas e regulatórios; Avaliar a conformidade das atividades de TI com as políticas, padrões e procedimentos de TI regulamentos Reportar a conformidade positiva de atividades de TI com as políticas,padrões e procedimentos de TI Fornecer dados para o alinhamento de políticas, padrões e procedimentos de TI em resposta a requisitos de conformidade Integrar os relatórios de TI sobre requisitos regulatórios com produtos similares de outras áreas corporativas ME3.1 Identificação dos Requisitos de Conformidade com Leis, Regulamentações e Contratos Externos ME3.2 Otimização da Resposta aos Requisitos Externos ME3 Assegurar a Conformidade com ME3 Assegurar a Conformidade com Requisitos ExternosRequisitos Externos ME3.3 Avaliação da Conformidade com Requisitos Externos ME3.4 Assegurar a Conformidade ME3.5 Informes Integrados ME4 Prover Governança de TIME4 Prover Governança de TI Fornecer governança de TI através da garantia de Objetivo Estabelecer supervisão da Alta Direção sobre atividades de TI Revisar, endossar, alinhar e comunicar o desempenho, estratégia, gerenciamento de recursos, gerenciamento de riscos de TI com a estratégia de negócio que os investimentos em TI estejam alinhados e entregues de acordo com estratégias e objetivos empresariais Obter avaliação periódica independente sobre desempenho e conformidade com políticas, padrões e procedimentos; Resolver questionamentos levantados por avaliações independentes e assegurar a implementação das recomendações acordadas Gerar relatórios sobre a governança de TI ME4.1 Estabelecimento de uma Estrutura de Governança de TI ME4.2 Alinhamento Estratégico ME4.3 Entrega de Valor ME4 Prover Governança de TIME4 Prover Governança de TI ME4.4 Gerenciamento de Recursos ME4.5 Gestão de Riscos ME4.6 Medição de Desempenho ME4.7 Avaliação Independente Obrigado !Obrigado ! otaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.com 99829982--86458645
Compartilhar