COBIT 4.1 - Domínios e Processos - Prof. Otávio Frota

Prévia do material em texto

COBIT 4.1COBIT 4.1COBIT 4.1COBIT 4.1
Otávio Fernandes Frota 
Fortaleza-2012
Qualificação do InstrutorQualificação do Instrutor
Otávio FrotaOtávio Frota
�� MestreMestre emem AdministraçãoAdministração (UECE(UECE--20052005),), EspecialistaEspecialista emem GestãoGestão parapara ExecutivosExecutivos (UFC(UFC--
20002000),), EspecialistaEspecialista emem InformáticaInformática (UNIFOR(UNIFOR--19891989)) ee emem RedesRedes dede ComputadoresComputadores
(UNIFOR(UNIFOR--19941994)) ee GraduadoGraduado emem EngenhariaEngenharia CivilCivil (UNIFOR(UNIFOR--19861986))..
�� GerenteGerente dede InformáticaInformática dada CompanhiaCompanhia dede ÁguaÁgua ee EsgotoEsgoto dodo CearáCeará –– CAGECECAGECE
�� CertificaçõesCertificações emem ProjectProject ManagementManagement ProfessionalProfessional (PMP)(PMP) ee InformationInformation TechnologyTechnology
InfrastructureInfrastructure LibraryLibrary (ITIL),(ITIL), ControlControl ObjectivesObjectives forfor InformationInformation andand relatedrelated TechnologyTechnology
(COBIT),(COBIT), ITIT ServiceService ManagementManagement accordingaccording toto ISO/IECISO/IEC 2000020000 ee SixSix SigmaSigma GreenGreen BeltBelt
�� AtuouAtuou comocomo DiretorDiretor FinanceiroFinanceiro dodo PMIPMI CearáCeará nono períodoperíodo dede 20082008 aa 20112011
�� CoordenadorCoordenador dodo CursoCurso dede MBAMBA emem GovernançaGovernança dede TITI ,, GestãoGestão BancáriaBancária,, GerênciaGerência dede
SistemasSistemas dada EstácioEstácio dodo CearáCeará
�� ProfessorProfessor dede cursoscursos dede PósPós GraduaçãoGraduação emem UniversidadesUniversidades//FaculdadesFaculdades ((EstácioEstácio dodo CearáCeará,,
FGV,FGV, UNIFOR,UNIFOR, UECE,UECE, CHRISTUS,CHRISTUS, FANOR,FANOR, ATENEU)ATENEU)
�� TreinamentoTreinamento inin companycompany (Tribunal(Tribunal RegionalRegional dodo TrabalhoTrabalho –– MaceióMaceió,, JJ MacedoMacedo,,
ProcuradoriaProcuradoria GeralGeral dodo Estado,Estado, SoftiumSoftium InformáticaInformática,, CoelceCoelce,, AurigaAuriga,, TribunalTribunal dede JustiçaJustiça dodo
CearáCeará,, DERDER -- DepartamentoDepartamento dede EdificaçõesEdificações ee RodoviasRodovias,, EscolaEscola dede GestãoGestão PúblicaPública dodo
CearáCeará))
otaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.com
http://br.linkedin.com/pub/otaviohttp://br.linkedin.com/pub/otavio--frota/16/409/9b4 frota/16/409/9b4 http://br.linkedin.com/pub/otaviohttp://br.linkedin.com/pub/otavio--frota/16/409/9b4 frota/16/409/9b4 
99829982--86458645
CobiT 4.1CobiT 4.1CobiT 4.1CobiT 4.1
COBITCOBIT
CC
OBOB
ControlControl
OBjectivesOBjectives
II
TT
for Informationfor Information
and Related Technologyand Related Technology
O que é CobiT ?O que é CobiT ?
Control Objectives for Information and Related TechnologyControl Objectives for Information and Related Technology
Padrão de melhores práticas para auxiliar na associação entre os Padrão de melhores práticas para auxiliar na associação entre os 
riscos de negócios, as necessidades de controle e os riscos de negócios, as necessidades de controle e os 
aspectos tecnológicos, através de uma matriz de domínios, aspectos tecnológicos, através de uma matriz de domínios, 
processos e objetivos de controle.processos e objetivos de controle.
Alinhado com padrões Alinhado com padrões –––– ITIL, CMM, BS 7799, ISO 9001:2000.ITIL, CMM, BS 7799, ISO 9001:2000.
Origem em 1996 Origem em 1996 -- Atualmente na edição 4.1 Atualmente na edição 4.1 -- 20072007
Criado e mantido pelo ISACA Criado e mantido pelo ISACA –– Information Systems Audit and Information Systems Audit and 
Control AssociationControl Association
Missão do COBITMissão do COBIT
Pesquisar, desenvolver, publicar e promover um framework de Pesquisar, desenvolver, publicar e promover um framework de 
governança e controle de TI reconhecido, atualizado e governança e controle de TI reconhecido, atualizado e 
internacional aceito, para adoção pelas empresas e uso de internacional aceito, para adoção pelas empresas e uso de 
gestores de negócios, profissionais de TI, de segurança e gestores de negócios, profissionais de TI, de segurança e 
auditoria.auditoria.
• Administradores: para auxiliá-los na ponderação entre risco e 
investimento e controle de ambientes muitas vezes imprevisíveis 
como o de TI;
Aplicação do COBITAplicação do COBIT
• Usuários: para se certificarem da segurança e dos controles dos 
serviços de TI fornecidos internamente ou por terceiros;
• Auditores de Sistemas: para subsidiar suas opiniões e/ou 
prover aconselhamento aos administradores sobre controles 
internos.
The Information Systems Audit and Control The Information Systems Audit and Control 
Association (ISACA) Association (ISACA) 
Produtos do COBITProdutos do COBIT
Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1
Board Briefing on IT Governance
Guia executivo que aborda o entendimento da importância da Governança de TI e das suas principais 
características e responsabilidades da alta administração na sua condução
IT Assurance Guide
Fornece diretrizes em alto nível para a condução de iniciativas de testes e validação, visando garantir 
que os objetivos de controle do CobIT estejam corretamente implementados (substitui o antigo Audit 
Guidelines)
IT Governance Implementation GuideIT Governance Implementation Guide
Fornece um roteiro genérico para a implementação da Governança de TI, utilizando o framework do 
CobIT e outras ferramentas de suporte
IT Control Objectives for Sarbanes-Oxley
Orienta sobre como grarantir compliance com esta lei para o ambiente de TI com base no CobIT
CobIT Control Practices
Descreve em maiores detalhes as práticas de controle relacionadas aos 34 objetivos de controle de 
alto nível
IT Control Objectives for Basel II
Fornece diretrizes para o gerenciamento de riscos relacionados à informação no contexto do Acordo 
Basileia II com base no CobIT
Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1
CobIT Quickstart
Fornece uma base de controle para pequenas organizações e orienta empresas maiores a darem os 
primeiros passos na direção do controle dos seus processos
CobIT Security Baseline
Focaliza os passos principais para a implementação da segurança da informação em uma empresa, 
alinhada com a norma ISO/IEC 17799
Information Security Governance
Explica os conceitos relacionados à segurança da informação de uma forma mais próxima aos 
negócios, direcionada a alta administração das organizações
Mapping
Mapas de correção com outros modelos, tais como: ITIL, PMBOK, CMMI
VAL IT
Complementa o CobIT com uma perspectiva financeira e de negócios, fornecendo diretrizes para que 
as organizações gerenciem o seu portfólio de investimentos de negócio habilitados pela TI
Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1
Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1
Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1
Publicações complementares ao CobIT 4.1Publicações complementares ao CobIT 4.1
Componentes ChavesComponentes Chaves
• Requisitos de Qualidade
– Custo
– Qualidade
– Entrega
• Requisitos Fiduciários
– Eficiência
Requisitos de InformaçãoRequisitos de Informação
� Eficiência
� Eficácia 
� Confiabilidade
CritériosCritérios
– Eficiência
– Eficácia 
– Confiabilidade
– Conformidade
• Requisitos de Segurança
– Confidencialidade
– Integridade
– Disponibilidade
� Conformidade
� Confidencialidade
� Integridade
� Disponibilidade
Categorias de InformaçãoCategorias de Informação
Eficiência
Capacidade de Produzir o máximo nos resultados com o mínimo de recursos. Diz respeito à provisão da informação 
através douso otimizado (mais produtivo e econômico) dos recursos. Tem foco na otimização de custos.
Confiabilidade
Relaciona-se à provisão de informação apropriada para a gerência operar a entidade e para a gerência exercer suas 
Eficácia
É a capacidade de alçar metas e resultados propostos. Trata da informação que está sendo relevante e pertinente ao 
processo de negócio, bem como que esteja sendo entregue de um modo oportuno, correto, consistente e útil
Relaciona-se à provisão de informação apropriada para a gerência operar a entidade e para a gerência exercer suas 
responsabilidades de relatar aspectos de conformidade e finanças
Conformidade
Trata do cumprimento das leis, dos regulamentos e arranjos contratuais aos quais o processo de negócio está sujeito
Confidencialidade
Diz respeito à proteção da informação sigilosa contra a revelação não autorizada
Integridade
Relaciona-se à exatidão e à inteireza da informação bem como à sua validez de acordo com os valores e expectativas 
do negócio
Disponibilidade
Relaciona-se à informação que está sendo disponibilizada quando requerida pelo processo de negócio agora e no 
futuro. Também diz respeito à salvaguarda dos recursos necessários e às capacidades associadas. Tem foco na 
Entrega de serviços
Recursos de TIRecursos de TI
Informação
os dados de todos os formulários de entrada, processados e exibidos pelos sistemas de informação, 
podendo ser qualquer formulário que é usado pelo negócio
Aplicações
Sistemas automatizados e procedimentos manuais para processar informações
podendo ser qualquer formulário que é usado pelo negócio
Infra-estrutura
inclui hardware, sistemas operacionais, sistemas de banco de dados, rede, multimídia, etc. É tudo que 
é necessário para o funcionamento das aplicações
Pessoas
pessoal necessário para planejar, organizar, adquirir, implementar, entregar, dar suporte, monitorar e
avaliar os sistemas de informação e serviços. Podem ser internos ou terceirizados.
• 4 domínios
– Planejamento e Organização
– Aquisição e Implementação
Componentes do CobiTComponentes do CobiT
– Entrega e Suporte
– Monitoramento
• 34 objetivos de controle de alto nível
• 210 objetivos de controle detalhados
Evolução do COBITEvolução do COBIT
Componentes Componentes 
do COBITdo COBIT
Framework COBITFramework COBIT
Focado no 
Negócio
Baseado em 
Controles
Orientado a 
Processos
Direcionada a
Medição
Orientado a ProcessoOrientado a Processo
Planejamento e Organização (PO)
Monitoramento e Avaliação (ME)
Aquisição e 
Implementação
(AI)
Entrega e 
Suporte 
(DS)
Focado nos Requisitos de NegócioFocado nos Requisitos de Negócio
Requisitos de
Negócio
Direciona 
investimentos emQue responde a 
Recursos 
de TI
Processos
de TI
Informações
Que são utilizados 
porPara entrega de
Baseado em ControlesBaseado em Controles
Normas
Agir
Normas
Padrões
Objetivos
Processo
Controle da 
Informação
Compara
DefiniçõesDefinições
CONTROLECONTROLE
Controle envolve as políticas, procedimentos, práticas e Controle envolve as políticas, procedimentos, práticas e 
estruturas organizacionais projetadas para fornecer estruturas organizacionais projetadas para fornecer 
segurança para que os objetivos do negócio sejam segurança para que os objetivos do negócio sejam 
alcançados e eventos não desejados sejam prevenidos ou alcançados e eventos não desejados sejam prevenidos ou alcançados e eventos não desejados sejam prevenidos ou alcançados e eventos não desejados sejam prevenidos ou 
detectados e corrigidos.detectados e corrigidos.
OBJETIVOS DE CONTROLEOBJETIVOS DE CONTROLE
Definição de determinados objetivos ou resultados a serem Definição de determinados objetivos ou resultados a serem 
obtidos ao implementar procedimentos de controle em uma obtidos ao implementar procedimentos de controle em uma 
determinada atividade de TIdeterminada atividade de TI
Fronteiras de Negócios, Fronteiras de Negócios, 
Controles Gerais e de AplicativosControles Gerais e de Aplicativos
Process Control (PC) Process Control (PC) 
Controle Gerais de ProcessosControle Gerais de Processos
PC2 Propriedade dos Processos
Cada processo deve ter um responsável
PC1 Metas e Objetivos do Processo
Define e comunica as metas e objetivos específicos, mensuráveis, acionáveis, realísticos, orientados 
a resultados e no tempo apropriado para a efetiva execução de cada processo de TI..
PC3 Repetibilidade dos Processos
Os processos devem ser executados de forma consistente
PC4 Papéis e Responsabilidades
A responsabilidade pela execução das atividades dos processos deve ser atribuída a papéis 
específicos
PC5 Políticas Planos e Procedimentos
Políticas, planos e procedimentos associados aos processos devem ser documentados, revisados, 
mantidos atualizados e comunicados para os envolvidos
PC6 Melhoria do Processo de Performance
Os processos devem ter seu desempenho melhorado continuamente
Control Control 
Objectives Objectives 
(CO)(CO)
34 Processos34 Processos
210 Objetivos 210 Objetivos 
de Controlede Controle
Application Control (AC)Application Control (AC)
Controles de AplicativosControles de Aplicativos
AC2 Entrada e Coleta de Dados Fontes
Os dados devem ser alimentados de forma tempestiva por pessoas autorizadas, e eventuais 
correções não devem comprometer os níves de autorização do sistema
AC1 Preparação e Autorização de Dados Originais
Os documentos de origem devem ser preparados e aprovados segundo o critério de segregação de 
funções. Erros e omissões podem ser minizados e corrigidos.
AC3 Testes de Veracidade, Totalidade e AutenticidadeAC3 Testes de Veracidade, Totalidade e Autenticidade
Todas as transações devem ser precisas, completas e válidas
AC4 Processamento Íntegro e Válido
Os dados devem ser mantigos íntegros e válidos durante todo o ciclo de processamento
AC5 Revisão das Saídas, Reconciliação e Manuseio de Erros
As saídas do sistema devem ser verificadas quanto à precisão, protegidas durante a transmissão, 
entregues aos destinatários corretos e utilizadas corretamente
AC6 Autenticação e Integridade das Transações
Os dados passados entre aplicações ou áreas da organização devem ser verificados quanto à 
autenticidade e integridade
MediçãoMedição
NegócioNegócio
TI
Processo
Atividade
Indicadores de 
Desempenho
Medições de 
resultados
Modelos de 
maturidade
Medição de DesempenhoMedição de Desempenho
DS5 Garantir a segurança dos serviçosDS5 Garantir a segurança dos serviços
Modelo de MaturidadeModelo de Maturidade
Avaliação de MaturidadeAvaliação de Maturidade
0 Inexistente – Completa falta de um processo reconhecido. A empresa nem mesmo 
reconheceu que existe uma questão a ser trabalhada.
1 Inicial / Ad hoc – Existem evidências que a empresa reconheceu que existem 
questões e que precisam ser trabalhadas. No entanto, não existe processo 
padronizado; ao contrário, existem enfoques Ad Hoc que tendem a ser aplicados 
individualmente ou caso-a-caso. O enfoque geral de gerenciamento é desorganizado.
2 Repetível, porém Intuitivo – Os processos evoluíram para um estágio onde 
procedimentos similares são seguidos por diferentes pessoas fazendo a mesma tarefa. 
Não existe um treinamento formal ou uma comunicação dos procedimentos 
padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de 
Modelo de Maturidade GenéricoModelo de Maturidade Genérico
padronizados e a responsabilidade é deixado com o indivíduo. Há um alto grau de 
confiança no conhecimento dos indivíduos e conseqüentemente erros podem ocorrer.
3 Processo Definido – Procedimentos foram padronizados, documentados e 
comunicados através de treinamento. É mandatório que esses processos sejamseguidos; no entanto, possivelmente desvios não serão detectados. Os procedimentos 
não são sofisticados mas existe a formalização das práticas existentes.
4 Gerenciado e Mensurável – A gerencia monitora e mede a aderência aos 
procedimentos e adota ações onde os processos parecem não estar funcionando muito 
bem. Os processos estão debaixo de um constante aprimoramento e fornecem boas 
práticas. Automação e ferramentas são utilizadas de uma maneira limitada ou 
fragmentada.
5 Otimizado – Os processos foram refinados a um nível de boas práticas, baseado no 
resultado de um contínuo aprimoramento e modelagem da maturidade como outras 
organizações. TI é utilizada como um caminho integrado
PO2 PO2 
Definir a Definir a 
Arquitetura da Arquitetura da 
InformaçãoInformação
PO3 PO3 
Determinar as Determinar as 
Diretrizes de Diretrizes de 
TecnologiaTecnologia
PO1 PO1 
Definir um Definir um 
Plano Estratégico Plano Estratégico 
de TIde TI
PO4 PO4 
Definir os Processos, Definir os Processos, 
a Organização e osa Organização e os
Relacionamentos Relacionamentos 
de TIde TI
PO5 PO5 
Gerenciar o Gerenciar o 
Investimento Investimento 
de TIde TI
Planejamento e Organização ( PO)Planejamento e Organização ( PO)
Aquisição e Implementação (AI)Aquisição e Implementação (AI)
PO6 PO6 
Comunicar Comunicar 
Metas e Metas e 
Diretrizes Diretrizes 
GerenciaisGerenciais
PO7 PO7 
Gerenciar os Gerenciar os 
Recursos Humanos Recursos Humanos 
de TIde TI
PO8 PO8 
Gerenciar Gerenciar 
a Qualidadea Qualidade
PO9 PO9 
Avaliar e Avaliar e 
Gerenciar os Gerenciar os 
Riscos Riscos 
de TIde TI
PO10 PO10 
Gerenciar Gerenciar 
ProjetosProjetos
AI2 AI2 
Adquirir e Manter Adquirir e Manter 
Software AplicativoSoftware Aplicativo
AI3 AI3 
Adquirir e Manter Adquirir e Manter 
InfraestruturaInfraestrutura de Tecnologiade Tecnologia
AI 1AI 1
Identificar Soluções Identificar Soluções 
AutomatizadasAutomatizadas
AI4 AI4 
Habilitar Operação Habilitar Operação 
e Uso de TIe Uso de TI
AI6 AI6 AI7 AI7 AI5 AI5 
ME1
Monitorar e avaliar 
desempenho de TI
ME2
Monitorar e avaliar
controle interno
Monitoramento e Monitoramento e 
Avaliação Avaliação 
(ME)(ME)
AI6 AI6 
GerenciarGerenciar
MudançasMudanças
AI7 AI7 
Instalar e HomologarInstalar e Homologar
Soluções e MudançasSoluções e Mudanças
AI5 AI5 
Adquirir Adquirir 
Recursos de TIRecursos de TI
DS2DS2
Gerenciar Gerenciar 
Serviços Serviços 
TerceirizadosTerceirizados
DS3 DS3 
Gerenciar o Gerenciar o 
Desempenho e Desempenho e 
a Capacidadea Capacidade
DS1 DS1 
Definir e Gerenciar Definir e Gerenciar 
Níveis de ServiçosNíveis de Serviços
DS4 DS4 
Assegurar a Assegurar a 
Continuidade dos Continuidade dos 
ServiçosServiços
DS5 DS5 
Garantir a Garantir a 
Segurança dos Segurança dos 
SistemasSistemas
Entrega e Suporte (DS)Entrega e Suporte (DS)
DS6 DS6 
Identificar e Identificar e 
Alocar CustosAlocar Custos
DS7 DS7 
Educar e Educar e 
Treinar os UsuáriosTreinar os Usuários
DS8 DS8 
Gerenciar a Gerenciar a 
Central de Serviço Central de Serviço 
e os Incidentese os Incidentes
DS9 DS9 
Gerenciar a Gerenciar a 
ConfiguraçãoConfiguração
DS10 DS10 
Gerenciar Gerenciar 
ProblemasProblemas
ME4
Prover 
governança
ME3
Assegurar o 
Cumprimento das
regulamentações 
DS11 DS11 
Gerenciar os Gerenciar os 
DadosDados
DS12 DS12 
Gerenciar o Gerenciar o 
Ambiente FísicoAmbiente Físico
DS13 DS13 
Gerenciar as Gerenciar as 
OperaçõesOperações
Planejamento e Organização (PO)Planejamento e Organização (PO)
Definição
Este domínio tem abrangência estratégica e tática e identifica as formas através das quais a TI pode contribuir 
melhor para o atendimento dos objetivos de negócio, enolvolvendo planejamento, comunicação e gerenciamento 
dem diversas perspectivas
Processos
PO1 Definir um Plano Estratégico de TI
PO2 Definir a Arquitetura da Informação
PO3 Determinar as Diretrizes de Tecnologia
PO4 Definir os Processos, a Organização e os Relacionamentos de TI
PO5 Gerenciar o Investimento de TI
PO6 Comunicar Metas e Diretrizes Gerenciais
PO7 Gerenciar os Recursos Humanos de TI
PO8 Gerenciar a Qualidade
PO9 Avaliar e Gerenciar os Riscos de TI
PO10 Gerenciar Projetos
PO1
Definir o plano 
estratégido de TI
PO2
Definir arquitetura de 
PO3
Definir direcionamento
PO4
Definir organização e
relacionamentos da
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
AI
Aquisição e
Implementação
DS
Entrega e Suporte
Requisitos de
negócios
Requisitos 
externos
(PO)(PO)
Planejamento Planejamento 
e e 
OrganizaçãoOrganização
informação tecnológico
relacionamentos da
área de TI
PO5
Gerenciar 
investimentos de TI
PO6
Comunicar objetivos e 
metas gerenciais
PO7
Gerenciar recursos 
humanos
AI
Aquisição e Implementação
DS
Entrega e Suporte
PO10
Gerenciar projetos
ME1-4
Monitoramento e 
avalição
PO1 PO1 -- Definir o plano estratégico de TIDefinir o plano estratégico de TI
Planejamento Corporativo
Vincular objetivos de negócio com 
objetivos de TI
Identificar as dependências críticas e o 
desempenho atual
Definir um plano estratégico de TI para gerenciar e 
direcionar todos recursos de TI alinhado com as 
prioridades e estratégias de negócios
Objetivo
Produzir um plano estratégico de TI
Produzir um plano tático de TI
Analisar o portfólio de programas e 
gerenciar portfólio de projetos e 
serviços
PO1 Definir um Plano Estratégico de TIPO1 Definir um Plano Estratégico de TI
PO1.1 Gerenciamento de Valor da TI
PO1.2 Alinhamento entre TI e Negócio
PO1.3 Avaliação da Capacidade e Desempenho Correntes
PO1.4 Plano Estratégico de TI
PO1.5 Planos Táticos de TI
PO1.6 Gerenciamento do Portfólio de TI
PO2 Definir a Arquitetura da InformaçãoPO2 Definir a Arquitetura da Informação
Criar e manter o modelo de informação 
corporativa
Criar e manter os dicionários de dados 
corporativos
Estabelecer e manter uma estrutura de 
classificação de dados
Ciar e atualizar regularmente um modelo de 
informações de negócios e definir um sistema 
apropriado para otimizar o uso da informação
Objetivo
classificação de dados
Fornecer aos proprietários de dados 
procedimentos e ferramentas para 
classificação dos sistemas de informação
Utilizar o modelo de informação, 
dicionário de dados e estrutura de 
classificação para planejar sistemas 
otimizados
PO2.1 Modelo de Arquitetura da Informação da Organização
PO2.2 Dicionário de Dados Corporativos e Regras de Sintaxe de Dados
PO2 Definir a Arquitetura da InformaçãoPO2 Definir a Arquitetura da Informação
PO2.3 Esquema de Classificação de Dados
PO2.4 Gerenciamento de Integridade
PO3 Determinar as Diretrizes da TecnologiaPO3 Determinar as Diretrizes da Tecnologia
Determinar o direcionamento tecnológico para 
suportar os objetivos e metas de negócios
ObjetivoCriar e manter um planejamento de infraestrutura tecnológica
Criar e manter padrões tecnológicos
Publicar padrões tecnológicosPublicar padrões tecnológicos
Monitorar evolução tecnológica
Definir uso (futuro) (estratégico) de novas 
tecnologias
PO3.1 Planejamento da Diretriz Tecnológica
PO3.2 Plano de Infraestrutura Tecnológica
PO3 Determinar as Diretrizes da TecnologiaPO3 Determinar as Diretrizes da Tecnologia
PO3.3 Monitoramento de Regulamentos e Tendências Futuras
PO3.4 Padrões Tecnológicos
PO3.5 Conselho de Arquitetura de TI
PO4 Definir os Processos, Organização e PO4 Definir os Processos, Organização e 
Relacionamentos de TIRelacionamentos de TI
Definir uma organização de TI considerando 
requisitos de competências, funções, autoridade,papéis, responsabilidade e supervisão. 
ObjetivoEstabelecer a estrutura organizacional de TI, incluindo comitês e relacionamentos 
com partes interessadas e fornecedores
Projetar a estrutura de processos de TI
Identificar os proprietários dos sistemas
Identificar os proprietários dos dados
Estabelecer e implementar papéis, 
funções e responsabilidades de TI, 
incluindo supervisão e segregação de 
atividades
PO4.1 Estrutura de Processos de TI
PO4.2 Comitê Estratégico de TI
PO4.3 Comitê Executivo de TI
PO4.4 Posicionamento Organizacional da área de TI
PO4.5 Estrutura Organizacional de TI
PO4.6 Definição de Papéis e Responsabilidades
PO4.7 Responsabilidade pela Garantia de Qualidade
PO4 Definir os Processos, Organização e PO4 Definir os Processos, Organização e 
Relacionamentos de TIRelacionamentos de TI
PO4.7 Responsabilidade pela Garantia de Qualidade
PO4.8 Responsabilidade por Riscos, Segurança e Conformidade
PO4.9 Proprietários de Dados e Sistemas
PO4.10 Supervisão
PO4.11 Segregação de Funções
PO4.12 Recrutamento de pessoal de TI
PO4.13 Pessoal Chave de TI
PO4.14 Políticas e Procedimentos para Pessoal Contratado
PO4.15 Relacionamentos
PO5 Gerenciar o Investimento de TIPO5 Gerenciar o Investimento de TI
Definir e manter um modelo para gerenciar 
programas de investimentos de TI 
ObjetivoManter portfólio de programas
Manter portfólio de projetos
Manter portfólio de serviçosManter portfólio de serviços
Estabelecer e manter o processo 
orçamentário de TI
Identificar, comunicar e monitorar os 
investimentos em TI, custos e valor para 
o negócio
PO5.1 Estrutura da Administração Financeira
PO5.2 Priorização dentro do Orçamento de TI
PO5 Gerenciar o Investimento de TIPO5 Gerenciar o Investimento de TI
PO5.3 Processo de Orçamento de TI
PO5.4 Gerenciamento de Custo
PO5.5 Gerenciamento de Benefícios
PO6 Comunicar Metas e Diretrizes PO6 Comunicar Metas e Diretrizes 
GerenciaisGerenciais
Para comunicar objetivos de gestão através de um 
modelo de controle de TI, e definir e comunicar 
políticas de TI
ObjetivoEstabelecer e manter a estrutura e ambiente de controle de TI
Desenvolver e manter as políticas de TI
Comunicar a estrutura de controle, os Comunicar a estrutura de controle, os 
objetivos e as diretrizes de TI
PO6.1 Política de TI e Ambiente de Controle
PO6.2 Risco de TI Corporativo e Estrutura Interna de Controle
PO6 Comunicar Metas e Diretrizes PO6 Comunicar Metas e Diretrizes 
GerenciaisGerenciais
PO6.3 Gerenciamento de Políticas de TI
PO6.4 Distribuição da Política
PO6.5 Comunicação dos Objetivos e Diretrizes de TI
PO7 Gerenciar os Recursos Humanos de TIPO7 Gerenciar os Recursos Humanos de TI
Gerenciar recursos humanos através da 
aquisição, manutenção e motivação de uma 
competente força de trabalho para a criação e 
entrega de serviços de TI para o negócio
ObjetivoIdentificar habilidades, descrição de cargos, faixas salariais e comparações de 
desempenho individual com o mercado 
(benchmarks) para TI;
Executar políticas e procedimentos de RH Executar políticas e procedimentos de RH 
relevantes para TI (recrutamento, 
contratação, compensação, treinamento, 
avaliação, promoção e desligamento)
PO7.1 Recrutamento e Retenção de Pessoal
PO7.2 Competências Pessoais
PO7.3 Preenchimento de Vagas
PO7 Gerenciar os Recursos Humanos de TIPO7 Gerenciar os Recursos Humanos de TI
PO7.4 Treinamento do Pessoal
PO7.5 Dependência de Indivíduos
PO7.6 Procedimentos de Liberação de Pessoal
PO7.7 Avaliação de Desempenho Profissional
PO7.8 Mudança e Desligamento de Cargo
PO8 Gerenciar a QualidadePO8 Gerenciar a Qualidade
Gerenciar qualidade através de desenvolvimento e 
manutenção de sistemas de gerenciamento da 
quualidade, que incluem padrões e processos 
para a melhoria da qualidade
ObjetivoDefinir um sistema de gerenciamento da qualidade (SGQ)
Estabelecer e manter um sistema de 
gerenciamento da qualidade
Criar e comunicar padrões de qualidade Criar e comunicar padrões de qualidade 
para a organização
Criar e manter o planejamento de 
qualidade para melhoria contínua
Medir, monitorar e revisar criticamente a 
conformidade com os objetivos de 
qualidade
PO8.1 Sistema de Gerenciamento de Qualidade (SGQ)
PO8.2 Padrões e Práticas de Qualidade de TI
PO8.3 Padrões de Desenvolvimento e Aquisição
PO8 Gerenciar a QualidadePO8 Gerenciar a Qualidade
PO8.3 Padrões de Desenvolvimento e Aquisição
PO8.4 Foco no Cliente
PO8.5 Melhoria Contínua
PO8.6 Medição, Monitoramento e Revisão da Qualidade
PO9 Avaliar e Gerenciar os Riscos de TIPO9 Avaliar e Gerenciar os Riscos de TI
Avaliar e gerenciar riscos de TI através da criação 
e manutenção de modelo de gerenciamento de 
riscos
ObjetivoPromover o alinhamento da gestão de riscos (por exemplo: avaliação de riscos)
Entender os objetivos estratégicos de 
negócio relevantes
Entender os objetivos de processos de 
negócio relevantes
Identificar objetivos internos de TI e 
estabelecer contexto de risco;
Identificar eventos associados com 
objetivos 
Avaliar criticamente os riscos associados 
com eventos
Avaliar respostas aos eventos
Planejar e priorizar as atividades de 
controle
Aprovar e assegurar o financiamento de 
planos de ações para riscos;
Manter e monitorar os planos de ações 
para riscos
PO9.1 Alinhamento da gestão de riscos de TI e de Negócios
PO9.2 Estabelecimento do Contexto de Risco
PO9.3 Identificação de Eventos
PO9 Avaliar e Gerenciar os Riscos de TIPO9 Avaliar e Gerenciar os Riscos de TI
PO9.4 Avaliação de Risco
PO9.5 Resposta ao Risco
PO9.6 Manutenção e Monitoramento do Plano de Ação de Risco
PO10 Gerenciar ProjetosPO10 Gerenciar Projetos
Gerenciar projetos através de modelo de 
gerenciamento de programas e projetos para 
gerenciamento de todos projetos de TI
ObjetivoDefinir uma estrutura de gerenciamento de programas e portfólios para os 
investimentos de TI
Estabelecer e manter uma estrutura de 
gerenciamento de projetos
Estabelecer e manter um sistema de 
gerenciamento, monitoramento e 
acompanhamento de projetos de TIacompanhamento de projetos de TI
Criar cronogramas, planos de qualidade, 
orçamentos, planos de comunicação e 
planos de gerenciamento de riscos para 
projetos;
Assegurar a participação e compromisso 
das partes interessadas
Assegurar o controle eficaz de projetos e 
de mudanças em projetos;
Definir e implementar uma metodologia 
de revisão e qualidade em projetos
PO10.1 Estrutura de Gestão de Programas
PO10.2 Estrutura de Gestão de Projetos
PO10.3 Abordagem da Gestão de Projetos
PO10.4 Comprometimento das Partes Interessadas
PO10.5 Declaração do Escopo do Projeto
PO10.6 Fase de Início do Projeto
PO10 Gerenciar ProjetosPO10 Gerenciar Projetos
PO10.6 Fase de Início do Projeto
PO10.7 Plano Integrado de Projeto
PO10.8 Recursos do Projeto
PO10.9 Gestão de Risco do Projeto
PO10.10 Plano de Qualidade de Projeto
PO10.11 Controle de Mudança de Projeto
PO10.12 Planejamento de métodos de validação
PO10.13 Medição de Desempenho, Monitoramento e Reporte do Projeto
PO10.14 Conclusão do Projeto
PO10
Gerenciar projetos
Aquisição e Implementação (AI)Aquisição e Implementação (AI)
Definição
Este domínio cobre a identificação, desenvolvimento e/ou aquisição de soluções de TI para executar a estratégia de 
TI estabelecida, assim como a sua implementação e integração junto aos processos de negócio. Mudanças e 
manutenções em sistemas existentes também estão cobertas por este domínio, para garantir a continuidade dos 
respectivos ciclos de vida.
Processos
AI 1 Identificar Soluções Automatizadas
AI2 Adquirir e Manter Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de Tecnologia
AI4 HabilitarOperação e Uso
AI5 Adquirir Recursos de TI
AI6 Gerenciar Mudanças
AI7 Instalar e Homologar Soluções e Mudanças
AI1
Identificar soluções
automatizadas
DS9
Gerenciar
configuração
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
DS
Entrega e Suporte
PO
Planejamento e 
Organização
Requisitos de
negócios
Requisitos 
externos
(AI)(AI)
Aquisição Aquisição 
e e 
ImplementaçãoImplementação
AI6
Gerenciar mudanças
PO
Planejamento e Organização
DS
Entrega e Suporte
PO10
Gerenciar projetos
ME1-4
Monitoramento e 
avaliçãoAI7
Instalar e credenciar 
soluções e mudanças
AI3
Adquirir e manter
infraestrutura 
tecnológica
AI2
Adquirir e manter
software aplicativo
AI4
Habilitar operação
e uso
AI5
Adquirir
recursos de TI
AI 1 Identificar Soluções AutomatizadasAI 1 Identificar Soluções Automatizadas
Analisar a necessidade por novas aplicações ou 
funções, antes da aquisição ou criação e garantir 
que os requisitos de negócios são satisfeitos 
numa abordagem eficiente e eficaz
Objetivo
Definir requisitos técnicos e funcionais de 
negócio
Estabelecer processos para 
integridade/atualização de requisitos
Identificar, documentar e analisar os 
riscos de processos de negócio
Conduzir um estudo de Conduzir um estudo de 
viabilidade/avaliação de impacto para a 
implementação dos requisitos de negócio 
propostos
Avaliar os benefícios das soluções 
propostas para a operação de TI
Avaliar os benefícios das soluções 
propostas para o negócio
Desenvolver um processo de aprovação 
de requisitos;
Aprovação e liberação das soluções 
propostas
AI1 Definição e Manutenção de Requisitos Técnicos e Funcionais de Negócio
AI1.2 Relatório de Análise de Risco
AI 1 Identificar Soluções AutomatizadasAI 1 Identificar Soluções Automatizadas
AI1.3 Estudo de Viabilidade e Formulação de Ações Alternativas
AI1.4 Decisão e Aprovação de Requisitos e Estudo de Viabilidade
AI2 Adquirir e Manter Software AplicativoAI2 Adquirir e Manter Software Aplicativo
Adquirir e manter software aplicativo em 
conformidade com os requisitos de negócios
ObjetivoTraduzir os requisitos de negócio em macro especificações de projeto
Preparar projeto detalhado e requisitos 
técnicos dos softwares aplicativos
Especificar no projeto os controles das 
aplicações
Customizar e implementar as Customizar e implementar as 
funcionalidades automatizadas 
adquiridas;
Desenvolver metodologias e processos 
formais para gerenciar o processo de 
desenvolvimento de aplicações
Criar um plano de garantia da qualidade 
de software para os projetos
Rastrear e gerenciar requisitos das 
aplicações
Desenvolver um plano para a 
manutenção dos softwares aplicativos
A12.1 Projeto em Nível Macro
AI2.2 Projeto Detalhado
AI2.3 Controle e Auditabilidade do Aplicativo
AI2.4 Segurança e Disponibilidade do Aplicativo
AI2 Adquirir e Manter Software AplicativoAI2 Adquirir e Manter Software Aplicativo
AI2.5 Configuração e Implementação de Software Aplicativo Adquirido
AI2.6 Principais Atualizações dos Sistemas Existentes
AI2.7 Desenvolvimento de Software Aplicativo
AI2.8 Garantia de Qualidade de Software
AI2.9 Gestão dos Requisitos das Aplicações
AI2.10 Manutenção de Software Aplicativo
AI3 Adquirir e Manter Infraestrutura de AI3 Adquirir e Manter Infraestrutura de 
TecnologiaTecnologia
Objetivo
Definir processos/procedimentos de 
aquisição
Negociar aquisição e adquirir a requerida 
infraestrutura com os fornecedores
Adquir e manter a infraestrutura tecnológica 
alinhada com as necessidades de negócios e 
aplicações de negócios
infraestrutura com os fornecedores
Definir estratégia e plano de manutenção 
para a infraestrutura;
Configurar componentes da infraestrutura
AI3.1 Plano de Aquisição de Infraestrutura Tecnológica
AI3.2 Infraestrutura de Recursos, Proteção e Disponibilidade
AI3 Adquirir e Manter Infraestrutura de AI3 Adquirir e Manter Infraestrutura de 
TecnologiaTecnologia
AI3.3 Manutenção da Infraestrutura
AI3.4 Viabilidade do Ambiente de Teste
AI4 Habilitar Operação e UsoAI4 Habilitar Operação e Uso
Garantir a utilização correta e operação de 
aplicações e infraestrutura através de 
fornecimento de documentação e treinamento
Objetivo
Desenvolver estratégia para 
operacionalizar a solução
Desenvolver metodologia de 
transferência de conhecimento
Desenvolver manuais de procedimentos 
para usuários finais
Desenvolver documentação de suporte 
técnico para equipes de operação e 
suporte
Desenvolver e realizar treinamento
Avaliar os resultados dos treinamentos e 
melhorar a documentação quando 
necessário
AI4.1 Planejamento para Soluções Operacionais
AI4.2 Transferência de Conhecimento ao Gerenciamento do Negócio
AI4 Habilitar Operação e UsoAI4 Habilitar Operação e Uso
AI4.3 Transferência de Conhecimento aos Usuários Finais
AI4.4 Transferência de Conhecimento às Equipes de Operações e Suporte
AI5 Adquirir Recursos de TIAI5 Adquirir Recursos de TI
Adquir recursos de TI (pessoas, aplicações, 
informação e infraestrutura)
ObjetivoDesenvolver políticas e procedimentos de aquisição de TI alinhadas com as 
políticas de aquisição corporativas
Estabelecer/manter uma listagem de 
fornecedores homologados
Avaliar e selecionar fornecedores através Avaliar e selecionar fornecedores através 
de processos de requisição de propostas 
(RFP - Request For Proposal)
Desenvolver contratos que protejam os 
interesses corporativos
Adquirir de acordo com os procedimentos 
estabelecidos
Avaliar os resultados dos treinamentos e 
melhorar a documentação quando 
necessário
AI5.1 Controle de Aquisição
AI5.2 Gerenciamento de Contratos de Fornecedores
AI5 Adquirir Recursos de TIAI5 Adquirir Recursos de TI
AI5.3 Seleção de Fornecedores
AI5.4 Aquisição de Recursos de TI
AI6 Gerenciar MudançasAI6 Gerenciar Mudanças
Gerenciar todas as mudanças relacionadas a 
infraestrutura e aplicações de maneira controlada
ObjetivoDesenvolver e implementar um processo para registrar, avaliar e priorizar de forma 
consistente as solicitações de mudança
Avaliar criticamente o impacto e priorizar 
mudanças baseadas em necessidades do 
negócio
Assegurar que qualquer mudança crítica 
e emergencial siga o processo aprovado
Autorizar mudanças
Gerenciar e disseminar informações 
relevantes relacionadas a mudanças
AI6.1 Padrões e Procedimentos de Mudança
AI6.2 Avaliação de Impacto, Priorização e Autorização
AI6 Gerenciar MudançasAI6 Gerenciar Mudanças
AI6.3 Mudanças de Emergência
AI6.4 Acompanhamento de Status e Relatórios de Mudanças
AI6.5 Finalização da Mudança e Documentação
AI7 Instalar e Homologar Soluções e AI7 Instalar e Homologar Soluções e 
MudançasMudanças
Instalar e homologar novos sistemas e soluções 
alinhados com as expectativas e resultados 
acordados
ObjetivoConfeccionar e revisar o planejamento de 
implantação
Definir e revisar a estratégia de testes 
(critérios de entrada e saída) e a 
metodologia de planejamento de testes 
operacionais
Confeccionar e manter um repositório de Confeccionar e manter um repositório de 
requisitos de negócio e técnicos e testes 
realizados em sistemas homologados
Realizar os testes de conversão e 
integração no ambiente de testes
Fornecer o ambiente de testes e conduzir 
os testes finais de aceitação
Recomendar migração para produção 
baseado nos critérios de homologação 
acordados
AI7.1 Treinamento
AI7.2 Plano de Teste
AI7.3 Plano de Implementação
AI7.4 Ambiente de Testes
AI7 Instalar e Homologar Soluções e AI7 Instalar e Homologar Soluções e 
MudançasMudanças
AI7.5 Conversão de Dados e Sistemas
AI7.6 Teste de Mudanças
AI7.7Teste de Aceitação Final
AI7.8 Promoção para a Produção
AI7.9 Revisão pós-implementação
Entrega e Suporte (DS)Entrega e Suporte (DS)
Definição
Este domínio cobre a entrega propriamente dita dos serviços requiridos, incluindo o gerenciamento de segurança e 
continuidade, suporte aos serviços para os usuários, gestão dos dados e da infraestrutura operacional
Processos
DS1 Definir e Gerenciar Níveis de Serviços
DS2 Gerenciar Serviços Terceirizados
DS3 Gerenciar o Desempenho e a Capacidade
DS4 Assegurar a Continuidade dos Serviços
DS5 Garantir a Segurança dos Sistemas
DS6 Identificar e Alocar Custos
DS7 Educar e Treinar os Usuários
DS8 Gerenciar a Central de Serviço e os Incidentes
DS9 Gerenciar a Configuração
DS10 Gerenciar Problemas
DS11 Gerenciar os Dados
DS12 Gerenciar o Ambiente Físico
DS13 Gerenciar as Operações
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
AI
Aquisição e 
Implementação
PO
Planejamento e 
Organização
Requisitos de
negócios
Requisitos 
externos
(DS)(DS)
Entrega Entrega 
e e 
SuporteSuporte
DS3
Gerenciar
desempenho e 
capacidade
DS4
Assegurar
continuidade de
serviços
DS5
DS6
Identificar e 
alocar custos
DS1
Definir e gerenciar
níveis de serviços
DS2
Gerenciar
serviços 
terceirizados
DS11
Gerenciar
dados
DS12
Gerenciar
ambiente físico
DS13
Gerenciar
operações
PO
Planejamento e Organização
AI
Aquisição e Implementação
PO10
Gerenciar projetos
ME1-4
Monitoramento e 
avalição
DS5
Assegurar
segurança de
sistemas
DS7
Educar e treinar
usuários
dados ambiente físico operações
DS8
Gerenciar
central de serviços
e incidentes
DS10
Gerenciar
problemas
DS9
Gerenciar
configuração
DS1 Definir e Gerenciar Níveis de ServiçoDS1 Definir e Gerenciar Níveis de Serviço
Definir e gerenciar níveis de serviço com 
alinhamento entre serviços de TI e requisitos 
relacionados com os negócios
Objetivo
Criar uma estrutura para a definição de 
serviços de TI
Produzir um catálogo de serviços de TI
Definir acordos de níveis de serviços 
(SLAs) para serviços críticos de TI
Definir acordos de níveis de operação Definir acordos de níveis de operação 
(OLAs) para atendimento de SLAs
Monitorar e reportar o desempenho do 
nível de serviço fim-a-fim
Revisar contratos de SLA e de 
fornecedores de serviços
Revisar e atualizar o catálogo de serviços 
de TI
Criar plano de melhoria de serviços
DS1.1 Estrutura de Gestão de Níveis de Serviço
DS1.2 Definição de Serviços
DS1.3 Acordos de Nível de Serviço
DS1 Definir e Gerenciar Níveis de ServiçoDS1 Definir e Gerenciar Níveis de Serviço
DS1.3 Acordos de Nível de Serviço
DS1.4 Acordos de Nível Operacional
DS1.5 Monitoramento e Relatório de Realizações de Nível de Serviço
DS1.6 Revisão dos Acordos de Nível de Serviço e dos Contratos
DS2 Gerenciar Serviços TerceirizadosDS2 Gerenciar Serviços Terceirizados
Gerenciar os serviços de fornecedores para 
atendimento dos requisitos de negócios com 
minização de riscos
ObjetivoIdentificar e categorizar relacionamentos com prestadores de serviços 
terceirizados
Definir e documentar o processo de 
gestão de fornecedores
Estabelecer políticas e procedimentos de 
minização de riscosEstabelecer políticas e procedimentos de 
seleção e avaliação de fornecedores
Identificar, avaliar criticamente e mitigar 
riscos de fornecimento
Monitorar a entrega de serviços de 
fornecedores
Avaliar os objetivos de longo prazo do 
relacionamento com fornecedores de 
serviços para todas as partes 
interessadas
DS2.1 Identificação do Relacionamento com Todos os Fornecedores
DS2.2 Gestão do Relacionamento com Fornecedores
DS2 Gerenciar Serviços TerceirizadosDS2 Gerenciar Serviços Terceirizados
DS2.3 Gerenciamento de Riscos do Fornecedor
DS2.4 Monitoramento de Desempenho do Fornecedor
DS3 Gerenciar o Desempenho e a DS3 Gerenciar o Desempenho e a 
CapacidadeCapacidade
Gerenciar o desempenho e capacidade dos 
recursos de TI para garantir que suportem os 
requisitos de negócios e que estejam 
continuamente disponíveis
ObjetivoEstabelecer um processo de planejamento para revisar o desempenho 
e capacidade de recursos de TI
Revisar o desempenho e capacidade 
atuais de recursos de TI
Conduzir previsão de desempenho e 
capacidade de recursos de TI continuamente disponíveiscapacidade de recursos de TI
Conduzir análises de desvios para 
identificar erros de dimensionamento de 
recursos de TI
Conduzir um plano de contingência para 
potenciais indisponibilidades de recursos 
de TI
Monitorar constantemente e reportar a 
disponibilidade, desempenho e 
capacidade de recursos de TI
DS3.1 Desempenho e Planejamento de Capacidade
DS3.2 Capacidade e Desempenho Atuais
DS3 Gerenciar o Desempenho e a DS3 Gerenciar o Desempenho e a 
CapacidadeCapacidade
DS3.3 Capacidade e Desempenho Futuros
DS3.4 Disponibilidade de Recursos de TI
DS3.5 Monitoramento e Relatórios
DS4 Assegurar a Continuidade dos ServiçosDS4 Assegurar a Continuidade dos Serviços
Minimizar a probabilidade e impacto de 
grandes interrupções em serviços de TI em 
processos críticos de negócios
ObjetivoDesenvolver uma estrutura de continuidade de TI;
Realizar uma análise de impacto no negócio (BIA) e 
avaliação de riscos;
Desenvolver e manter planos de continuidade de TI
Identificar e categorizar recursos de TI baseado em 
objetivos de recuperação;
Definir e executar procedimentos de controle de 
mudanças para assegurar a atualização do plano de mudanças para assegurar a atualização do plano de 
continuidade de TI
Testar frequentemente o plano de continuidade de TI
Desenvolver um plano de ações com base nos 
resultados dos testes
Planejar e conduzir treinamento de continuidade de TI
Planejar a recuperação dos serviços de TI
Planejar e implementar a guarda e proteção das cópias 
de segurança (backup)
Estabelecer procedimentos para condução de revisões 
pós-restabelecimento dos serviços
DS4.1 Estrutura de Continuidade
DS4.2 Planos de Continuidade de TI
DS4.3 Recursos Críticos de TI
DS4.4 Manutenção do Plano de Continuidade de TI
DS4 Assegurar a Continuidade dos ServiçosDS4 Assegurar a Continuidade dos Serviços
DS4.5 Teste do Plano de Continuidade de TI
DS4.6 Treinamento do Plano de Continuidade de TI
DS4.7 Distribuição do Plano de Continuidade
DS4.8 Recuperação e Retomada dos Serviços de TI
DS4.9 Armazenamento de Cópias de Segurança em Locais Remotos
DS4.10 Revisão Pós-Retomada dos Serviços
DS5 Garantir a Segurança dos SistemasDS5 Garantir a Segurança dos Sistemas
Proteger todos ativos de TI para minimizar 
o impacto de vulnerabilidades de segurança 
e incidentes
ObjetivoDefinir e manter um plano de segurança de TI
Definir, implementar e operar um processo de gestão de 
identidades (contas)
Monitorar incidentes de segurança reais e potenciais
Revisar e validar periodicamente os privilégios e direitos Revisar e validar periodicamente os privilégios e direitos 
de acesso de usuários
Implementar e manter procedimentos para manter e 
proteger chaves criptográficas
Implementar e manter controles técnicos e 
procedimentais para proteger a comunicação de dados 
através das redes;
Conduzir frequentemente análise de vulnerabilidades
DS5.1 Gestão da Segurança de TI
DS5.2 Plano de Segurança de TI
DS5.3 Gestão de Identidade
DS5.4 Gestão de Contas de Usuário
DS5.5 Teste de Segurança, Vigilância e Monitoramento
DS5 Garantir a Segurança dos SistemasDS5 Garantir a Segurança dos Sistemas
DS5.5 Teste de Segurança, Vigilância e Monitoramento
DS5.6 Definição de Incidente de Segurança
DS5.7 Proteção da Tecnologia de Segurança
DS5.8 Gestão de Chave CriptográficaDS5.9 Prevenção, Detecção e Correção de Software Malicioso
DS5.10 Segurança de Rede
DS5.11 Comunicação de Dados Confidenciais
DS6 Identificar e Alocar CustosDS6 Identificar e Alocar Custos
Identificar e alocar custos para garantir 
que a área de negócio tome mais decisões 
baseadas em informações com relação ao 
ObjetivoMapear a infraestrutura de TI em serviços 
fornecidos / processos de negócio suportados
Identificar todos custos de TI (pessoas, tecnologia, 
etc) e mapeá-los aos serviços de TI de forma 
unitária
uso de TI
Estabelecer e manter processos de contabilidade e 
controle de custos de TI
Estabelecer e manter políticas e procedimentos de 
custeio
DS6.1 Definição de Serviços
DS6.2 Contabilidade de TI
DS6 Identificar e Alocar CustosDS6 Identificar e Alocar Custos
DS6.3 Modelagem de Custo e Cobrança
DS6.4 Manutenção do Modelo de Custo
DS7 Educar e Treinar os UsuáriosDS7 Educar e Treinar os Usuários
Educar e treinar usuários para garantir o uso 
efetivo de tecnologia e aplicações e conformidade 
com controles chaves de segurança 
ObjetivoIdentificar e caracterizar as necessidades de 
treinamento de usuários
Criar um programa de treinamento
com controles chaves de segurança 
Conduzir atividades de conscientização, educação 
e treinamento
Realizar avaliação dos treinamentos
Identificar e avaliar os melhores métodos e 
ferramentas de treinamento
DS7.1 Identificação das Necessidades de Ensino e Treinamento
DS7.2 Entrega de Treinamento e Ensino
DS7 Educar e Treinar os UsuáriosDS7 Educar e Treinar os Usuários
DS7.3 Avaliação do Treinamento Recebido
DS8 Gerenciar a Central de Serviço e os DS8 Gerenciar a Central de Serviço e os 
IncidentesIncidentes
Gerenciar central de serviços e incidentes para 
garantir no tempo apropriado e resposta efetiva de 
problemas e consultas de usuários
ObjetivoCriar processos de classificação (severidade e impacto) e escalação (funcional e hierárquica);
Detectar e registrar incidentes, solicitações de 
serviço e solicitações de informações
Classificar, investigar e diagnosticar consultasClassificar, investigar e diagnosticar consultas
Resolver, recuperar e fechar incidentes
Informar usuários (por exemplo atualizações de 
status)
Produzir relatórios gerenciais
DS8 Central de Serviço
DS8.2 Registro dos Chamados dos Clientes
DS8 Gerenciar a Central de Serviço e os DS8 Gerenciar a Central de Serviço e os 
IncidentesIncidentes
DS8.3 Escalonamento de Incidentes
DS8.4 Encerramento de Incidente
DS8.5 Relatórios e Análises de Tendências
DS9 Gerenciar a ConfiguraçãoDS9 Gerenciar a Configuração
Gerenciar a configuração para garantir a 
integridade de configurações de hardware e 
software através de um banco de dados completo 
de configuração
ObjetivoDesenvolver procedimentos de planejamento de gestão de configuração
Coletar informação de configuração inicial e 
estabelecer perfis básicos (baselines)
de configuração
Verificar e auditar informação de configuração 
(incluindo detecção de software não autorizado)
Atualizar repositório de configuração
DS9.1 Repositório de Configuração e Perfis Básicos
DS9 Gerenciar a ConfiguraçãoDS9 Gerenciar a Configuração
DS9.2 Identificação e Manutenção dos Itens de Configuração
DS9.3 Revisão da Integridade de Configuração
DS10 Gerenciar ProblemasDS10 Gerenciar Problemas
Gerenciar problemas para melhorar os níveis de 
serviços, reduzir custos e melhorar a satisfação 
dos clientes
ObjetivoIdentificar e classificar os problemas
Realizar análises de causa-raiz
Resolver problemasResolver problemas
Avaliar o status dos problemas
Emitir recomendações para melhoria e criar a 
respectiva solicitação de mudança (RFC);
Manter registros de problemas
DS10.1 Identificar e Classificar os Problemas
DS10.2 Rastreamento e Resolução de Problemas
DS10 Gerenciar ProblemasDS10 Gerenciar Problemas
DS10.3 Encerramento do Problema
DS10.4 Integração de Gerenciamento de Mudanças, Configuração e Problemas
DS11 Gerenciar os DadosDS11 Gerenciar os Dados
Gerenciar dados para garantir a qualidade, 
atualidade e disponibilidade dos dados de 
negócios
ObjetivoTraduzir os requisitos de armazenamento e 
retenção de dados em procedimentos
Definir, manter e implementar procedimentos para 
gerenciar biblioteca de mídias (fitoteca)
Definir, implementar e manter procedimentos para 
dispensa de forma segura de equipamentos e 
mídias
Realizar cópia de segurança (backup) de acordo 
com o esquema
Definir, implementar e manter procedimentos para 
restauração de dados
DS11.1 Requisitos de Negócio para o Gerenciamento de Dados
DS11.2 Arranjos de Armazenamento e Retenção
DS11.3 Sistema de Gerenciamento de Biblioteca de Mídia
DS11 Gerenciar os DadosDS11 Gerenciar os Dados
DS11.3 Sistema de Gerenciamento de Biblioteca de Mídia
DS11.4 Descarte de Dados e Equipamentos
DS11.5 Backup e Restauração
DS11.6 Requisitos de Segurança para o Gerenciamento de Dados
DS12 Gerenciar o Ambiente FísicoDS12 Gerenciar o Ambiente Físico
Gerenciar o ambiente físico para reduzir 
interrupções de negócios por danos para 
equipamentos de TI
ObjetivoDefinir o nível necessário de proteção física
Selecionar e comissionar instalações físicas (data, 
center, escritório, etc)
equipamentos de TI
Implementar medidas no ambiente físico
Gerenciar o ambiente físico (manutenção, 
monitoração e relatórios incluídos)
Definir e implementar procedimentos para 
autorização e manutenção de acesso físico
DS12.1 Seleção do Local e Layout
DS12.2 Medidas de Segurança Física
DS12 Gerenciar o Ambiente FísicoDS12 Gerenciar o Ambiente Físico
DS12.3 Acesso Físico
DS12.4 Proteção contra Fatores Ambientais
DS12.5 Gerenciamento de Instalações Físicas
DS13 Gerenciar as OperaçõesDS13 Gerenciar as Operações
Este processo inclui a definição de políticas e 
procedimentos de operações para o 
gerenciamento eficaz do processamento 
agendado, proteção de resultados sigilosos, 
ObjetivoCriar / modificar procedimentos de operações 
(incluindo manuais, listas, documentações, 
procedimentos de escalação, etc)
Agendar carga de trabalho e jobs (batch jobs)
Monitorar a infraestrutura e processamento e 
resolver problemas
agendado, proteção de resultados sigilosos, 
monitoramento de infraestrutura e manutenção 
preventiva de hardware
Gerenciar e proteger os ativos físicos (papéis, 
mídias, etc)
Aplicar correções ou mudanças ao processamento 
ou infraestrutura;
Implementar / estabelecer um processo para 
salvaguarda de dispositivos de autenticação contra 
interferência, perda ou roubo;
Programar e realizar manutenção preventiva
DS13.1 Procedimentos e Instruções de Operações
DS13.2 Agendamento de Jobs
DS13 Gerenciar as OperaçõesDS13 Gerenciar as Operações
DS13.3 Monitoramento da Infraestrutura de TI
DS13.4 Documentos Confidenciais e Dispositivos de Saída
DS13.5 Manutenção Preventiva de Hardware
Monitoramento e Avaliação (ME)Monitoramento e Avaliação (ME)
Definição
Este domínio visa assegurar a qualidade dos processos de TI, assim como a sua governança e conformidade com 
os objetivos de controle, através dos mecanismos regulares de acompanhamento, monitoração dos controles 
internos e de avaliações internas e externas
Processos
ME1 Monitorar e Avaliar o Desempenho de TI
ME2 Monitorar e Avaliar os Controles Internos
ME3 Assegurar a Conformidade com Requisitos Externos
ME4 Prover Governança de TI
PO8
Gerenciar qualidade
PO9
Gerenciar riscos
AI
Aquisição e 
Implementação
PO
Planejamento e 
Organização
Requisitos de
negócios
Requisitos 
externos
(ME)(ME)
MonitoramentoMonitoramento
ee
AvaliaçãoAvaliaçãoDS3
Gerenciar
desempenho e 
capacidade
DS4
Assegurar
continuidade de
serviços
DS
Entrega e 
Suporte
ME4
Prover governança
ME1
Monitorar e avaliar 
desempenho de TI
PO
Planejamento e Organização
AI
Aquisição e Implementação
PO10
Gerenciar projetos
DS5
Assegurar
segurança de
sistemas
DS7
Educar e treinar
usuários
DS
Entrega e Suporte
Prover governança
ME2
Monitorar e avaliar
controle interno
ME3
Assegurar o cumprimento
das regulamentações 
ME1 Monitorar e Avaliar o Desempenho de TIME1 Monitorar e Avaliar o Desempenho de TI
Monitorar e avaliar o desempenho de TI para 
garantir que as coisas certas sejam feitas e estão 
conforme com as políticas e diretrizes
ObjetivoEstabelecer uma abordagem de monitoração
Identificar e coletar objetivos mensuráveis que 
sustentem os objetivos de negócio;
Criar scorecards
Avaliar criticamente o desempenho
Reportar o desempenho
Identificar e monitorar ações de melhoria de 
desempenho
ME1.1 Abordagem de Monitoramento
ME1.2 Definição e Coleta dos Dados de Monitoramento
ME1.3 Método de Monitoramento
ME1 Monitorar e Avaliar o Desempenho de TIME1 Monitorar e Avaliar o Desempenho de TI
ME1.3 Método de Monitoramento
ME1.4 Avaliação de Desempenho
ME1.5 Relatórios para a Alta Direção
ME1.6 Ações Corretivas
ME2 Monitorar e Avaliar os Controles ME2 Monitorar e Avaliar os Controles 
InternosInternos
Monitorar e avaliar controles internos para 
fornecer a garantia de operações eficientes e 
eficazes e conformidade com leis e regulamentos
ObjetivoMonitorar e controlar atividades de controle interno 
de TI
Monitorar o processo de auto-avaliação;
Monitorar o desempenho de revisões, auditorias e 
avaliações independentes
Monitorar o processo para auditar controles 
operados por terceiros
Monitorar o processo para identificar e avaliar 
criticamente exceções de controles
Monitorar o processo para identificar e corrigir 
exceções de controles
Reportar a partes interessadas chave
ME2.1 Monitoramento da Estrutura de Controles Internos
ME2.2 Revisão Gerencial
ME2.3 Exceções aos Controles
ME2 Monitorar e Avaliar os Controles ME2 Monitorar e Avaliar os Controles 
InternosInternos
ME2.4 Autoavaliação dos Controles
ME2.5 Garantia dos Controles Internos
ME2.6 Controles Internos Aplicados a Terceiros
ME2.7 Ações Corretivas
ME3 Assegurar a Conformidade com ME3 Assegurar a Conformidade com 
Requisitos ExternosRequisitos Externos
Estabelecer um processo independente de revisão 
para garantir a conformidade de TI com leis e 
regulamentos
ObjetivoDefinir e executar um processo para identificar 
requisitos legais, contratuais, de políticas e 
regulatórios;
Avaliar a conformidade das atividades de TI com 
as políticas, padrões e procedimentos de TI
regulamentos
Reportar a conformidade positiva de atividades de 
TI com as políticas,padrões e procedimentos de TI
Fornecer dados para o alinhamento de políticas, 
padrões e procedimentos de TI em resposta a 
requisitos de conformidade
Integrar os relatórios de TI sobre requisitos 
regulatórios com produtos similares de outras 
áreas corporativas
ME3.1 Identificação dos Requisitos de Conformidade com Leis, 
Regulamentações e Contratos Externos
ME3.2 Otimização da Resposta aos Requisitos Externos
ME3 Assegurar a Conformidade com ME3 Assegurar a Conformidade com 
Requisitos ExternosRequisitos Externos
ME3.3 Avaliação da Conformidade com Requisitos Externos
ME3.4 Assegurar a Conformidade
ME3.5 Informes Integrados
ME4 Prover Governança de TIME4 Prover Governança de TI
Fornecer governança de TI através da garantia de 
Objetivo
Estabelecer supervisão da Alta Direção sobre 
atividades de TI
Revisar, endossar, alinhar e comunicar o 
desempenho, estratégia, gerenciamento de 
recursos, gerenciamento de riscos de TI com a 
estratégia de negócio
que os investimentos em TI estejam alinhados e 
entregues de acordo com estratégias e objetivos 
empresariais
Obter avaliação periódica independente sobre 
desempenho e conformidade com políticas, 
padrões e procedimentos;
Resolver questionamentos levantados por 
avaliações independentes e assegurar a 
implementação das recomendações acordadas
Gerar relatórios sobre a governança de TI
ME4.1 Estabelecimento de uma Estrutura de Governança de TI
ME4.2 Alinhamento Estratégico
ME4.3 Entrega de Valor
ME4 Prover Governança de TIME4 Prover Governança de TI
ME4.4 Gerenciamento de Recursos
ME4.5 Gestão de Riscos
ME4.6 Medição de Desempenho
ME4.7 Avaliação Independente
Obrigado !Obrigado !
otaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.comotaviofernandesfrota@gmail.com
99829982--86458645