SS000 Termo de Abertura do Projeto - Tracanelli,...
Transcript of SS000 Termo de Abertura do Projeto - Tracanelli,...
Termo de Abertura do Projeto
Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia da Informação
Versão 1.4
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
Termo de Confidencialidade.
As informações contidas neste documento são de propriedade privada e confidencial.
A divulgação deve ser autorizada por escrito. Este documento não pode ser
reproduzido por fotocópia, fotografia ou eletrônica sem permissão por escrito.
Documentação, Versões e histórico.
Versão Data Autor(es) Histórico1.0 22/04/2009 Alencar/Patrick Novo (alinhado com Roteiro)1.1 23/04/2009 Patrick Escopo, contra-escopo, missão, justificativa 1.2 24/04/2009 Patrick Equipe, benefícios, escopo, justificativa1.3 25/04/2009 Marcelo Restricões, rev Premissas – faltam RISCOS1.4 27/04/2009 Patrick Riscos, rev Restricões, adequação versões
Versão: 1.4 Gestão de Segurança da Informação
Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
Sumário
1 MISSÃO......................................................................................................................................................................1
2 JUSTIFICATIVA......................................................................................................................................................1
3 OBJETIVO E ESCOPO DO PROJETO................................................................................................................2
4 OBJETIVO...................................................................................................................................................................25 ESCOPO......................................................................................................................................................................3
6 PRINCIPAIS RESULTADOS................................................................................................................................11
7 RESTRIÇÕES .........................................................................................................................................................11
8 PREMISSAS.............................................................................................................................................................12
9 RISCOS.....................................................................................................................................................................13
10 RESUMO DO ORÇAMENTO.............................................................................................................................13
11 CRONOGRAMA DE MARCOS.........................................................................................................................14
12 STAKEHOLDERS................................................................................................................................................15
13 EQUIPE DO PROJETO.......................................................................................................................................15
14 BENEFÍCIOS.........................................................................................................................................................16
15 APROVAÇÃO DO TERMO DE ABERTURA DO PROJETO.......................................................................18
Versão: 1.4 Gestão de Segurança da Informação
Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
1 Missão
O projeto pretende identificar e responder aos riscos de incidentes físicos e lógicos
inerentes aos serviços e sistemas críticos referentes à área de TI da divisão de EAD da
Universidade Fumec. Serão feitas adequações ou sugestões de adequações à
estrutura atual a fim de que a instituição esteja em compliance com as normas ISO
13335, ISO 17799 e ISO 27001 além de compliance com o MEC (órgão regulador).
O objetivo primário é ter mapeado e identificado todos os principais riscos na infra-
estrutura física e lógica da área de tecnologia, bem como implantação de roteiros de
ações pro ativas a fim de evitar a efetivação dos riscos identificados, planejamento de
mitigação, contenção dos riscos, e, mediante risco eminente ou risco transformado em
incidente, gestão de resposta ao incidente e planejamento de ações corretivas
acompanhadas de ações de validação de integridade dos dados ou ativos corrigidos a
fim de restabelecer de forma rápida o ambiente de produção mas sem comprometer
com tal rapidez, a confiabilidade de dados, procedimentos e continuidade dos serviços.
Complementarmente, entender de forma clara os riscos e ameaça à segurança e à
disponibilidade dos serviços de TI, incluindo vulnerabilidades, risco de controle e risco
estatístico dentro da organização; Padronizar e estabelecer procedimentos e conceitos
de segurança da informação, para garantir melhor comunicação com equipe de gestão
de respostas a incidentes de terceiros; Mapear os riscos jurídicos e regulatórios
envolvidos nas adequações de compliance de segurança de TI.
2 Justificativa
Adequação com requisitos pre-estabelecidos pelo órgão regulador (MEC - Ministério da
Educação), aumento da disponibilidade geral dos serviços e sistemas críticos,
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
planejamento de atividades de prevenção, contenção, mitigação e resposta aos riscos
identificados, melhoria na percepção interna (funcionários) e externa (alunos/clientes)
da confiança e imagem da instituição, normatização com padrões estabelecidos e
recomendados pelo mercado, com potencial para reposicionamento da classificação de
recomendação no grau de investimento da instituição mediante órgãos avaliadores
(CVM no Brasil, S&P 500 EUA).
Complementarmente, mapeamento de riscos intrínsecos à disponibilidade e segurança
de serviços e dados, tal qual análise de riscos jurídicos e avaliação de
responsabilidades associadas à tecnologia da informação perante órgãos reguladores
e normas.
3 Objetivo e Escopo do Projeto
4 Objetivo
Identificar, mapear, conter e responder a riscos de incidentes físicos e lógicos em
compliance com ISO 13335, em compliance parcial com ISO 27001 e segurança de
dados conforme BS 7799/ISO 17799, abrindo mão de metodologias e ferramentas
sólidas e reconhecidas pelo mercado.
Produzir mapeamento e diretrizes de ação para (1) prevenção pro-ativa, (2) mitigação,
(3) correção e (4) reação aos incidentes potenciais mapeados, além de (5)
documentação e determinação das lições aprendidas em cada evento de incidente.
Submeter o resultado a avaliação de qualidade na gerencia, mitigação e resposta aos
riscos em fase preliminar (ainda riscos) e em fases evoluídas – quando os riscos se
tornam incidentes.
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
Avaliar métricas de qualidade, tempo, e efetividade das ações de (1) prevenção pro-
ativa, (2) mitigação, (3) correção e (4) reação aos incidentes potenciais mapeados.
Estabelecer cronograma de homologação periódica dos procedimentos estabelecidos.
5 Escopo
O Escopo deste projeto inclui as atividades listadas abaixo:
3.2.1 Fase 1 – Recomendações do NIST
Nessa fase o projeto seguirá o guia de recomendações para analise e gerencia
de riscos em sistemas de tecnologia do Instituto Nacional de Padrões e
Tecnologia do Governo Norte Americano (NIST) - NIST Special Publication 800-30
revisões a, d e f de 2002, 2005 e 2008 respectivamente, incluindo:
3.2.1.1 Identificação de Riscos
• Caracterização de Sistemas
• Informações associadas a cada sistema
• Técnicas de obtenção de informações
3.2.1.2 Identificação de Ameaças
• Identificação de origem de ameaças;
• Motivações das ameaças (riscos);
• Ação das ameaças – efetividade do risco;
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
3.2.1.3 Identificação de Vulnerabilidades
• Origem das Vulnerabilidades
• Testes de Segurança de Sistemas (incluindo sistemas operacionais,
softwares e ativos de rede);
• Desenvolvimento de checklist de requisitos de segurança;
3.2.1.4 Análise de Controle de Riscos e Ameaças
• Determinação dos métodos de controle
• Mapeamento das categorias de controle
• Aplicação das técnicas de Análise de Controle
3.2.15 Determinação de probabilidade
3.2.1.6 Análise de Impacto• Perda de Integridade
• Perda de Disponibilidade
• Perda de Confiança
3.2.1.7 Determinação de Riscos
• Matriz de Nivelação de Riscos Mapeados;
• Descrição dos Níveis de Riscos;
3.2.1.8 Recomendações de Controle
3.2.1.9 Documentação Resultante
3.2.1.10 Mapeamento de Opções de Mitigação de Riscos
3.2.1.11 Definição de Estratégia de Mitigação de Riscos
3.2.1.12 Implementações de Controle
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
• Controle de Segurança Técnica
• Controle de Gestão de Segurança
• Controle de Segurança Operacional
3.2.1.13 Análise de relação risco/benefício nas ações de mitigação
3.2.1.14 Identificação de Riscos Residuais
3.2.1.15 Determinação de Práticas de Segurança.
3.2.2 Fase 2 – Metodologia Agência Francesa de Avaliação de Risco
Dentro das metodologias da agência francesa de avaliação de risco, utilizaremos
apenas as listadas (em acordo com as recomendações do NIST ainda):
3.2.2.1 Matriz de Decisão de Pontos de Ação de Mitigação
3.2.2.2 Priorização de Ações
3.2.2.3 Associação de Responsabilidades
3.2.2.4 Desenvolvimento de Plano de Implementação de Salva-Guardas.
• Determinar e Associar Níveis de Risco
• Priorizar Ações
• Recomendar controle e acompanhamento
• Determinar pessoas responsáveis
• Iniciação e Execução
• Requisitos de manutenção
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
3.2.2.5 Determinar políticas de Suporte, Prevenção, Detecção e
Recuperação
3.2.3 Fase 3 - Metodologia CRAMM
A metodologia CRAMM em sua revisão 5.1 de propriedade da Symantec, é um
de-facto standard da indústria e os trechos relevantes da mesma serão
utilizados, afim de:
• Identificação de ativos de rede (estrutura física) e nivelação de criticidade
dos mesmos, em níveis simplificados (alto, médio e baixo);
• Avaliação de risco dos ativos identificados
• Avaliação de facilidade de troca e redundância dos ativos identificados
• Determinação de ações de contenção, mitigação e resposta a incidentes
gerados por falha nos ativos identificados
3.2.3.1 Iniciação padrão CRAMM
3.2.3.2 Identificação e Valoração de Ativos
3.2.3.3 Mapeamento de Ameaças e Vulnerabilidades
3.2.3.4 Calculo de Riscos
3.2.3.5 Gerencia de Riscos CRAMM
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
3.2.4 Fase 4 - Avaliação de Dispositivos de Segurança Padrão SANS
Security
Conforme classificação do Instituto de Segurança SANS e Certificação GIAC
Corporativa, a análise de risco lógico incluirá:
• Segmentação de Rede: avaliação de metodologia de segmentação lógica
e física de rede, incluindo subnetagem e separação física de ambiente
multi-homed. Avaliação de esquema aplicado e labeling para
classificação.
• Avaliação de Dispositivo de Segurança:
a. Firewall
b. Sistemas de Detecção e/ou Prevenção a Intrusão
c. Sistemas de Filtro de Conteúdo
d. Sistema de Antivírus
e. Sistema de VPN
• Testes de Penetração
• Varredura de Segurança
o Nessus com Regras Comerciais
o Snort Counter-Intel
o SecF Source Fire
o Vulnexpose (McAfee e SANS Security)
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
3.2.5 Fase 5 – Análise de Risco de Banco de Dados
• Avaliação de SGDB utilizados;
• Avaliação de adequação dos SGDB ao seu uso;
• Avaliação de rotinas de manutenção de banco de dados;
• Avaliação de sistema de arquivos, particionamento e tuning de
armazenamento de FS utilizado pelo SGDM;
• Determinação de políticas de segurança e recuperação de dados
mediante desastre;
• Avaliação de risco geral não associado à inadequada manipulação do
SGDB por parte do DBA;
• Aplicação das lições aprendidas;
3.2.6 Analise de Riscos Intrínsecos
• Análise de Risco Jurídico: será limitada aos riscos jurídicos acerca de
utilização de software e hardware, levanto em conta questões de licença
de uso, cópias e arquivamento de cópias;
• Análise de Classificação de Informações e Acesso padrão Common
Criteria: a análise de classificação de informações ou definição de
metodologia de classificação e efetiva classificação de informações será
realizada com base nos critérios comuns de segurança militar
estabelecidos pelo Common Criteria da NSA (National Security Agency),
estabelecido pelo SPARTA do DARPA (Departamento de Defesa norte-
americano).
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
A classificação acontecerá seguindo normas ISO mencionadas e seu
deployment será por meio de políticas de enforcement sugeridas,
aplicados aos sistemas de informação. Deve ficar claro que nem todos
sistemas operacionais de rede tem recursos suficientes para aplicação
das políticas de acesso conforme classificadas, caso em que tal limitação
se encontrada, será apontada, e o enforcement da política deverá
acontecer de outra forma, a ser definida pela equipe de segurança e
documento de política de segurança da empresa.
• Análise de Risco Humano: seguindo a versão simplificada da metodologia
Hazop, o risco humano será superficialmente determinado; o nível de
criticidade de cada risco será levado em conta. A análise de risco humano
sai do âmbito estipulado por esse projeto, que é tecnológico, mas não
deixa de ser importante uma vez que o risco humano é sabidamente o elo
mais fraco de qualquer corrente de segurança. Esse projeto tentará
diminuir os impactos de risco humano, mas não poderá eliminá-los por
completo.
3.2.7 Homologação e Documentos
• Elaboração dos relatórios e demais documentos
• Definição da estratégia de homologação
• Aplicação da estratégia de homologação
• Avaliação de resultados
• Definição de periodicidade de revalidação de procedimentos de
testes de homologação
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
• Aceite de homologação e preparação para encerramento do
projeto;
3.3 Contra-Escopo
Não está incluso no plano de ações deste projeto:
• Análise de Risco Humano: a análise de risco intrínseca da parte humana
usará a versão simplificada para determinação de risco humano crítico
quando claramente apontado. Isso não é uma análise de risco humano. A
metodologia Hazop, a metodologia CEAR, a metodologia de risco
humano quantitativo e cognitivo e demais métricas estatísticas ou por
amostragem de avaliação de risco humana merecem um projeto a parte
se for avaliada sua relevância perante o impacto do risco pré-existente e
não minimizado com base nas ações realizadas por este projeto e co-
relatas.
• Análise de Risco Contábil;
• Análise de Risco Jurídico fora licenças e cópias de software;
• Análise de Risco tributário;
• Análise de Risco físico não associado a ativos de rede e associados à
Tecnologia da Informação (risco de acidentes, mal uso de equipamentos de
trabalho, itens básicos de proteção, etc);
• Análise de Risco de Desenvolvimento de Software: incluindo auditoria de
qualidade e racionalização de armazenamento de dados, similar as
sugeridas pelo CMM/CMMi.
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
• Análise de Integridade de Manipulação de Dados no SGDB: incluindo analise
de sistemas e softwares que manipulam os dados e analise de
procedimentos do(s) DBA(s).
• Utilização de frameworks como COBIT, ITIL e outros;
• Contratação de recursos (interno ou consultoria) além da equipe do projeto;
6 Principais Resultados
Os resultados principais deste projeto são:
• Relatório em documento impresso sobre as ações realizadas, documentos
descrevendo os planos de ação;
• Resposta e mitigação dos riscos;
• Relatório acerca do plano de qualidade acompanhado de instruções
complementares de revalidação do processo homologado dentro de
periodicidade sugerida;
• Riscos físicos e lógicos encontrados, classificados conforme metodologia do
NIST e metodologia CRAMM mencionadas;
• Procedimento periódico de homologação e revalidação de ações;
7 Restrições
As principais restrições são:
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
• A indisponibilidade e respectiva falta de substituição de algum recurso com a
devida competência de realização do planejado;
• Indisponibilidade dos stakeholders especialmento do stakeholder (b) durante
todas as etapas do projeto;
• Livre acesso aos dados e informações necessárias pela equipe, dentro dos
limites documentados no roteiro do projeto e também sob supervisão do
stakeholder (b);
• <<< REVISAO >>>
8 Premissas
As principais premissas são:
• Acompanhamento pleno do Stakeholder (b) - Anderson Peixoto, Gerente de
TI - e parcial dos demais stakeholders;
• Disponibilidade total do Chefe da Área de Suporte e Tecnologia;
• Disponibilidade da equipe da TI em agendar as visitas ao Data Center;
• Total sinceridade nas entrevistas com os responsáveis (não estamos
procurando os culpados, mas precisamos saber os reais problemas);
• Os recursos necessários de acordo com o roteiro do projeto devem estar
disponíveis com antecedência de um dia antes de início do projeto, incluindo
servidores e switches e conectividade externa (internet);
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
9 Riscos
A não participação do stakeholder (b) em qualquer etapa do trabalho poderá
gerar atrasos no cronograma; a não participação dos demais stakeholders no
momento necessário conforme identificado pela equipe em conjunto com o
stakeholder (b) e impossibilidade de substituição dos mesmos também
implica em risco de atraso de cronograma;
A não cooperacão com a equipe, seja no levantamento de informações ou no
acesso a dados e componentes críticos da infra-estrutura de TI poderá
comprometer o resultado da análise de risco;
A não disponibilidade dos recursos listados na premissa poderá atrasar ou
inviabilizar o projeto dependendo do grau de indisponibilidade e do recursos
indisponível;
A não cooperacão e não reconhecimento das responsabilidades de cada
stakeholder e demais contribuidores levantadas e identificadas por este
projeto, especialmente no que tange a prevenção pro-ativa, mitigacão e
cooperacão com os processos de testes e homologacão poderá comprometer
a eficácia do trabalho elaborado especialmente na recuperacão e tratamento
de incidentes;
10 Resumo do Orçamento
Ítem Valor
Preparação do Ambiente de Avaliação R$ 2.000,00
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
Análise de risco físico R$ 12.800,00
Análise de risco lógico R$ 6.000,00
Elaboração de Documentos e Relatórios R$ 5.000,00
Homologação R$ 2.000,00TOTAL R$ 27.800,00
11 Cronograma de Marcos
4/mai 5/mai 6/mai 7/mai 8/mai 11/mai 12/mai 13/mai 14/mai 15/mai 18/mai 19/mai 20/mai 21/mai 22/mai 25/mai 26/mai 27/maiVisita ao Data
Center
Entrevistas
Solicitação de
Informações Mapeamento
de Itens (não
compliance) Analise de
Riscos F e L Planos de
Ação com
respostas aos
Riscos
Homologação
e ações de
revalidação Fechamento
do Projeto
12 Stakeholders
• (a) Professora Simone (coordenadora Setor EaD - Sponsor)
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
• (b) Anderson Peixoto (Gerente de TI)
• (c) Rodrigo Tito (Gerente de Produção)
• (d) Gerente de Coordenação de Eventos (associado o setor cliente).
13 Equipe do Projeto
Gerente do Projeto: Patrick Tracanelli
Será o responsável pela implantação e acompanhamento deste projeto, bem
como avaliação de resultados e validação de procedimentos. Supervisionará e
quando necessário instruirá os demais membros da equipe. Fará a avaliação de
compliance com as normas e padrões desejados neste projeto. É o responsável
por determinar e direcionar a aplicação das metodologias de análise de risco e
métricas de qualidade, bem como prover artefatos à equipe.
Auditor TI: Alencar Silva
É o profissional responsável pela auditoria de segurança, procedimentos e
avaliação de riscos, determinando de forma macro os itens a serem avaliados e
quando necessário tomará ações junto aos analistas a fim de instruí-los ou
melhorar as informações auditadas.
Analistas Segurança da Informação: Ana Cristina Rodrigues, Marcelo
Castejon
São os analistas que detém pleno conhecimento e formação comprovada em
segurança da informação, farão as avaliações minuciosas de cada
vulnerabilidade, farão o mapeamento dos riscos e farão a classificação prévia
dos riscos. São os profissionais responsáveis também pela elaboração junto
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
com o Auditor e o Gerente de Projetos dos Documentos resultantes deste
projeto e dos testes de homologação.
Analista de Riscos: Marcos Henrique
É o analista responsável junto com o gerente do projeto pela adequação com as
normas internacionais de avaliação de riscos, por realizar a classificação da
confidencialidade das informações e realizar a determinação dos níveis de riscos
associados aos itens mapeados pela equipe e também determinar a
classificação das vulnerabilidades encontradas.
14 Benefícios
Compliance com as normas ISO, compliance com o MEC. Mapeamento e
tratamento de riscos com os devidos planos de ação, maior controle e
entendimento do ambiente de Tecnologia da Informação e determinação de
riscos jurídicos intrínsecos as responsabilidades associadas à manipulação de
dados e manipulação de informações formalmente aceitas pelo órgão regulador
como plenamente válidas para formação acadêmica dos usuários diretos do
sistema de EaD (os alunos).
Entendimento dos itens físicos e lógicos envolvidos nos aspectos da infra-
estrutura de TI e a criticidade classificada dos riscos associados a cada um
desses ativos, incluindo matrix de vulnerabilidades, de riscos e atribuição de
responsabilidades legais e perante o ministério da educação (órgão regulador).
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
Melhoria na percepção geral da imagem da Universidade Fumec junto a seus
funcionários, alunos, parceiros, cooperadoras e junto a investidores, bem como
concorrentes no mercado.
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009
TERMO DE ABERTURA DO PROJETO
(PROJECT CHARTER)Análise e Contenção de Riscos Físicos e Lógicos de Tecnologia
da Informação
15 Aprovação do Termo de Abertura do Projeto
Aprovado Por :
Data
Aprovado por :
Data
Aprovação do Gerente do Projeto:
Gerente do Projeto Data
Versão: 1.4 Gestão de Segurança da Informação Impresso em: 27 de April de 2009