1. O documento descreve um plano de métricas para avaliar a eficácia dos processos da ITIL versão 3 em alinhar-se com os controles de segurança da informação da norma ISO/IEC 27001.
2. O plano de métricas propõe um modelo padrão para medir atributos de objetos nos processos da ITIL, incluindo métricas básicas, derivadas, indicadores, critérios de decisão e responsabilidades.
3. Como exemplo, o plano aplica o modelo de métrica ao processo de gestão
O documento discute o conceito e aplicações da automação industrial. A automação tornou-se parte do cotidiano e tem aplicações domésticas, comerciais e principalmente industriais. O documento também descreve os objetivos, efeitos e classificações dos sistemas de controle de processos, além de abordar a medição de variáveis e instrumentação.
1) O documento discute conceitos e análises de sistemas de medição, incluindo tendência, linearidade, repetitividade, reprodutibilidade e estabilidade.
2) É explicado como realizar estudos para avaliar cada um desses fatores e determinar se um sistema de medição é aceitável.
3) São fornecidos detalhes sobre causas possíveis de erros em cada fator e equações para analisar os resultados dos estudos.
Este documento descreve os conceitos fundamentais de um sistema de unidades, incluindo: 1) unidades de base como metro, quilograma e segundo; 2) unidades derivadas como metro quadrado; 3) procedimentos e resultados de medição; 4) incerteza de medição; 5) avaliação do tipo B da incerteza; 6) instrumentos de medição como dispositivos isolados ou em conjunto; 7) resolução e material de referência.
1) O documento apresenta conceitos e diretrizes para análise de sistemas de medição, incluindo definições, fontes de variação, estudo de estabilidade, tendência e linearidade.
2) É destacada a importância de se analisar a variação do sistema de medição para evitar erros de classificação de produtos.
3) As análises de estabilidade, tendência e distribuição fornecem informações sobre o comportamento estatístico do sistema de medição ao longo do tempo.
Este documento apresenta uma sistemática para realizar a análise de sistemas de medição (MSA) em empresas fornecedoras de produtos para a indústria automotiva. A sistemática inclui elaborar um cronograma, cuidados antes dos estudos e realização dos estudos para avaliar a confiabilidade e variação dos sistemas de medição utilizados no processo de manufatura.
Análise dos Sistemas de Medição (MSA) avalia a confiabilidade dos dados gerados por sistemas de medição de uma empresa. É fundamental que as medições sejam confiáveis para garantir ações adequadas com base nos dados. A MSA deve identificar prioridades e focar em repetitividade, reprodutibilidade, tendência, linearidade e estabilidade para entender como o sistema de medição interage com o ambiente.
1) Medir é o processo de determinar o valor de uma grandeza física através de um instrumento de medição e expressá-lo em unidades reconhecidas internacionalmente.
2) As medições são realizadas para monitorar, controlar e investigar fenômenos e processos.
3) Apesar de esforços para reduzi-los, erros sempre estarão presentes nas medições e devem ser quantificados.
O documento discute gestão de riscos de TI em empresas. Apresenta a importância de se conhecer os riscos dos processos de negócio e de se ter um processo de gestão de riscos para proteger os ativos de informação. Descreve os processos de avaliação de riscos, identificação de ameaças e vulnerabilidades como parte fundamental da gestão de riscos.
O documento discute o conceito e aplicações da automação industrial. A automação tornou-se parte do cotidiano e tem aplicações domésticas, comerciais e principalmente industriais. O documento também descreve os objetivos, efeitos e classificações dos sistemas de controle de processos, além de abordar a medição de variáveis e instrumentação.
1) O documento discute conceitos e análises de sistemas de medição, incluindo tendência, linearidade, repetitividade, reprodutibilidade e estabilidade.
2) É explicado como realizar estudos para avaliar cada um desses fatores e determinar se um sistema de medição é aceitável.
3) São fornecidos detalhes sobre causas possíveis de erros em cada fator e equações para analisar os resultados dos estudos.
Este documento descreve os conceitos fundamentais de um sistema de unidades, incluindo: 1) unidades de base como metro, quilograma e segundo; 2) unidades derivadas como metro quadrado; 3) procedimentos e resultados de medição; 4) incerteza de medição; 5) avaliação do tipo B da incerteza; 6) instrumentos de medição como dispositivos isolados ou em conjunto; 7) resolução e material de referência.
1) O documento apresenta conceitos e diretrizes para análise de sistemas de medição, incluindo definições, fontes de variação, estudo de estabilidade, tendência e linearidade.
2) É destacada a importância de se analisar a variação do sistema de medição para evitar erros de classificação de produtos.
3) As análises de estabilidade, tendência e distribuição fornecem informações sobre o comportamento estatístico do sistema de medição ao longo do tempo.
Este documento apresenta uma sistemática para realizar a análise de sistemas de medição (MSA) em empresas fornecedoras de produtos para a indústria automotiva. A sistemática inclui elaborar um cronograma, cuidados antes dos estudos e realização dos estudos para avaliar a confiabilidade e variação dos sistemas de medição utilizados no processo de manufatura.
Análise dos Sistemas de Medição (MSA) avalia a confiabilidade dos dados gerados por sistemas de medição de uma empresa. É fundamental que as medições sejam confiáveis para garantir ações adequadas com base nos dados. A MSA deve identificar prioridades e focar em repetitividade, reprodutibilidade, tendência, linearidade e estabilidade para entender como o sistema de medição interage com o ambiente.
1) Medir é o processo de determinar o valor de uma grandeza física através de um instrumento de medição e expressá-lo em unidades reconhecidas internacionalmente.
2) As medições são realizadas para monitorar, controlar e investigar fenômenos e processos.
3) Apesar de esforços para reduzi-los, erros sempre estarão presentes nas medições e devem ser quantificados.
O documento discute gestão de riscos de TI em empresas. Apresenta a importância de se conhecer os riscos dos processos de negócio e de se ter um processo de gestão de riscos para proteger os ativos de informação. Descreve os processos de avaliação de riscos, identificação de ameaças e vulnerabilidades como parte fundamental da gestão de riscos.
Gestão de indicadores de desempenho roberto de assis nogueiraWilsonSilveira12
O documento discute a gestão de indicadores de desempenho, definindo o que são indicadores, como definí-los e utilizá-los. O objetivo é apresentar como identificar, definir e utilizar indicadores para medir o desempenho de processos, produtos e serviços.
Este documento apresenta os requisitos para sistemas de gestão de medição, incluindo:
1) Especifica os requisitos gerais e fornece orientação para a gestão de processos de medição e equipamentos de medição.
2) Define termos como processo de medição, equipamento de medição, característica metrológica e comprovação metrológica.
3) Estabelece requisitos para responsabilidade da direção, gestão de recursos, comprovação metrológica, análise e melhoria do sistema.
1) O documento descreve o método Lúmine SafeChain para gestão de processos de negócio.
2) O método envolve definir processos, selecionar indicadores, gerenciar mudanças e alcançar maturidade por meio de registros e controles.
3) O objetivo é materializar a gestão de processos orientada a objetivos de negócio e melhoria contínua.
Este documento apresenta o conteúdo de um curso sobre interpretação da norma ISO 9001:2008 e técnicas de gestão por processos. O curso é dividido em 4 aulas que abordam princípios de gestão da qualidade, responsabilidade da direção e gestão de recursos, realização do produto e controle de qualidade. O documento fornece detalhes sobre os tópicos a serem discutidos em cada aula e os conceitos relacionados à gestão por processos.
O documento discute métricas de software e Análise de Pontos de Função (APF). Apresenta porque medir software, indicadores derivados de APF, medição de tamanho de produto, norma ISO 14143-1, visão geral e histórico de APF, processo de contagem de APF, propósito, tipo, fronteira e escopo de contagens, funções de dados como Arquivos Lógicos Internos e de Interface Externa.
Nbr iso 14040 (2001) gestão ambiental ciclo de vidareativo
1) O documento descreve os princípios e estrutura para realizar e relatar estudos de avaliação do ciclo de vida (ACV).
2) A ACV é uma técnica para avaliar aspectos ambientais e impactos potenciais associados a um produto ao longo de seu ciclo de vida, desde a aquisição de matéria-prima até a disposição final.
3) A norma fornece requisitos mínimos para a realização de ACVs e reconhece que a técnica ainda está em desenvolvimento.
O documento discute métricas de software e sua importância para o desenvolvimento de software. Ele explica o que são métricas de software, por que são importantes, diferentes tipos de métricas e propriedades desejáveis de métricas. Além disso, aborda possíveis problemas com métricas e os quatro papéis principais de medição de acordo com Humphrey: entender, avaliar, controlar e prever.
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptxGabrieleMedeiros8
PROJETO DE DIAGNOSTICO DE MATURIDADE PARA O SETOR DE MANUTENCAO APLICADO NO SETOR DE MANUTENCAO DE UMA FROTA AUTOMOTIVA E AGRICOLA DE USINA, CONTENDO OS INDICIADORES E NIVEIS DA MANUTENCAO.
Segundo a ISO-9004:2010, maturidade pode ser entendida como o sucesso sustentado de uma organização que pode ser alcançado com base no atendimento das necessidades e expectativas de seus clientes e partes interessadas, de forma balanceada e no longo prazo.
Modelos de maturidade tornaram-se ferramentas essenciais de avaliação das empresas e seus resultados podem ajudá-las a implementar mudanças em busca de melhores resultados, de maneira estruturada. A partir dessa missão verifica-se que é necessário:
a) escolher e aplicar estratégias de manutenção adequadas, em conformidade com o ciclo de vida de cada tipo de ativo;
b) garantir a confiabilidade e a disponibilidade dos ativos por meio do equilíbrio entre custos, riscos, oportunidades e desempenho;
c) garantir a aplicação do conhecimento técnico e científico para implementar as melhores práticas, com o propósito de promover a melhoria contínua dos processos, instalações e dos ativos;
d) controlar e melhorar, por meio de ações sistêmicas, a saúde e a segurança;
e) mapear, controlar e mitigar os riscos de acidentes e/ou impactos negativos que possam, direta ou indiretamente, afetar o meio ambiente.
RESULTADOS ESPERADOS:
a) maximizar a produção com custo adequado, mantendo a qualidade e as condições de segurança;
b) aumentar a vida útil dos equipamentos;
c) monitorar os custos da manutenção;
d) identificar e implantar reduções de custos;
e) prover registros precisos das atividades de manutenção dos ativos;
f) otimizar os recursos de manutenção;
g) minimizar o uso de energia;
h) maximizar a produtividade nas atividades de manutenção.
O documento discute a importância da qualidade dos dados de medição para a tomada de decisões em processos de manufatura. Ele explica como a análise do sistema de medição (MSA) pode ser usada para avaliar a tendência, variância, repetitividade e reprodutibilidade do sistema de medição, a fim de garantir a confiabilidade dos dados. O documento também descreve diferentes métodos e ferramentas gráficas para realizar uma MSA usando o software ProFicient.
Este documento fornece informações sobre equipamentos de monitorização e medição (EMMs). Discute a importância dos EMMs para o sistema de gestão da qualidade de acordo com a norma ISO 9001 e fornece exemplos de tipos comuns de EMMs, como paquímetros e termómetros. Além disso, descreve os processos necessários para gerir e controlar os EMMs de forma eficaz, como caracterização, calibração periódica e manutenção de registos.
Este documento apresenta uma agenda para o módulo 3 de Gestão de Processos sobre análise, controle e performance de processos. O objetivo é estudar técnicas e ferramentas para analisar processos de forma qualitativa e quantitativa, estabelecer métodos de diagnóstico e controle, e indicadores de eficácia e eficiência dos processos.
Fundamentos itil portugues brasil br completo(1)Jose Rudy
O documento descreve os conceitos e processos fundamentais do ITIL. Ele apresenta o objetivo do treinamento de fornecer uma compreensão básica dos componentes de Suporte a Serviços e Entrega de Serviços de acordo com o ITIL, preparando os participantes para uma avaliação de certificação. O programa inclui introdução ao ITIL, Suporte a Serviços e Entrega de Serviços.
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...ferbsi
O documento descreve a implementação de um sistema de informação chamado GPS para gerenciar produtos e serviços em uma empresa contábil. O sistema permite rastrear o fluxo de atividades relacionadas a produtos e serviços, fornecendo informações em tempo real. O sistema foi desenvolvido usando a tecnologia Java SE e armazena dados no banco de dados MySQL. Com o GPS, a empresa obteve redução no tempo de processamento, eliminação de papel e impressão, e controle efetivo de produtos e serviços.
O documento apresenta os conceitos fundamentais do ITIL, incluindo: (1) objetivos do treinamento de fornecer compreensão básica dos processos de suporte e entrega de serviços de TI de acordo com o ITIL; (2) os principais processos de suporte a serviços e entrega de serviços cobertos; e (3) definições e atividades centrais dos processos de gerenciamento de configuração, central de serviços e gerenciamento de incidentes.
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
O documento discute exercícios de gestão da segurança da informação baseados nas normas ISO 27001, 27002 e 27005. O resumo apresenta uma questão sobre planos de gestão de continuidade do negócio e a necessidade de testes e atualizações periódicas. Além disso, discute a importância da análise crítica da política de segurança da informação considerando tendências de ameaças e vulnerabilidades.
O documento apresenta um modelo de decisão para gestão de mudanças estruturado em uma metodologia multicritério. O modelo propõe apoiar o processo decisório de gerenciamento de mudanças utilizando técnicas multicritério para priorizar solicitações de mudança de forma objetiva. Um estudo de caso aplica o modelo em uma organização, definindo critérios, pesos e realizando julgamentos multicritério para gerar uma lista ordenada de mudanças. O modelo reduz a subjetividade e permite uma tomada de decisão mais eficiente
O documento descreve o programa de um curso de metrologia, abordando seus principais conceitos e instrumentos de medição. Na primeira parte, define metrologia e seus objetivos, métodos de medição, normas e unidades. Na segunda parte, detalha conceitos como padrão, erro e laboratório de metrologia. Por fim, explica instrumentos de medição linear como régua graduada, paquímetro e micrômetro, e instrumentos angulares como goniômetro.
Este documento resume um relatório final sobre o modelo SCOR (Supply Chain Operations Reference Model). O modelo SCOR é caracterizado como um modelo de referência para processos de gestão da cadeia de suprimentos que descreve cinco processos principais: planejamento, abastecimento, produção, distribuição e devolução. O modelo fornece quatro níveis de detalhe para avaliar e melhorar os processos da cadeia de suprimentos de uma organização.
Mais conteúdo relacionado
Semelhante a Plano de métricas aplicado na itil versão 3
Gestão de indicadores de desempenho roberto de assis nogueiraWilsonSilveira12
O documento discute a gestão de indicadores de desempenho, definindo o que são indicadores, como definí-los e utilizá-los. O objetivo é apresentar como identificar, definir e utilizar indicadores para medir o desempenho de processos, produtos e serviços.
Este documento apresenta os requisitos para sistemas de gestão de medição, incluindo:
1) Especifica os requisitos gerais e fornece orientação para a gestão de processos de medição e equipamentos de medição.
2) Define termos como processo de medição, equipamento de medição, característica metrológica e comprovação metrológica.
3) Estabelece requisitos para responsabilidade da direção, gestão de recursos, comprovação metrológica, análise e melhoria do sistema.
1) O documento descreve o método Lúmine SafeChain para gestão de processos de negócio.
2) O método envolve definir processos, selecionar indicadores, gerenciar mudanças e alcançar maturidade por meio de registros e controles.
3) O objetivo é materializar a gestão de processos orientada a objetivos de negócio e melhoria contínua.
Este documento apresenta o conteúdo de um curso sobre interpretação da norma ISO 9001:2008 e técnicas de gestão por processos. O curso é dividido em 4 aulas que abordam princípios de gestão da qualidade, responsabilidade da direção e gestão de recursos, realização do produto e controle de qualidade. O documento fornece detalhes sobre os tópicos a serem discutidos em cada aula e os conceitos relacionados à gestão por processos.
O documento discute métricas de software e Análise de Pontos de Função (APF). Apresenta porque medir software, indicadores derivados de APF, medição de tamanho de produto, norma ISO 14143-1, visão geral e histórico de APF, processo de contagem de APF, propósito, tipo, fronteira e escopo de contagens, funções de dados como Arquivos Lógicos Internos e de Interface Externa.
Nbr iso 14040 (2001) gestão ambiental ciclo de vidareativo
1) O documento descreve os princípios e estrutura para realizar e relatar estudos de avaliação do ciclo de vida (ACV).
2) A ACV é uma técnica para avaliar aspectos ambientais e impactos potenciais associados a um produto ao longo de seu ciclo de vida, desde a aquisição de matéria-prima até a disposição final.
3) A norma fornece requisitos mínimos para a realização de ACVs e reconhece que a técnica ainda está em desenvolvimento.
O documento discute métricas de software e sua importância para o desenvolvimento de software. Ele explica o que são métricas de software, por que são importantes, diferentes tipos de métricas e propriedades desejáveis de métricas. Além disso, aborda possíveis problemas com métricas e os quatro papéis principais de medição de acordo com Humphrey: entender, avaliar, controlar e prever.
Projeto Diagnóstico de Maturidade - Manutenção - Copia z.pptxGabrieleMedeiros8
PROJETO DE DIAGNOSTICO DE MATURIDADE PARA O SETOR DE MANUTENCAO APLICADO NO SETOR DE MANUTENCAO DE UMA FROTA AUTOMOTIVA E AGRICOLA DE USINA, CONTENDO OS INDICIADORES E NIVEIS DA MANUTENCAO.
Segundo a ISO-9004:2010, maturidade pode ser entendida como o sucesso sustentado de uma organização que pode ser alcançado com base no atendimento das necessidades e expectativas de seus clientes e partes interessadas, de forma balanceada e no longo prazo.
Modelos de maturidade tornaram-se ferramentas essenciais de avaliação das empresas e seus resultados podem ajudá-las a implementar mudanças em busca de melhores resultados, de maneira estruturada. A partir dessa missão verifica-se que é necessário:
a) escolher e aplicar estratégias de manutenção adequadas, em conformidade com o ciclo de vida de cada tipo de ativo;
b) garantir a confiabilidade e a disponibilidade dos ativos por meio do equilíbrio entre custos, riscos, oportunidades e desempenho;
c) garantir a aplicação do conhecimento técnico e científico para implementar as melhores práticas, com o propósito de promover a melhoria contínua dos processos, instalações e dos ativos;
d) controlar e melhorar, por meio de ações sistêmicas, a saúde e a segurança;
e) mapear, controlar e mitigar os riscos de acidentes e/ou impactos negativos que possam, direta ou indiretamente, afetar o meio ambiente.
RESULTADOS ESPERADOS:
a) maximizar a produção com custo adequado, mantendo a qualidade e as condições de segurança;
b) aumentar a vida útil dos equipamentos;
c) monitorar os custos da manutenção;
d) identificar e implantar reduções de custos;
e) prover registros precisos das atividades de manutenção dos ativos;
f) otimizar os recursos de manutenção;
g) minimizar o uso de energia;
h) maximizar a produtividade nas atividades de manutenção.
O documento discute a importância da qualidade dos dados de medição para a tomada de decisões em processos de manufatura. Ele explica como a análise do sistema de medição (MSA) pode ser usada para avaliar a tendência, variância, repetitividade e reprodutibilidade do sistema de medição, a fim de garantir a confiabilidade dos dados. O documento também descreve diferentes métodos e ferramentas gráficas para realizar uma MSA usando o software ProFicient.
Este documento fornece informações sobre equipamentos de monitorização e medição (EMMs). Discute a importância dos EMMs para o sistema de gestão da qualidade de acordo com a norma ISO 9001 e fornece exemplos de tipos comuns de EMMs, como paquímetros e termómetros. Além disso, descreve os processos necessários para gerir e controlar os EMMs de forma eficaz, como caracterização, calibração periódica e manutenção de registos.
Este documento apresenta uma agenda para o módulo 3 de Gestão de Processos sobre análise, controle e performance de processos. O objetivo é estudar técnicas e ferramentas para analisar processos de forma qualitativa e quantitativa, estabelecer métodos de diagnóstico e controle, e indicadores de eficácia e eficiência dos processos.
Fundamentos itil portugues brasil br completo(1)Jose Rudy
O documento descreve os conceitos e processos fundamentais do ITIL. Ele apresenta o objetivo do treinamento de fornecer uma compreensão básica dos componentes de Suporte a Serviços e Entrega de Serviços de acordo com o ITIL, preparando os participantes para uma avaliação de certificação. O programa inclui introdução ao ITIL, Suporte a Serviços e Entrega de Serviços.
SISTEMA DE INFORMAÇÃO PARA GERENCIAMENTO DE PRODUTOS E/OU SERVIÇOS EM EMPRESA...ferbsi
O documento descreve a implementação de um sistema de informação chamado GPS para gerenciar produtos e serviços em uma empresa contábil. O sistema permite rastrear o fluxo de atividades relacionadas a produtos e serviços, fornecendo informações em tempo real. O sistema foi desenvolvido usando a tecnologia Java SE e armazena dados no banco de dados MySQL. Com o GPS, a empresa obteve redução no tempo de processamento, eliminação de papel e impressão, e controle efetivo de produtos e serviços.
O documento apresenta os conceitos fundamentais do ITIL, incluindo: (1) objetivos do treinamento de fornecer compreensão básica dos processos de suporte e entrega de serviços de TI de acordo com o ITIL; (2) os principais processos de suporte a serviços e entrega de serviços cobertos; e (3) definições e atividades centrais dos processos de gerenciamento de configuração, central de serviços e gerenciamento de incidentes.
Gestão de segurança da informação para concursos-questões CESPE 04Fernando Palma
O documento discute exercícios de gestão da segurança da informação baseados nas normas ISO 27001, 27002 e 27005. O resumo apresenta uma questão sobre planos de gestão de continuidade do negócio e a necessidade de testes e atualizações periódicas. Além disso, discute a importância da análise crítica da política de segurança da informação considerando tendências de ameaças e vulnerabilidades.
O documento apresenta um modelo de decisão para gestão de mudanças estruturado em uma metodologia multicritério. O modelo propõe apoiar o processo decisório de gerenciamento de mudanças utilizando técnicas multicritério para priorizar solicitações de mudança de forma objetiva. Um estudo de caso aplica o modelo em uma organização, definindo critérios, pesos e realizando julgamentos multicritério para gerar uma lista ordenada de mudanças. O modelo reduz a subjetividade e permite uma tomada de decisão mais eficiente
O documento descreve o programa de um curso de metrologia, abordando seus principais conceitos e instrumentos de medição. Na primeira parte, define metrologia e seus objetivos, métodos de medição, normas e unidades. Na segunda parte, detalha conceitos como padrão, erro e laboratório de metrologia. Por fim, explica instrumentos de medição linear como régua graduada, paquímetro e micrômetro, e instrumentos angulares como goniômetro.
Este documento resume um relatório final sobre o modelo SCOR (Supply Chain Operations Reference Model). O modelo SCOR é caracterizado como um modelo de referência para processos de gestão da cadeia de suprimentos que descreve cinco processos principais: planejamento, abastecimento, produção, distribuição e devolução. O modelo fornece quatro níveis de detalhe para avaliar e melhorar os processos da cadeia de suprimentos de uma organização.
Semelhante a Plano de métricas aplicado na itil versão 3 (20)
1. 1
Curso: Segurança da Informação
Atividade: Trabalho de Conclusão de Curso
Aluno: Sérgio Nunes Siqueira Júnior
Professor Orientador: Fernando José Karl
1 PLANO DE MÉTRICAS APLICADO NA ITIL VERSÃO 3
Existem muitos artigos tratando sobre a definição de métricas de segurança,
visando proporcionar orientações e critérios para sua utilização, mas pouco se vê na
prática a real utilização das mesmas com resultados úteis as organizações (JAQUITH,
2007). Portanto a falta de conhecimento se torna um desafio para qualquer gestor de TI,
que deve determinar suas próprias métricas, ou optar por não mensurar se essas
atividades e seus resultados estão colocando em risco o negócio da empresa em algum
aspecto importante, seja ela na TI ou fora dela. As métricas nos processos da ITIL
versão 3 possuem um papel essencial, pois são através delas que o processo decisório e
os métodos de solução de problemas se tornam mais concretos e eficazes, fazendo com
que sua aplicação seja utilizada como uma ferramenta de gerenciamento de riscos ou no
auxílio de identificação de oportunidades de melhoria nas atividades, pois se permitindo
analisar de forma antecipada os eventos através da tendência do comportamento.
1.1 ALINHAMENTO ENTRE ITIL VERSÃO 3 E ISO/IEC 27001
O alinhamento entre a ITIL versão 03 e os controles e objetivos de controle da
ISO/IEC 27001, são parte da governança da tecnologia da informação, pois
conscientização e consideração dos riscos de segurança e seus problemas são obrigações
de cada passo ao sucesso do gerenciamento de serviço de TI da ITIL versão 3
(CLINCH, 2009). Os processos que foram mapeados da ITIL versão 3 para os controles
da ABNT ISO/IEC 27002 foram: Gestão de Incidentes, Gestão de Nível de Serviço,
Gestão de Ativos de Serviços e Configuração, Gestão de Disponibilidade e Gestão de
2. 2
mudanças, nos quais tiveram como base artigos publicados nos quais fazem o
alinhamento diretamente da ITIL para a 27002, e também onde o alinhamento é
executado da ITIL para os controles da 27002, através do COBIT. Com a combinação
dos artigos publicados, foram alinhados os processos de gestão de incidentes, nível de
serviço, ativos de serviço e configuração, disponibilidade e mudanças de acordo com o
escopo definido ao trabalho.
O modelo para aplicação das métricas foi desenvolvido baseado no Anexo A da
norma ABNT ISO/IEC 27004 – Tecnologia da informação - Técnicas de segurança -
Gestão da Segurança da informação-Medição, onde é disponibilizado um modelo
padrão para medida em segurança da informação. Para que contemple as informações
de segurança e de governança de TI, o modelo foi redesenhado para atender as
necessidades da ISO/IEC 27004 e da ITIL versão 03.
O modelo de medição utilizado utiliza como orientação os seguintes critérios:
Processo da ITIL versão 3 - Identificação numérica e nome do processo da
ITIL versão 3 conforme o livro oficial da OGC.
Subprocesso ITIL versão 3 – Identificação numérica e nome conforme o livro
oficial da OGC, referente ao subprocesso.
Nome da métrica – Específico da organização. Deve condizer com o
que se está medindo para fácil identificação da métrica.
Identificador – Pode ser específico da organização. O Modelo proposto
nesse trabalho sugere a utilização das identificações numéricas da ITIL
separadas por barra e seguida das identificações numéricas dos controles
da ISO 27002, por exemplo: 4.3.4.1/7.1.3 onde 4.3.4.1 (ITIL) - Políticas
de Gerenciamento de Ativos de Serviço e Configuração e 7.1.3 (ISO
27002) - Uso aceitável de ativos.
Objetivo do modelo de medição - Descreve as razões ou resultados a
serem alcançados pela medição.
Controle/Processo 27001 – Identificação numérica e nome do controle
do ANEXO A da ISO 27001.
3. 3
Objetivo do Controle 27001 - Objetivo dos controles conforme
ANEXO A da ABNT ISO/IEC 27001.
Objeto de Medição - Objeto que é caracterizado através da medição de
seus atributos, podendo ser processos, planos, projetos, recursos, e
sistemas, ou componentes de sistemas.
Atributo - Propriedade de um objeto de medição que pode ser
distinguida quantitativamente ou qualitativamente por meios manuais ou
automatizados.
Medida básica - Uma medida básica é definida em termos de um
atributo e o método de medição específico para quantificá-lo.
Método de medição - Sequência de procedimentos a serem seguidos
para quantificar o atributo.
Medida derivada - É uma medida que deriva de uma ou mais medidas
básicas. Exemplo: Das medidas básicas (Total de Incidentes de
Segurança) e (Total de Horas técnicas para resolução) e (Valor hora
técnica), podemos obter como medidas derivadas: Média de horas por
incidente, Custo de hora/homem por incidente, esforço técnico em um
período designado. Ou seja, todas derivadas das medidas básicas.
Função de medição - Cálculo utilizado para resultar na medida derivada,
utilizando medidas básicas.
Indicador - Medida que fornece visão de avaliação dos atributos
especificados relacionados a uma necessidade de informação.
Indicadores são base para tomada de decisão
Modelo analítico - É a base do entendimento em relação a medida
básica ou derivada e o seu comportamento ao longo da variável, por
exemplo: Tempo. Um modelo analítico descreve avaliações para uma
determinada necessidade de informação.
Critério de decisão - Métodos para definir necessidades de tomadas de
ação ou investigação. Critérios de decisão ajudam a interpretar os
resultados da medição.
4. 4
Interpretação do indicador – Uma descrição de como o indicador deve
ser lido, instigando ações, ou sugerindo causas e efeitos de acordo com o
comportamento ou tendência do indicador, facilitando no critério de
decisão.
Formato de comunicação - Método de demonstração dos resultados,
descrevendo como o proprietário necessita da informação, como,
listagens, gráficos, relatórios de colunas.
Cliente da medição - Parte interessada que necessita da informação.
Geralmente alguém da direção ou seu representante.
Responsável pela análise crítica da medição – Responsável pela
validação e auditoria dos resultados do modelo de medição
Proprietário da informação - Responsável ou custodiante da
informação de um objeto de medição e seus atributos.
Coletor da informação - Responsável pela coleta, registro e
armazenamento dos dados coletados de atributos.
Frequência de coleta de dados – Frequência com que os dados
coletados
Frequência de análise dos dados - Frequência com que os dados são
analisados.
Frequência de comunicação dos resultados de medição - Frequência
com que as métricas são comunicadas dentro da organização ou a
terceiros.
Revisão de medição - Frequência com que o modelo proposta para
medição necessita ser analisado criticamente.
Período de medição - Define a validade dos dados através do período de
medição.
Seguindo o modelo citado, o Quadro 1 demonstra um exemplo de métrica
aplicada sob a gestão de mudanças da ITIL versão 3 alinhada ao controle 10.1.2 que se
refere à gestão de mudanças da ABTN ISO/IEC 27002:
5. 5
Quadro 1 - Modelo de Métrica em Gestão de Mudanças
Modelo de Medição
Processo da ITIL
4.2 Gestão de Mudanças
Versão 3
Subprocesso ITIL
4.2 Gerenciamento de mudanças
versão 3
Nome Métrica Índice de Mudanças Proativas e Reativas
Identificador 4.2/10.1.2
Avaliar o planejamento de mudanças, em
Objetivo do Modelo de
relação à prevenção de incidentes de
Medição
segurança da informação.
Comparativo de mudanças preventivas e
Método de medição
mudanças corretivas.
Controle/Processo
27001 10.1.2 Gerenciamento de Mudanças
10.1.2Modificações nos recursos de
Objetivo do
processamento da informação e sistemas
Controle/Processo
devem ser controladas
Objetivo de Medição e Atributos
Objeto de Medição Requisição de mudança
Atributo Mudança corretiva ou preventiva
Especificação da Medida Básica
Mudanças corretivas
Medida Básica
Mudanças preventivas
Contagem de mudanças corretivas
Método de Medição
Contagem de mudanças preventivas
Especificação da Medida Derivada
% de mudanças corretivas
Medida Derivada
% de mudanças preventivas
Contagem de mudanças corretivas/Total de
mudanças
Função de Medição
Contagem de mudanças preventivas/Total de
mudanças
6. 6
Especificação de Indicador
Gráfico de barras com % de mudanças
Indicador corretivas contra % de mudanças preventivas
no período requerido.
Percentual de mudanças corretivas maiores
Modelo Analítico
que mudanças preventivas
Especificação do Critério de Decisão
Percentual de mudanças corretivas maiores
que mudanças preventivas, devem ser
investigadas quanto ao mau planejamento da
Critério de Decisão manutenção preventivas, caso existam.
Percentual de mudanças preventivas maiores
que corretivas, não necessitam ação.
Resultados da Medição
Percentual de mudanças corretivas maiores
que mudanças preventivas, podem indicar
falta de planejamento da organização quanto
à manutenção adequada e planejada de seus
Interpretação do
ativos.
Indicador
Percentual de mudanças preventivas maiores
que mudanças corretivas, podem indicar
manutenção planejada e ordenada dos ativos.
Formato de
Gráfico de barras
Comunicação
Partes Interessadas
Cliente da Medição Gestor do SGSI
Responsável pela
Análise Crítica da Gestor de mudanças
Medição
Proprietário da
Gestor de Configuração e ativos
Informação
Coletor da Informação Gestor do SGSI
Frequência/Período
7. 7
Frequência de Coleta de
Diário
Dados
Frequência de Análise
Mensal
dos Dados
Frequência de
Comunicação dos Mensal
Resultados de medição
Revisão de Medição Semestral
Período de Medição Anual
O questionário para avaliação do plano de métricas encontra-se disponível neste link.