TRT1 21/10/2020 -Pág. 7 -Administrativo -Tribunal Regional do Trabalho 1ª Região
3084/2020
Tribunal Regional do Trabalho da 1ª Região
Data da Disponibilização: Quarta-feira, 21 de Outubro de 2020
7
3. Definições
Os termos e definições utilizados neste documento constam no documento Glossário de Termos e Definições em Tecnologia da Informação,
formalizado como anexo da Política de Gestão de Riscos de TIC do TRT da 1ª Região, estabelecida pela Resolução Administrativa 17/2020, de 17
de setembro de 2020.
4.Gestão de Riscos de TIC
4.1. Definições gerais
4.1.1. As atividades da gestão de riscos de TIC devem estar em consonância com as etapas básicas previstas na Política de Gestão de Riscos de
TIC, que por sua vez estão alinhadas às etapas do processo de gestão de riscos definido na norma ABNT NBR 31000.
4.1.2. O processo de gestão de riscos de TIC deve ser formalizado no Portal de Processos de TIC e revisto anualmente ou em menor prazo, caso
solicitado pelo Comitê de Governança de Tecnologia da Informação e Comunicação (CTIC) ou pelo Comitê Gestor de Segurança da Informação
(CGSI).
4.1.3. A gestão de riscos de TIC deve considerar o direcionamento estratégico estabelecido no Plano Estratégico Plurianual (PEP) e no Plano
Estratégico de TIC (PETIC) e estar alinhada à Política de Segurança da Informação do TRT da 1ª Região.
4.1.4.Os donos dos processos de TIC devem verificar a necessidade de se estabelecer, nos respectivos processos, atividades específicas para a
gestão dos riscos envolvidos na sua execução.
4.2. Gestão de riscos estratégicos de TIC
4.2.1. Durante a análise de riscos, deve-se definir o impacto e a probabilidade inerente de cada risco identificado, de acordo com os critérios
estabelecidos na tabela abaixo:
Probabilidade
A ocorrência do evento de risco
É quase certa
5
(
95%)
É muito provável
(65% P < 95%)
É provável
(35% P < 65%)
É improvável
(5% P < 35%)
É muito improvável
(< 5%)
4
3
2
1
Impacto
Caso o evento de risco ocorra, como consequência temos
Dois ou mais objetivos estratégicos comprometidos em
mais de 80%
Muito Alta
Ao menos um objetivo estratégico ficaria comprometido em
mais de 80%
Ao menos um objetivo estratégico ficaria comprometido em
mais de 50%
Ao menos um objetivo estratégico ficaria comprometido em
mais de 20%
Média
Impacto no objetivo estratégico é menor que 20%
Muito
Baixa
Alta
Baixa
4.2.2. A classificação do risco deve ser feita de acordo com os parâmetros de Probabilidade e Impacto definidos, conforme tabela abaixo:
Impacto
Probabilidade
Muito Baixo
Baixo
Médio
Alto
Muito Alto
Muito Baixo
Muito Baixo
Muito Baixo
Baixo
Baixo
Médio
Baixo
Muito Baixo
Baixo
Baixo
Médio
Médio
Médio
Baixo
Baixo
Médio
Médio
Alto
Alto
Baixo
Médio
Médio
Alto
Muito Alto
Muito Alto
Médio
Médio
Alto
Muito Alto
Muito Alto
4.2.3. A avaliação de riscos deve levar em consideração a classificação realizada:
Classificação do risco
Interpretação
Muito baixo
Riscos aceitáveis, sem ações adicionais necessárias.
Baixo
Médio
Alto
Muito alto
Código para aferir autenticidade deste caderno: 158099
Riscos que podem ser aceitáveis após revisão e confirmação das áreas
proprietárias.
Riscos que podem ser aceitáveis após revisão e confirmação do CGTIC.
Riscos inaceitáveis e as áreas proprietárias devem estabelecer ações de mitigação
programadas.
Riscos inaceitáveis e as áreas proprietárias devem estabelecer ações de mitigação
imediatas.
