ANEXO -
Glossário de Termos e Definições de Tecnologia da Informação e Comunicação
(Anexo da Resolução
Administrativa nº 52/2017, disponibilizada em 18/9/2017 no DEJT, Caderno
Administrativo)
1. Finalidade
O objetivo deste documento
é estabelecer os termos e definições relacionados aos processos de gestão de
risco de tecnologia da informação e comunicação do Tribunal Regional do
Trabalho da Primeira Região (TRT/RJ), contribuindo para uma comunicação eficaz
entre seus atores. Os termos e definições aqui presentes são, em sua maioria,
aderentes a padrões e normas reconhecidas pelo mercado, bem como também
desenvolvidas internamente, visando um melhor alinhamento com a cultura e as
peculiaridades das operações do Tribunal.
2. Campo de Aplicação
Os termos e
definições presentes neste documento se aplicam a todo o processo de gestão de
riscos da informação e comunicação do TRT/RJ.
3.
Glossário
de Termos e Definições
3.1.
Ação corretiva: ação para eliminar a
causa de uma não conformidade identificada ou outra situação indesejável;
3.2.
Ação preventiva: ação para eliminar a
causa de uma potencial não conformidade ou outra situação potencialmente
indesejável;
3.3.
Aceitação do Risco: decisão de aceitar
um risco. Manter o risco no nível atual de impacto e probabilidade, aceitando o
ônus da perda ou do benefício do ganho associado a um determinado risco;
3.4.
Análise de riscos: processo de
compreender a natureza do risco e de determinar o nível de risco. A análise de
riscos fornece a base para a avaliação de riscos e para as decisões sobre o
tratamento de riscos. A análise de riscos inclui a estimativa de riscos;
3.5.
Apetite a risco: tolerância da
organização quanto a determinado nível de risco;
3.6.
Área proprietária de risco (Risk Owner):
unidade organizacional que possui autoridade e responsabilidade pela gestão do
risco em uma organização;
3.7.
Ativo: no contexto deste documento, pode
ser um processo de trabalho, um equipamento de tecnologia da informação e
comunicações, uma área física, um grupo de pessoas, entre outros;
3.8.
Avaliação de riscos: processo que define
quais riscos, identificados no processo de análise, serão aceitos ou tratados,
bem como priorizar o tratamento dos mesmos;
3.9.
Comunicação do risco: troca ou
compartilhamento de informação sobre o risco entre o responsável pelas
informações e as demais partes interessadas;
3.10. Contexto
externo: ambiente externo no qual a organização busca atingir seus objetivos,
podendo incluir:
· fatores
culturais, políticos, legais, regulatórios, financeiros, tecnológicos e
econômicos, sejam em nível nacional, regional ou local;
· fatores-chave
e tendências que tenham impacto sobre os objetivos da instituição; e
· percepções e
valores das partes interessadas externas.
3.11. Contexto
interno: ambiente interno no qual a organização busca atingir seus objetivos,
podendo incluir:
· capacidades do
TRT/RJ em termos de recursos e conhecimento;
· fluxos de
informação e processos de tomada de decisão;
· partes
interessadas internas;
· objetivos e
as estratégias que estão em vigor a fim de atingi-los;
· percepções,
valores e cultura;
· políticas e
processos;
· normas e
modelos de referência adotados pelo TRT/RJ;
· estruturas
(por exemplo, governança, papéis e responsabilizações); e
· forma e
extensão das relações contratuais.
3.12. Correção:
ação para eliminar uma não conformidade identificada;
3.13. Confidencialidade:
propriedade de que a informação não esteja disponível ou revelada a indivíduos,
entidades ou processos não autorizados;
3.14. Controle:
medida que está modificando o risco;
3.15. Critério
de risco: termos de referência contra os quais a significância de um risco é
avaliada;
3.16. Disponibilidade:
propriedade da informação estar acessível e utilizável
sob demanda por uma entidade autorizada;
3.17. ERISI
- Equipe de Tratamento e Resposta a Incidentes em
Redes Computacionais: grupo de pessoas com responsabilidade de receber,
analisar e responder notificações e atividades relacionadas a incidentes de
segurança da informação;
3.18. Estimar
os riscos: atividade de estabelecer valores para os aspectos de probabilidade,
severidade e relevância;
3.19. Evento:
ocorrência ou mudança em um conjunto específico de circunstâncias;
3.20. Evidência:
dados que apoiam a existência ou a veracidade de alguma coisa;
3.21. Evitar
o Risco: decisão de não se envolver, agindo de forma a se retirar-se de uma
situação de risco;
3.22. Gestão
de riscos: atividades coordenadas para dirigir e controlar uma organização no
que se refere a riscos;
3.23. Gestão
de Riscos em Segurança da Informação (GRTI): gestão de riscos aplicada ao
escopo da segurança da informação;
3.24. Identificação
de riscos: processo para localizar, listar e caracterizar elementos do risco;
3.25. Incerteza:
estado, mesmo que parcial, da deficiência de informações relacionadas a um
evento, sua compreensão, seu conhecimento, sua consequência ou sua
probabilidade. O objeto sobre o qual há incerteza pode se transformar em ameaça
ou em oportunidade para a organização;
3.26. Incidente
de segurança da informação: evento ou uma série de eventos indesejados ou inesperados,
que comprometeram ou tenham probabilidade de comprometer as operações do
negócio e ameaçar a segurança da informação;
3.27. Incidente
de TIC: evento relacionado especificamente às operações de Tecnologia da
Informação e Comunicações;
3.28. Integridade:
propriedade de salvaguarda da exatidão e completeza de ativos;
3.29. Nível
de risco: magnitude de um risco ou combinação de riscos, expressa em termos da
combinação dos impactos e de suas probabilidades;
3.30. Partes
Interessadas: pessoa ou organização que pode afetar e/ou ser afetada, ou
perceber-se afetada por uma decisão ou atividade;
3.31. Plano
de tratamento de riscos: plano que descreve as ações de tratamento do risco,
identificando os responsáveis, com o objetivo de reduzir o risco a um nível
aceitável (risco residual);
3.32. Probabilidade:
número, entre 0 e 1, que representa a possibilidade de
um evento ocorrer, sendo que 0 representa que o evento é impossível e 1 que o
evento ocorrerá obrigatoriamente;
3.33. Processo
de avaliação de riscos: processo completo de identificação, análise e avaliação
de riscos;
3.34. Redução
do Risco: ações tomadas para reduzir a probabilidade e/ou, as consequências
negativas associadas a um risco;
3.35. Relevância:
grau de importância do ativo para uma organização, considerando os componentes
de negócio que ele apoia;
3.36. Risco:
combinação da probabilidade de um evento e de suas consequências;
3.37. Risco
Residual: risco remanescente após o tratamento do risco;
3.38. Severidade:
consequências, na segurança da informação, caso as ameaças explorem a
vulnerabilidade nos aspectos de confidencialidade, integridade e
disponibilidade;
3.39. Tolerância
ao risco: grau de exposição aos riscos que uma organização está disposta a
aceitar para atingir seus objetivos, durante o desempenho de suas operações;
3.40. Transferência
do Risco: compartilhamento com outra parte do ônus da perda ou do benefício do
ganho associado a um risco;
3.41. Tratamento
do Risco: processos para modificar o risco;
3.42. Vulnerabilidade:
propriedade intrínseca de algo resultando em suscetibilidade a uma fonte de
risco que pode levar a um evento com a uma consequência.
4.
Referências
4.1. ABNT
NBR ISO/IEC 31000:2009 - Gestão de riscos - Princípios e diretrizes;
4.2. ABNT
NBR ISO/IEC GUIA 73:2005 - Tecnologia Gestão de riscos
- Vocabulário - Recomendações para uso em normas;
4.3. ABNT
NBR ISO/IEC GUIA 73:2009 - Tecnologia Gestão de riscos
- Vocabulário - Recomendações para uso em normas.