07 — Gestão de Incidentes
Fonte: Governança/SIPD/Referências/07. Gestão de incidentes.pdf
Capítulo PSI: Gestão de Incidentes (Cap. 12 — Art. 52–57)
← Segurança da Informação e Proteção de Dados
Definições
- Incidente de SI — Concretização de um risco: ameaça explorou vulnerabilidade, causando perda de confidencialidade, integridade ou disponibilidade
- Evento de SI — Ocorrência identificada que pode ou não configurar incidente
Comitê de Segurança da Informação — CSI (Art. 52)
| Característica | Descrição |
|---|---|
| Composição | Número ímpar de colaboradores de confiança e tecnicamente qualificados |
| Membros externos | Permitidos, se de confiança da Diretoria e com notável conhecimento em SI |
| Atribuições | Averiguar fatos, orientar procedimentos de resposta, coletar provas |
| Substituto | Se CSI não formado, a Diretoria assume as atribuições |
Fluxo de Resposta a Incidentes
Identificação do evento/incidente
↓
Comunicação imediata à equipe de SI (canais oficiais)
↓
SI avalia e classifica o evento
↓
CSI delibera sobre abertura de investigação
↓
Resposta conforme Plano de Resposta a Incidentes
↓
Resolução e documentação
↓
Transformar em base de conhecimento (lições aprendidas)
↓
Relatório mensal à Diretoria
Obrigações de Comunicação (Art. 54)
- Todo evento de SI deve ser comunicado imediatamente à equipe de SI
- Colaboradores, parceiros, franqueados, representantes e fornecedores devem registrar e comunicar fraquezas ou vulnerabilidades observadas ou suspeitadas
- Omissão na comunicação pode implicar coautoria
Análise e Apuração (Art. 55)
- Eventos avaliados e classificados pela equipe de SI
- Relatório à Diretoria pelo menos mensalmente
- Resultados transformados em base de conhecimento para reduzir ocorrências futuras
Plano de Resposta a Incidentes (Art. 56)
O Plano deve conter:
- Ações a desenvolver
- Procedimentos para todos os usuários
- Equipes e pessoas envolvidas
- Relatório anual com resumo de ações e incidentes relevantes
Continuidade do Negócio (Art. 58–59)
- Procedimentos para situações adversas documentados em normativa própria
- Bancos de dados e sistemas críticos implementados com redundância suficiente
- Controles de continuidade auditados periodicamente