A prática para proteção de dados pessoais

Deve-se conhecer os objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização.

A NBR ISO/IEC 29151 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização. Aplica-se a todos os tipos e tamanhos de organizações que atuam como controladores de DP (conforme estabelecido na NBR ISO/IEC 29100), incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.

O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando. Vários países estão incrementando suas leis para lidar com o aumento do número de significativas violações de dados.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é a consideração do ciclo de vida do DP?

Quais devem ser as políticas para segurança da informação em DP?

Quais são as diretrizes de implementação para a proteção de DP?

Qual deve ser a política para uso de dispositivo móvel?

O que se deve fazer em relação à conscientização, educação e treinamento em segurança da informação?

À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP precisarão cada vez mais de orientações sobre como convém protegê-los, a fim de reduzir o risco de ocorrência de violações de privacidade e o impacto de violações na organização e às pessoas envolvidas. Este documento fornece essas orientações.

Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles de segurança da informação e de proteção de DP que são comumente aplicados em diferentes organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC fornecem orientações ou requisitos sobre outros aspectos do processo geral de proteção de DP. A NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os requisitos associados, os quais podem ser usados como base para a proteção de DP. A NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança da informação e práticas de gestão da segurança da informação, incluindo a seleção, implementação e gestão de controles, considerando o (s) ambiente (s) de risco (s) de segurança da informação da organização.

A ISO/IEC 27009 especifica os requisitos para o uso da NBR ISO/IEC 27001 em qualquer setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir os requisitos adicionais aos da NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A da NBR ISO/IEC 27001. A NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.

A NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar riscos de privacidade, enquanto a NBR ISO/IEC 27001, juntamente com a NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar riscos de segurança. Dessa forma, os controles devem ser escolhidos com base nos riscos identificados como resultado de uma análise de risco para desenvolver um sistema abrangente e consistente de controles. Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.

Este documento contém duas partes: o corpo principal que consiste nas seções 1 a 18 e um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões setoriais da NBR ISO/IEC 27002. A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo principal da NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações sobre o uso deste documento.

Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002, refletindo o fato de que este documento se baseia nas diretrizes da NBR ISO/IEC 27002, adicionando novos controles específicos para a proteção de DP. Muitos dos controles da NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP. No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são fornecidas no cabeçalho apropriado (e no número da seção) da NBR ISO/IEC 27002.

O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que suplementam os dados na NBR ISO/IEC 27002. Esses novos controles de proteção de DP, com suas diretrizes associadas, são divididos em 12 categorias, correspondentes à política de privacidade e aos 11 princípios de privacidade da NBR ISO/IEC 29100: consentimento e escolha; especificação e legitimidade de objetivo; limitação de coleta; minimização de dados; limitação de uso, retenção e divulgação; precisão e qualidade; abertura, transparência e notificação; acesso e participação individual; responsabilização; segurança da informação; e compliance com a privacidade. A figura abaixo descreve o relacionamento entre este documento e a família de normas ISO/IEC.

Este documento inclui diretrizes baseadas na NBR ISO/IEC 27002 e as adapta conforme necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP. Em domínios diferentes de tratamento, como: serviços públicos de nuvem; aplicativos de redes sociais; dispositivos conectados à internet de uso doméstico; pesquisa, análise; segmentação de DP para publicidade e propósitos semelhantes; programas de big data analytics; tratamento nas relações trabalhistas; gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão de relacionamento com clientes).

Em diferentes locais, como em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo, cartões inteligentes, smartphones e seus aplicativos, medidores inteligentes, dispositivos wearables); nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização do celular são criados operacionalmente pelo processamento da rede, que podem ser considerados DP em algumas jurisdições); dentro da própria infraestrutura de tratamento de uma organização; na plataforma de tratamento de terceiros. Para as características de coleta, como coleta única de dados (por exemplo, ao se registrar em um serviço); coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde por sensores no corpo ou no indivíduo, várias coletas de dados usando cartões de pagamento sem contato para pagamento, sistemas de coleta de dados de medidores inteligentes, etc.).

A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros. Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta, precisa ser considerado. Este documento fornece um conjunto de controles para proteção de DP.

O objetivo da proteção de DP é permitir que as organizações implementem um conjunto de controles como parte de seu programa geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100.

A organização precisa identificar os seus requisitos de proteção de DP. Os princípios de privacidade da NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais de requisitos de proteção de DP: requisitos legais, estatutários, regulamentares e contratuais relacionados à proteção de DP, incluindo, por exemplo, requisitos de DP que uma organização, seus parceiros comerciais, contratados e prestadores de serviços precisam cumprir; avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização, por meio de uma avaliação de riscos; políticas corporativas: uma organização também pode optar voluntariamente por ir além dos critérios derivados de requisitos anteriores.

Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade estabelecidos na NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento de DP que foram desenvolvidos para apoiar suas operações. Convém que os controles de proteção de DP (incluindo controles de segurança) sejam selecionados com base em uma avaliação de risco. Os resultados de uma avaliação de impacto de privacidade (privacy impact assessments – PIA), por exemplo, conforme especificado na NBR ISO/IEC 29134, ajudam a orientar e determinar as ações e prioridades de tratamento apropriadas para gerenciar riscos à proteção de DP e para implementar controles selecionados para proteção contra estes riscos.

Um documento de PIA, como a NBR ISO/IEC 29134, pode fornecer orientações para a PIA, incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco e análise crítica de risco. Uma avaliação de risco de privacidade pode ajudar as organizações a identificarem os riscos específicos de violações de privacidade resultantes de atividades de tratamento não autorizadas por lei ou de desconsideração de direitos do titular de DP envolvido em uma operação prevista.

Convém que as organizações identifiquem e implementem controles para tratar os riscos identificados pelo processo de impacto de risco. Convém que os controles e tratamentos então sejam documentados, idealmente separadamente em um registro de riscos. Certos tipos de tratamento de DP podem assegurar controles específicos para os quais a necessidade só se torna aparente uma vez que uma operação prevista tenha sido cuidadosamente analisada.

Os controles podem ser selecionados a partir deste documento (que inclui por referência os controles da NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados). Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas às legislações e aos regulamentos nacionais e internacionais aplicáveis.

A seleção e a implementação de controles também dependem da função da organização no fornecimento de infraestrutura ou serviços. Muitas organizações diferentes podem estar envolvidas no fornecimento de infraestrutura ou serviços. Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma organização específica. Em outros casos, pode haver funções compartilhadas na implementação de controles.

Convém que os acordos contratuais especifiquem claramente as responsabilidades de proteção de DP de todas as organizações envolvidas no fornecimento ou uso dos serviços. Os controles neste documento podem ser usados como referência para organizações que tratam DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP. Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções do controlador de DP.

ISO/IEC TS 29140: a aprendizagem em tecnologias móveis

Essa especificação técnica, editada em 2020 pela ISO e IEC, fornece um modelo de informações ao aluno para a aprendizagem móvel e permitir que os ambientes de aprendizagem, educação e treinamento reflitam as necessidades específicas dos participantes móveis. Inclui as definições de tecnologia móvel e aprendizagem móvel apropriadas para todos os setores de aprendizagem, educação e treinamento.

A ISO/IEC TS 29140:2020 – Information technology for learning, education and training – Nomadicity and mobile technologies fornece um modelo de informações ao aluno para a aprendizagem móvel e permitir que os ambientes de aprendizagem, educação e treinamento reflitam as necessidades específicas dos participantes móveis. Este documento fornece as definições de tecnologia móvel e aprendizagem móvel apropriadas para todos os setores de aprendizagem, educação e treinamento; uma descrição do modelo de informação do aluno para aprendizagem móvel; informações específicas do aluno que apoiam os alunos envolvidos em atividades de aprendizagem móvel em ambientes de aprendizagem, educação e treinamento.

Inclui, ainda, uma descrição do modelo de interação do aluno com os sistemas móveis; as considerações das interações do aluno específicas para alunos nômades que se movem de um lugar para outro; e a orientação inicial sobre a questão da privacidade. Não inclui uma revisão técnica aprofundada de questões relacionadas à adaptabilidade à cultura, idioma e necessidades individuais; questões amplas ou aprofundadas de interoperabilidade técnica dos domínios da computação móvel; as considerações de segurança, autenticação ou acessibilidade; os detalhes sobre a privacidade; e as informações detalhadas sobre o trabalho complementar dentro de outras organizações que possam ser relevantes.

Conteúdo da norma

Prefácio……………………….. iv

Introdução……………….. v

1 Escopo …………………..1

2 Referências normativas……….. 1

3 Termos e definições…………… 1

4 Termos abreviados…………….. 3

5 Exemplos de aplicativos de aprendizagem móvel…………… 3

5.1 Exemplos neste documento……………..3

5.2 Outros exemplos de tecnologia móvel para aprendizagem …… 4

6 Informações do aluno para aprendizagem móvel……………….6

6.1 Geral…… 6

6.2 Modelo de informação do aluno para aprendizagem móvel……..6

6.3 Informações mínimas recomendadas para o aluno…………. 8

6.4 Informações opcionais do aluno…………….. 8

6.5 Dimensões para uma experiência ideal do aluno……………9

6.5.1 Geral……………………………. 9

6.5.2 Dimensão do aluno………….. 10

6.5.3 Dimensão de conteúdo para necessidades individuais do aluno………….10

6.5.4 Dimensão da capacidade do dispositivo para maximizar o uso do dispositivo móvel ………………….. 11

6.5.5 Dimensão da conectividade para executar em diferentes velocidades de conexão…………………. 12

6.5.6 Coordenação………………………. 13

7 Interação do aluno com o sistema de aprendizagem móvel……. 13

8 Considerações adicionais………………… 17

Anexo A (informativo) Caso de uso 1: Uso online de dispositivos móveis para aprendizagem pelos alunos…………….18

Anexo B (informativo) Caso de uso 2: Fala fluente em inglês/leitura fluente ………… ……………….. 21

Anexo C (informativo) Caso de uso 3: Livro digital para aprendizagem inovadora …………………… 24

Anexo D (informativo) Caso de uso 4: Tecnologia de aprendizagem móvel entre estudantes de medicina do último ano…………….. 28

Anexo E (informativo) Caso de uso 5: Sistema de treinamento de realidade aumentada ……………………… 31

Anexo F (informativo) Caso de uso 6: Aplicativo para prática de exame……………. 34

Anexo G (informativo) Caso de uso 7: Implementação de aplicativo para sucesso acadêmico ……………. ……….. 36

Anexo H (informativo) Caso de uso 8: Tutoria, jogos e aplicativos para aprendizagem de línguas ……………. 39

Anexo I (informativo) Caso de uso 9: Avaliação dos fatores-chave que afetam a integração de tecnologia emergente capacitada pelo aluno………………. 41

Bibliografia……….. 44

Este documento fornece orientação sobre o uso de um modelo de informação do aluno para tecnologia móvel na aprendizagem, educação e treinamento (aprendizagem móvel). Ele pode ser usado como referência por desenvolvedores de software, implementadores, designers instrucionais, professores, treinadores, sistemas automatizados e sistemas de gerenciamento de aprendizagem.

Desde que a ISO/IEC TS 29140-1:2011 e a ISO/IEC TS 29140-2:2011 foram publicadas, tem havido muitas inovações tecnológicas e aumento do uso de tecnologia móvel em aprendizagem, educação e treinamento, conforme indicado em muitas das revisões e meta -análise de estudos sobre aprendizagem móvel. O crescimento nas assinaturas ativas de banda larga móvel aumentou significativamente, com taxas de penetração aumentando mundialmente de 4, 0 assinaturas por 100 habitantes em 2007 a 69,3 em 2018. O número de assinaturas ativas de banda larga móvel aumentou de 268 milhões em 2007 para 5,3 bilhões em 2018.

Além disso, quase toda a população mundial, ou 96%, agora vive ao alcance de uma rede celular móvel. Além disso, 90% da população global pode acessar a internet por meio de uma rede 3G ou de velocidade superior. Isso coloca um senso de urgência para revisar os padrões para o uso de tecnologia móvel na aprendizagem, educação e treinamento.

Ao mesmo tempo, a tecnologia e a aplicação da tecnologia estão mudando rapidamente. Por exemplo, óculos 3D estão sendo usados para realidade virtual, realidade aumentada e realidade mista; e a entrada e saída de voz estão sendo usadas para treinamento de idiomas. Em 2017, uma análise de 233 artigos arbitrados de 2011 a 2015 de periódicos revisados por pares foi realizada com base nos temas de pesquisa, métodos, configurações e tecnologias na pesquisa.

Os resultados foram comparados com três estudos de pesquisa anteriores baseados em revisão da literatura, realizados entre 2001 e 2010, para identificar semelhanças e diferenças. Os resultados foram que: a aprendizagem móvel no ensino superior é um campo em crescimento, conforme evidenciado pela crescente variedade de tópicos de pesquisa, métodos e pesquisadores; o tópico de pesquisa mais comum continua a ser sobre como habilitar aplicativos e sistemas de m-learning; e os telefones celulares continuam a ser os dispositivos mais amplamente usados em estudos de aprendizagem móvel. Mas, mais e mais estudos funcionam em dispositivos diferentes, em vez de se concentrar em dispositivos específicos.

À medida que escolas, governos, organizações e empresas em todo o mundo projetam informações para serem acessadas por dispositivos móveis, há uma necessidade crescente de definir padrões de como as informações devem ser projetadas para entrega em tecnologias móveis para apoiar a aprendizagem, a educação e o treinamento. Essa necessidade crescente é necessária devido à demanda por materiais de aprendizagem e treinamento que podem ser facilmente compartilhados entre organizações e alunos e disponibilizados para aqueles em qualquer localização geográfica.

A aprendizagem móvel tem o potencial de fornecer aos alunos acesso aprimorado a informações e materiais de aprendizagem, além de orientação e suporte de qualquer lugar, em vez de uma localização geográfica específica em um determinado momento. Quando a aprendizagem móvel é implementada de forma bem pensada, tem potencial para aumentar a eficiência e a produtividade da aprendizagem, educação e treinamento em diferentes setores (por exemplo, público, privado, voluntário).

Uma metaanálise e síntese de pesquisa dos efeitos dos dispositivos móveis integrados no ensino e aprendizagem analisou 110 artigos experimentais e quase-experimentais revisados por pares publicados de 1993 a 2013. Os resultados revelaram que o efeito geral do uso de dispositivos móveis na educação é melhor do que usando computadores desktop ou não usando dispositivos móveis como uma intervenção, com um tamanho de efeito moderado de 0,523. Uma análise de 144 artigos de periódicos arbitrados dos seis principais periódicos de aprendizagem baseada em tecnologia educacional listados no banco de dados do Social Science Citation Index descobriu que a maioria dos estudos de aprendizagem móvel relataram resultados positivos e o smartphone é o dispositivo mais amplamente usado para aprendizagem móvel.

A aprendizagem móvel tem o potencial de fornecer aos alunos novas oportunidades de se conectar com outros alunos, interagir com professores e instrutores e cocriar ambientes de aprendizagem colaborativos. Este é um problema crítico para alunos que vivem em locais remotos sem conexões com fio. Os alunos que vivem nesses locais remotos podem usar tecnologias móveis com recursos sem fio para se conectar com outras pessoas em locais diferentes.

Como resultado, os alunos remotos podem se sentir menos isolados, o que pode resultar em mais alunos concluindo suas atividades de aprendizagem, educação ou treinamento usando tecnologias móveis. Uma análise de 90 artigos que estudaram as qualidades da aprendizagem móvel relatou que as propriedades educacionais da aprendizagem colaborativa móvel incluem: apoiar a aprendizagem ubíqua, permitir mais interação social interpessoal, facilitar a aprendizagem baseada no contexto, cultivar a aprendizagem autorregulada e a autorreflexão, e fomentar a interação intercultural.

A conclusão foi que, em comparação com a aprendizagem baseada na internet, a aprendizagem colaborativa baseada em dispositivos móveis é mais capaz de servir como ferramentas cognitivas, metacognitivas e epistemológicas para a compreensão e transformação de conceitos dos alunos. Há várias equipes de pesquisa em organizações e comunidades que trabalham com aprendizagem móvel. Muitos estudos e projetos de pesquisa foram concluídos sobre o uso de tecnologia móvel na educação e treinamento.

Além disso, já há trabalho em andamento em vários países ao redor do mundo em tópicos relacionados, como aprendizagem em diferentes contextos, aprendizagem em trânsito e o uso de computadores de mão na aprendizagem. Isso é evidente pelos nove casos de uso incluídos nos Anexos A a I. Além disso, há trabalho em andamento em algumas dessas questões no W3C e no ITU-T.

À medida que este trabalho avança, é essencial preparar as bases para assegurar que a concepção, desenvolvimento, implementação e avaliação da aprendizagem móvel em ambientes de aprendizagem, educação e formação decorram de uma forma contínua, flexível e integrada. Em suma, a tecnologia móvel precisa ser perfeitamente integrada às atividades de ensino e aprendizagem que são suportadas pela tecnologia da informação e comunicação (TIC) em geral. Uma revisão de modelos e estruturas para projetar experiências de aprendizagem móvel descreveu diferentes estratégias de aprendizagem para o uso de tecnologias móveis na aprendizagem.

Isso inclui a aprendizagem baseada no contexto, em que os alunos podem aprender em seu próprio contexto usando conexão sem fio, sistemas de posicionamento global, conexão por satélite e aplicativos móveis; a aprendizagem contínua e onipresente em movimento e de qualquer lugar devido à portabilidade das tecnologias móveis – a estratégia de aprendizagem é importante para os alunos nômades que se deslocam de um local para o outro; aprendizagem baseada em jogos, em que os alunos são apresentados a diferentes cenários e desafios durante o processo de aprendizagem; aprendizagem colaborativa suportada por computador móvel, em que os alunos usam tecnologias móveis para interagir para completar as atividades de aprendizagem em grupos.

No passado, o uso de tecnologias móveis, devido ao seu pequeno tamanho e portabilidade, era benéfico para os nômades. No entanto, as tecnologias móveis atuais são mais poderosas e estão sendo usadas em diferentes locais e contextos de aprendizagem. Por exemplo, as tecnologias móveis podem ser usadas em uma sala de aula para ensinar crianças em idade escolar sobre os padrões de transmissão de doenças; na educação médica para apoiar os alunos no aprendizado da prática clínica à beira do leito; em uma indústria para treinar funcionários como manter uma peça de equipamento; em um museu para dar aos alunos uma apresentação virtual de um evento histórico; em uma faculdade para dar aos alunos um tour virtual de um sítio arqueológico e assim por diante.

O uso potencial da tecnologia móvel é ilimitado, seu uso dependerá da criatividade do designer instrucional, professor ou treinador. Uma análise de 113 estudos de pesquisa sobre aprendizagem móvel em níveis de pré-jardim de infância à 12ª série descobriu que 62% dos estudos relataram resultados positivos, o que significa que a maioria dos estudos descobriu que o uso de dispositivos móveis em uma atividade de aprendizagem resultou em maior aprendizagem dos alunos. Também relatou que a maioria dos estudos (50%) ocorreu em contextos educacionais formais, enquanto um ambiente composto por ambientes formais e informais representou 27% dos contextos educacionais, e os restantes 23% dos estudos ocorreram em contextos de definições informais.

As especificações para a fabricação dos cabos ópticos internos

Deve-se entender os requisitos para a fabricação dos cabos ópticos internos. Estes cabos são indicados exclusivamente para instalações internas, interligando cabos ópticos externos às instalações internas comerciais, industriais e residenciais.

A NBR 14771 de 07/2020 – Cabo óptico interno — Especificação especifica os requisitos para a fabricação dos cabos ópticos internos. Estes cabos são indicados exclusivamente para instalações internas, interligando cabos ópticos externos às instalações internas comerciais, industriais e residenciais.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é o código de cores das unidades básicas, dos elementos ópticos e dos cordões ópticos?

Quais são as cores das fibras ópticas?

Como deve ser executado o revestimento externo?

Quais devem ser os requisitos ópticos desses cabos?

O cabo óptico interno é um conjunto constituído por unidades básicas de cordões ópticos, elementos ópticos ou fibras ópticas, elemento de tração dielétrico, eventuais enchimentos e núcleo seco, protegidos por uma capa externa de material termoplástico retardante à chama. prontos satisfaçam os requisitos especificados nesta norma. Os cabos ópticos internos são designados pelo seguinte código: CFOI – X – Y – Z – W, onde CFOI é o cabo óptico interno; X é o tipo de fibra óptica, conforme a tabela abaixo; Y é a formação do núcleo, conforme a tabela abaixo; Z é o número de fibras ópticas, conforme a tabela abaixo; W é o grau de proteção do cabo quanto ao comportamento frente à chama, conforme a tabela abaixo e ao comportamento frente à chama.

Os materiais constituintes dos cabos ópticos internos devem ser dielétricos. Os materiais utilizados na fabricação do cabo devem ser compatíveis entre si. Os materiais utilizados na fabricação dos cabos com função estrutural devem ter suas características contínuas ao longo de todo o comprimento do cabo.

As fibras ópticas tipo multimodo índice gradual, utilizadas na fabricação dos cabos, devem estar conforme a NBR 13487. As fibras ópticas tipo monomodo com dispersão normal, utilizadas na fabricação dos cabos, devem estar conforme a NBR 13488. As fibras ópticas tipo monomodo com dispersão deslocada e não nula, utilizadas na fabricação dos cabos, devem estar conforme a NBR 14604.

As fibras ópticas tipo monomodo com baixa sensibilidade à curvatura, utilizadas na fabricação dos cabos, devem estar conforme a NBR 16028. Não são permitidas emendas nas fibras ópticas durante o processo de fabricação do cabo. O núcleo deve ser constituído por unidades básicas de fibras ópticas, cordões ópticos ou elementos ópticos. Os cabos ópticos internos devem ser fabricados com unidades básicas de 2, 4, 6, 8, 12, 16, 24, 36 ou 48 fibras ópticas. O núcleo deve ser constituído por unidades básicas.

As unidades básicas devem ser dispostas em elementos de proteção adequados, de modo a atender aos requisitos especificados nesta norma. Os elementos de proteção podem ser constituídos por tubos de material polimérico encordoados em uma ou mais coroas ou de forma longitudinal. Os elementos de proteção encordoados devem ser reunidos com passo e sentido escolhidos pelo fabricante, de modo a satisfazer as características previstas nesta norma.

No caso de cabos ópticos constituídos por elementos de proteção encordoados dispostos em mais de uma coroa, opcionalmente estas coroas podem ser separadas por fitas, a fim de facilitar a sua identificação. É recomendado que os cabos ópticos compostos por elementos de proteção de até 12 fibras ópticas sejam constituídos por unidades básicas, onde cada unidade pode conter duas ou seis fibras ópticas. Para os cabos ópticos de 18 a 36 fibras ópticas, constituídos por unidades básicas, é recomendado que cada unidade contenha seis ou 12 fibras ópticas.

Para os cabos ópticos de 48 a 288 fibras ópticas, constituídos por unidades básicas, é recomendado que cada unidade contenha 12 ou 24 fibras ópticas. Para os cabos ópticos superiores a 288 fibras ópticas, constituídos por unidades básicas, é recomendado que cada unidade contenha 24, 36 ou 48 fibras ópticas. Para o núcleo constituído por fibras ópticas dispostas em tubo único (central loose tube), a construção deve conter um único tubo central de material polimérico contendo uma ou mais unidades básicas.

Os cabos ópticos de até 48 fibras ópticas devem ser constituídos por fibras ópticas reunidas. Os cabos ópticos acima de 48 até 72 fibras ópticas devem ser constituídos por unidades básicas. Para o núcleo constituído por unidades básicas de cordões ópticos monofibra, o cordão óptico deve ser conforme a NBR 14106. A unidade básica de cordões ópticos deve ser constituída por até 12 cordões agrupados e deve ser identificada das unidades básicas, dos elementos ópticos e dos cordões ópticos.

Os cabos de até 12 fibras ópticas devem ser constituídos por cordões ópticos reunidos. Para cabos de 18 a 36 fibras ópticas, é recomendado que cada unidade básica contenha seis cordões ópticos. Para cabos ópticos de 48 a 72 fibras, é recomendado que cada unidade básica contenha 12 cordões ópticos. O cordão óptico deve ser conforme a NBR 14106.

A unidade básica de cordões ópticos deve ser constituída por até 12 cordões agrupados e deve ser identificada conforme essa norma e os cabos de até 12 fibras ópticas devem ser constituídos por um ou mais cordões ópticos. Para cabos de 18 a 288 fibras ópticas, é recomendado que cada unidade básica contenha seis ou 12 cordões ópticos.

Para o núcleo constituído por unidades básicas de elementos ópticos, a unidade básica de elementos ópticos deve ser constituída por até 12 elementos agrupados e deve ser identificada conforme essa norma. Os cabos de até 12 fibras ópticas devem ser constituídos por elementos ópticos reunidos. Para cabos de 18 a 36 fibras ópticas, é recomendado que cada unidade básica contenha seis elementos ópticos.

Para cabos ópticos de 48 a 144 fibras, é recomendado que cada unidade básica contenha 12 elementos ópticos. Podem ser colocados enchimentos de material polimérico compatível com os demais materiais do cabo, a fim de formar o núcleo cilíndrico. No núcleo do cabo pode haver uma identificação legível e indelével, contendo impressos o nome do fabricante e o ano de fabricação, em intervalos não superiores a 50 cm, ao longo do eixo do cabo.

Sobre o revestimento externo devem ser gravados o nome do fabricante, a designação do cabo, o número do lote e o ano de fabricação, de forma legível e indelével, em intervalos de 1 m ao longo do eixo do cabo. A pedido do comprador, podem ser impressas informações adicionais. A marcação métrica sequencial deve ser feita em intervalos de 1 m ao longo do revestimento externo do cabo óptico interno. A marcação deve ser feita com algarismos de altura, forma, espaçamento e método de gravação ou impressão tais que se obtenha legibilidade perfeita e permanente. Não são permitidas marcações ilegíveis adjacentes.

Na medida da marcação do comprimento ao longo do eixo do cabo, é tolerada uma variação para menos de até 0,5%, não havendo restrição de tolerância para mais. A marcação inicial deve ser feita em contraste com a cor da capa do cabo, sendo preferencialmente azul ou preta para cabos de cores claras, e branca para cabos de cores escuras ou em relevo. Se a marcação não satisfizer os requisitos anteriores, é permitida a remarcação na cor amarela.

A remarcação deve ser feita de forma a não se sobrepor à marcação inicial defeituosa. Cada lance de cabo deve ser fornecido acondicionado em um carretel de madeira com diâmetro mínimo do tambor de 22 vezes o diâmetro externo do cabo. A largura total do carretel não pode exceder 1,5 m e a altura total não pode ser superior a 2,1 m.

Os carretéis devem conter um número de voltas tal que entre a camada superior e as bordas dos discos laterais exista um espaço livre mínimo de 6 cm. Os carretéis utilizados devem estar conforme a NBR 11137. As extremidades do cabo devem ser solidamente presas à estrutura do carretel, de modo a não permitir que o cabo se solte ou se desenrole durante o transporte.

A extremidade interna do cabo na bobina deve estar protegida para evitar danos durante o transporte, ser acessível para ensaios, possuir um comprimento livre de no mínimo 2 m e ser acomodada com diâmetro de no mínimo 22 vezes o diâmetro externo do cabo. Após efetuados todos os ensaios requeridos para o cabo, as extremidades do lance devem ser fechadas, a fim de prevenir a entrada de umidade. Cada lance do cabo óptico interno deve ter um comprimento nominal de 1.000 m, podendo, a pedido do comprador, ser fornecido em comprimento específico. A tolerância de cada lance deve ser de + 3%, não sendo admitidos comprimentos inferiores ao especificado.

Devem ser identificadas em cada bobina, com caracteres perfeitamente legíveis e indeléveis, as seguintes informações: nome do comprador; nome do fabricante; número da bobina; designação do cabo; comprimento real do cabo na bobina, expresso em metros (m); massa bruta e massa líquida, expressas em quilogramas (kg); uma seta ou marcação apropriada para indicar o sentido em que o cabo deve ser desenrolado; identificação de remarcação, quando aplicável. O transporte, armazenamento e utilização das bobinas dos cabos ópticos internos devem ser feitos conforme a NBR 7310.

Os requisitos dos cabos ópticos protegidos contra o ataque de roedores

Saiba como deve ser a fabricação dos cabos ópticos dielétricos protegidos contra o ataque de roedores. Os cabos com revestimento NR ou RC são indicados para instalações subterrâneas aplicadas em linhas de dutos e em instalações aéreas, espinado junto ao mensageiro.

A NBR 14773 de 07/2020 – Cabo óptico dielétrico protegido contra o ataque de roedores para aplicação subterrânea em duto ou aérea espinado — Especificação especifica os requisitos para a fabricação dos cabos ópticos dielétricos protegidos contra o ataque de roedores. Os cabos com revestimento NR ou RC são indicados para instalações subterrâneas aplicadas em linhas de dutos e em instalações aéreas, espinado junto ao mensageiro. Os cabos com revestimento COG, COR, COP ou LSZH são utilizados apenas para instalações subterrâneas em dutos ou internas. Um cabo óptico dielétrico protegido contra o ataque de roedores para aplicação subterrânea em duto ou aérea espinado é um conjunto constituído por fibras ópticas monomodo ou multimodo de índice gradual, revestidas em acrilato, com elemento (s) de proteção da (s) unidade (s) básica (s), eventuais enchimentos; com elemento (s) de proteção da (s) unidade (s) básica (s) e núcleo resistente à penetração de umidade, e protegidos por revestimento interno de material termoplástico, uma barreira resistente à ação de roedores e revestimento externo de material termoplástico.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como pode ser definido o material hidroexpansível?

Qual é o código de cores das unidades básicas?

Quais são as cores das fibras ópticas?

Como deve ser executada a barreira resistente à ação de roedores?

Como deve ser feita a marcação métrica sequencial?

Na fabricação dos cabos ópticos dielétricos protegidos contra o ataque de roedores para aplicação em linhas de dutos ou aérea espinado, devem ser observados processos de modo que os cabos prontos satisfaçam os requisitos especificados nesta norma. Os cabos ópticos dielétricos protegidos contra o ataque de roedores para aplicação em linhas de dutos ou aérea espinado são designados pelo seguinte código: CFOA – X – Y – W – Z – K, onde CFOA é o cabo com fibra óptica revestida em acrilato; X é o tipo de fibra óptica, conforme a tabela abaixo; Y é a aplicação do cabo e formação do núcleo, conforme a tabela abaixo; W é o tipo de barreira à penetração de umidade, conforme a tabela abaixo; Z é o número de fibras ópticas, conforme a tabela abaixo. Outras quantidades de fibras por cabo podem ser adotadas, sendo objeto de acordo entre o comprador e o fornecedor. K é o grau de proteção do cabo quanto ao comportamento frente à chama, conforme a tabela abaixo e especificado em 5.2.7 (Comportamento frente à chama). A gravação do termo NR é facultativa.

Os materiais constituintes dos cabos ópticos dielétricos protegidos contra o ataque de roedores para aplicação em linhas de dutos ou aérea espinado devem ser dielétricos. Os materiais utilizados na fabricação do cabo devem ser compatíveis entre si. Os materiais utilizados na fabricação dos cabos com função estrutural devem ter as suas características contínuas ao longo de todo o comprimento do cabo. As fibras ópticas tipo multimodo de índice gradual, utilizadas na fabricação dos cabos, devem estar conforme a NBR 13487.

As fibras ópticas tipo monomodo com dispersão normal, utilizadas na fabricação dos cabos, devem estar conforme a NBR 13488. As fibras ópticas tipo monomodo com dispersão deslocada e não nula, utilizadas na fabricação dos cabos, devem estar conforme a NBR 14604. As fibras ópticas tipo monomodo com baixa sensibilidade a curvatura, utilizadas na fabricação dos cabos, devem estar conforme a NBR 16028.

Não são permitidas emendas nas fibras ópticas durante o processo de fabricação do cabo. O núcleo deve ser constituído por unidades básicas. Os cabos ópticos devem ser fabricados com unidades básicas de 2, 4, 6, 8, 12, 16, 24, 36 ou 48 fibras ópticas. As unidades básicas devem ser dispostas em elementos de proteção adequados, de modo a atender aos requisitos especificados nesta norma.

Os elementos de proteção podem ser constituídos por tubos de material polimérico encordoados em uma ou mais coroas, ou de forma longitudinal. Os elementos de proteção encordoados devem ser reunidos com passo e sentido escolhidos pelo fabricante, de modo a satisfazer as características previstas nesta norma. Podem ser colocados enchimentos de material polimérico compatível com os demais materiais do cabo, a fim de formar um núcleo cilíndrico.

No caso de cabos ópticos constituídos por elementos de proteção encordoados dispostos em mais de uma coroa, opcionalmente estas coroas podem ser separadas por fitas, a fim de facilitar a sua identificação. O núcleo pode ser constituído por um único elemento de proteção central de material polimérico. É recomendado que cabos ópticos compostos por elementos de proteção encordoados de até 12 fibras ópticas sejam constituídos por unidades básicas, onde cada unidade pode conter 2 ou 6 fibras ópticas.

É recomendado que cabos ópticos compostos por elementos de proteção encordoados de 18 a 36 fibras ópticas sejam constituídos por unidades básicas, onde cada unidade pode conter 6 ou 12 fibras ópticas. É recomendado que cabos ópticos compostos por elementos de proteção encordoados de 48 a 288 fibras ópticas sejam constituídos por unidades básicas, onde cada unidade pode conter 12 ou 24 fibras ópticas. É recomendado que cabos ópticos compostos por elementos de proteção encordoados com capacidade superior a 288 fibras ópticas sejam constituídos por unidades básicas onde cada unidade pode conter 24, 36 ou 48 fibras ópticas.

Os elementos de proteção das unidades básicas devem ser preenchidos com composto não higroscópico ou com materiais hidroexpansíveis que assegurem o enchimento dos espaços intersticiais. O núcleo do cabo óptico geleado deve ser preenchido com composto não higroscópico que assegure o enchimento dos espaços intersticiais e limite a penetração e propagação de umidade no interior do cabo. O núcleo do cabo óptico seco deve ser protegido com materiais hidroexpansíveis, de forma a assegurar a sua resistência à penetração de umidade.

Os compostos de preenchimento e os materiais hidroexpansíveis devem ser homogêneos e inodoros, e devem permitir a identificação visual das partes componentes do cabo. Os compostos de preenchimento e os materiais hidroexpansíveis devem ser livres de impurezas, partículas metálicas ou outros materiais estranhos.

Os compostos de preenchimento e os materiais hidroexpansíveis devem ser facilmente removíveis e não tóxicos, e não podem provocar danos ao operador. Os compostos de preenchimento e os materiais hidroexpansíveis devem apresentar características que não degradem os componentes do cabo. O núcleo do cabo óptico deve ser protegido termicamente, de modo que sejam evitados danos às fibras ópticas e às unidades básicas, não permitindo a adesão entre elas, provocada pela transferência de calor durante a aplicação dos revestimentos.

A identificação inequívoca dos instrumentos financeiros

A NBR 16885 de 06/2020 – Identificador global de instrumento financeiro (FIGI) – Diretrizes fornece as diretrizes para a identificação inequívoca de instrumentos financeiros em três diferentes níveis, local/sistema de registro/negociação (nível câmara), mercado onde o instrumento financeiro é emitido/negociado (nível país) e nível global. Estas diretrizes englobam a sintaxe para a composição de um identificador global de instrumentos financeiros, o conteúdo associado a um identificador, bem como a sua relação com instrumentos financeiros e com outros identificadores de instrumentos financeiros.

Acesse algumas dúvidas relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:

O que é um identificador global composto?

Qual é o fluxo do processo de alocação de prefixos de identificador?

Como é a conformidade como provedora de identificadores?

Para que fazer a solicitação de serviço de um novo identificador?

O desenvolvimento de um identificador global de instrumento financeiro originou-se do reconhecimento de que a teoria do caos não contempla a complexidade gerada todos os dias pelos bilhões – talvez trilhões – de transações com instrumentos financeiros que realizam câmaras de compensação e bolsas de valores em todo o mundo. Quase todos os aspectos do gerenciamento de instrumentos financeiros são baseados em sistemas fechados que usam identificadores proprietários que são de propriedade restrita e utilização licenciada.

Fechar cada acordo é tanto um exercício de tradução de informações quanto de processamento de transações, já que os traders, investidores e corretores lutam com vários formatos proprietários para determinar o que é, quem é o dono, quanto vale determinado instrumento financeiro e quando uma negociação precisa ser fechada. Ele introduz uma enorme quantidade de atrito no ciclo de vida do negócio e cria opacidade onde a clareza é procurada. Além disso, o uso de identificadores proprietários acrescenta custos e despesas gerais significativos quando os usuários desejam integrar dados de fontes diferentes ou migrar para um sistema de dados de outro mercado.

A evolução das simbologias avançadas ajudou a indústria de valores mobiliários a crescer, mas as limitações e os custos impostos pelos sistemas fechados tornaram-se mais evidentes à medida que as empresas e instituições continuam a integrar as operações em uma escala global. A simbologia proprietária agora se coloca como uma das barreiras mais significativas para aumentar a eficiência e a inovação em um setor que realmente necessita dela.

Além disso, a falta de identificadores comuns é um obstáculo fundamental para alcançar o estado da arte do processamento direto (STP). Alguns pontos merecem ser destacados. As taxas de licenciamento exigem que as empresas paguem por cada sistema de símbolos que usam. As organizações internacionais arcam com um ônus especialmente pesado, porque muitas vezes precisam licenciar diversas simbologias para administrar operações comerciais em vários países.

As restrições impostas por simbologias proprietárias impedem as empresas de mapear facilmente um conjunto de códigos para outro. Isso dificulta a integração de dados de mercado de diversas fontes, bem como esforços para automatizar as atividades comerciais e de liquidação. Os consumidores de dados de mercado que adotam símbolos proprietários para uso em seus próprios sistemas não precisam pagar apenas as taxas de licenciamento, mas esses símbolos também levam a custos futuros significativos, associados aos esforços para se conectar aos sistemas comerciais emergentes.

Os ambientes de negociação proprietários podem ter funcionado bem durante anos, mas são um subproduto de uma época em que os sistemas de dados funcionavam em grande parte como ilhas que não precisavam interoperar com outros sistemas. Um nível de abordagem diferente: mercados, clientes e governos estão exigindo maior conectividade, transparência e eficiência.

Além disso, a abertura dos sistemas baseados na internet alterou profundamente a forma como as empresas e os indivíduos coletam, gerenciam e compartilham informações. Assim, além de novas regulamentações que exigem clareza e responsabilidade, a mudança para a simbologia aberta está sendo impulsionada por crescentes demandas institucionais e de investidores.

A adoção de um sistema aberto de simbologia compartilhada estabelece as bases para um tremendo salto na negociação eficiente e na liquidação de valores mobiliários, bem como no gerenciamento de dados e relatórios de instrumentos financeiros de maneira mais geral. Esse sistema permitirá que empresas e provedores de serviços de tecnologia transfiram recursos de processos trabalhosos e ineficientes para novos investimentos em ferramentas e produtos que melhor atendam aos clientes.

O rápido crescimento do processamento distribuído levou à necessidade de uma estrutura de coordenação para essa padronização e às recomendações da ISO/IEC 10746 (todas as partes); o Modelo de Referência de Processamento Distribuído Aberto (RM-ODP) fornece tal estrutura. Ele define uma arquitetura na qual o suporte de distribuição, interoperabilidade e portabilidade pode ser integrado.

A ISO/IEC 10746-2 estabelece os conceitos fundamentais e a estrutura de modelagem para descrever sistemas distribuídos. Os escopos e objetivos da ISO/IEC 10746-2 e da Linguagem de Modelagem Unificada (UML), embora relacionados, não são os mesmos e, em vários casos, a ISO/IEC 10746-2 e a especificação da UML usam o mesmo termo para conceitos relacionados, mas estes não são idênticos (por exemplo, interface). No entanto, uma especificação usando os conceitos de modelagem da ISO/IEC 10746-2 pode ser expressa usando UML com extensões apropriadas (usando estereótipos, tags e restrições).

A ISO/IEC 10746-3 especifica uma arquitetura genérica de sistemas distribuídos abertos, expressa usando os conceitos fundamentais e a estrutura estabelecida na ISO/IEC 10746-2. Devido à relação entre a UML como linguagem de modelagem e a ISO/IEC 10746-3, é fácil demonstrar que a UML é adequada como uma notação para as especificações de pontos de vista individuais definidas pelo RM-ODP.

Esta norma estabelece um método para automatizar a contagem de pontos de função, que é geralmente consistente com a versão 4.3.1 do Manual de Práticas de Contagem (CPM do inglês Counting Practices Manual), produzido pelo Grupo Internacional de Usuários de Pontos de Função (IFPUG do inglês International Function Point Users Group). As diretrizes desta norma podem diferir daquelas do CPM do IFPUG em pontos onde os julgamentos subjetivos precisavam ser substituídos pelas regras necessárias para automação. O CPM do IFPUG foi selecionado como base para esta norma, porque é a especificação de medição funcional mais amplamente utilizada, com uma grande infraestrutura de suporte mantida por uma organização profissional.

Pode-se ressaltar que um identificador global de instrumento financeiro é estruturado como uma cadeia de 12 caracteres que é semanticamente sem sentido. Como a cadeia se destina a permanecer ligada a um determinado instrumento financeiro ao longo da vida desse instrumento, além de servir como referência histórica para instrumentos financeiros obsoletos, é vital que a cadeia seja estruturada de forma a ser semanticamente neutra.

Devido à granularidade do identificador global de instrumento financeiro, existe a necessidade de vários tipos de identificadores para fornecer agrupamentos de instrumentos financeiros. Os três tipos de identificadores globais de instrumento financeiro são os seguintes: identificador global: esse é o tipo mais básico de identificador que se aplica exatamente a um único instrumento financeiro no nível mais granular. Por exemplo, ações comuns da Apple (AAPL) negociadas no mercado NASDAQ Global Select.

A granularidade desse identificador é encontrada naquilo que ele identifica. Em particular, o FIGI mais básico identifica um instrumento financeiro, onde aplicável, ao nível do local de negociação. Isto é, quando aplicável, o identificador global identifica um instrumento financeiro dentro do contexto de um local de negociação.

Um identificador global composto é, ele próprio, um identificador global que é diferenciado de um identificador global normal, na medida em que serve como “pai” em uma hierarquia de identificadores globais individuais. Por exemplo, ações comuns da AAPL negociadas no mercado NASDAQ Global Select (nível local/sistema) e em nível global, apresentadas como uma lista de identificadores globais compostos. O propósito desta versão do identificador é agrupar identificadores individuais, conforme descrito anteriormente, em agrupamentos no nível do país.

O identificador global composto só se aplica a um subconjunto limitado de identificadores globais. Em particular, aplica-se apenas àqueles identificadores globais que podem ser diferenciados com base na bolsa em que o ativo é negociado, ou na fonte de preços do ativo. Essas condições só são obtidas no caso de ações. Como tal, o identificador global composto é usado apenas no agrupamento de ações.

O identificador global da classe de ativos é semelhante a um identificador global composto, porém o identificador global da classe de ativos identifica um instrumento financeiro dentro do contexto da perspectiva global, por exemplo, ações ordinárias da Apple. Como um mecanismo de agrupamento para identificadores globais compostos, o identificador global da classe de ativos é usado apenas no agrupamento de ações.

Convém que os caracteres utilizados dentro de um identificador global de instrumento financeiro (FIGI) sejam os seguintes: todas as seguintes consoantes em maiúsculas: B, C, D, F, G, H, J, K, L, M, N, P, Q, R, S, T, V, W, X, Y, Z; os únicos dígitos inteiros são 0 – 9. Enquanto a cadeia em si é semanticamente sem sentido, existe uma estrutura específica que é usada. Convém que as regras de sintaxe para os 12 caracteres sejam as seguintes: caracteres 1 e 2: qualquer combinação de consoantes maiúsculas, com as seguintes exceções: BS, BM, GG, GB, GH, KY, VG. O objetivo desta restrição é reduzir as chances de que o identificador resultante possa ser idêntico a uma sequência do código ISIN (International Securities Identification Number) (ver ISO 6166).

Estritamente falando, uma duplicata não é um problema, pois as strings designam coisas diferentes, mas mesmo assim foi tomado cuidado para reduzir a ambiguidade. A maneira que o ISIN é construído é que os dois primeiros caracteres correspondem ao país de emissão. O terceiro caractere, dependendo da organização emissora, é tipicamente um numeral. No entanto, no caso do Reino Unido, a letra “G” é atribuída. Como está sendo usada a letra “G” como o caractere 3, as únicas combinações que podem surgir dentro do ISIN que somente incorporam consoantes são BSG (Bahamas), BMG (Bermudas), GGG (Guernsey), GBG (Reino Unido) e VGG (Ilhas Virgens Britânicas).

A razão para isso é que o Reino Unido emite números ISIN para entidades dentro de sua jurisdição mais ampla. A alocação dos prefixos para diferentes Provedores Certificados (PC) é especificada no Anexo A. O caractere 3: a letra maiúscula G (para global); o caractere 4-11: qualquer combinação de consoantes maiúsculas e algarismos 0 – 9; caracteres 12: um dígito de verificação (0 – 9) calculado da seguinte forma: as letras são convertidas em números inteiros, conforme a tabela abaixo.

Usando os primeiros 11 caracteres, começando no último caractere em formato inteiro e trabalhando da direita para a esquerda, cada segundo inteiro é multiplicado por dois. A sequência de inteiros resultante (números maiores que 10 se tornam dois dígitos separados) é somada. Subtrair o total do próximo inteiro mais alto que termina em zero. Se o total obtido ao somar os dígitos for um inteiro terminando em zero, convém que o dígito de verificação seja zero.

Embora o identificador global esteja no centro desta norma, um conjunto de campos complementares está associado ao identificador, sendo dois dos quais instâncias especiais do próprio identificador. A necessidade dos pontos de dados adicionais é amplamente uma função da granularidade do identificador global. Como o identificador global serve para identificar instrumentos financeiros no nível mais granular possível, é muito útil especificar claramente os diferenciadores que constituem a granularidade.

Para esse fim, vários elementos-chave de dados estão associados a cada identificador global, que servem para destacar os recursos de diferenciação, além de fornecer informações adicionais sobre o instrumento financeiro, como, por exemplo, o seu nome. Os instrumentos financeiros são, pela sua natureza, coisas que podem ser compradas ou vendidas. Os instrumentos financeiros de que esta norma trata são comprados ou vendidos em uma bolsa de valores.

Como o identificador global atribui identificadores exclusivos aos instrumentos financeiros no nível mais granular possível, convém especificar o local no qual o instrumento financeiro individual é negociado. Convém que o identificador global seja agrupado, juntamente com a fonte de preços, como um código associado. Os códigos dos locais de negociação estão associados aos instrumentos financeiros por meio da propriedade de objeto “has” que é usado em vez de uma propriedade de objeto mais descritiva, como “hasAssociatedCode”, para alavancar os recursos de raciocínio e ser “mapeável” para as relações da Ontologia de Negócios da Indústria Financeira (FIBO).

O nome do instrumento financeiro é o nome da empresa e, às vezes, pode incluir uma breve descrição do instrumento financeiro. O nome de um instrumento pode mudar em conjunto com eventos corporativos. Conforme mencionado anteriormente, convém que o identificador associado ao instrumento financeiro não seja alterado em resposta a tal evento. Em muitos casos, como, por exemplo, ações ordinárias, o nome do instrumento financeiro também é o nome do órgão emissor.

Isso não é suficiente para individualizar o instrumento financeiro, uma vez que as organizações emitem instrumentos financeiros com exatamente o mesmo nome, mas que são negociados em diferentes bolsas. Esta é uma distinção que está ausente em outros identificadores, mas serve como uma característica particular para o FIGI.

Como definir os elementos consistentes dos metadados

O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações.

A NBR ISO 23081-2 de 04/2020 – Informação e documentação — Gerenciamento de metadados para documentos de arquivo – Parte 2: Problemas conceituais e implementação estabelece um modelo para definir os elementos de metadados consistentes com os princípios e as considerações de implementação descritos na NBR ISO 23081-1. O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações. Ela também identifica alguns dos pontos de decisão críticos que precisam ser abordados e documentados para permitir a implementação de metadados para gerenciar documentos de arquivo. Ela visa identificar os problemas que precisam ser abordados na implementação de metadados para gerenciamento de documentos de arquivo, identificar e explicar as várias opções para abordar as questões, e identificar vários caminhos para tomar decisões e escolher opções na implementação de metadados para gerenciar documentos de arquivo.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais as relações entre entidades nos metadados?

Quais são os conceitos relativos à implementação de metadados?

Por que os metadados podem ser herdados de um agregado superior para um inferior?

Qual o modelo de metadados para gerenciar documentos de arquivo?

A série NBR ISO 23081 descreve metadados para documentos de arquivo. Esta parte 2 concentra-se no modelo de definição de elementos de metadados para gestão de documentos de arquivo, e fornece uma declaração genérica de elementos de metadados, sejam estes físicos, analógicos ou digitais, de acordo com os princípios da NBR ISO 23081-1. Ela fornece uma fundamentação sólida dos metadados para gerenciar documentos de arquivo em organizações, modelos conceituais de metadados e um conjunto de elementos de alto nível de metadados genéricos, adequados para qualquer ambiente de documentos de arquivo.

Abrange, por exemplo, implementações atuais de gestão de documentos de arquivo ou arquivísticas. Ela define os tipos genéricos de metadados, tanto para entidades de documentos de arquivo quanto para outras entidades que precisam ser gerenciadas para documentar e entender o contexto dos documentos de arquivos. Esta parte 2 também identifica, para entidades-chave, um número mínimo de camadas de agregação fixas que são necessárias para fins de interoperabilidade. Os modelos e os tipos de metadados genéricos delineados nesta parte são principalmente focados na entidade documentos de arquivo.

No entanto, eles também são relevantes para as outras entidades. Não estabelece um conjunto específico de elementos de metadados. Em vez disso, ela identifica tipos genéricos de metadados que são necessários para cumprir os requisitos para gerenciar documentos de arquivo. Essa abordagem fornece às organizações a flexibilidade para selecionar metadados específicos para atender aos requisitos de seus negócios e gerenciar seus documentos de arquivo enquanto eles são necessários.

Ela fornece diagramas para determinar os elementos de metadados que podem ser definidos em uma implementação específica e os que podem ser aplicados a cada agregação das entidades definidas. Ela reconhece que essas entidades podem existir em diferentes camadas de agregação. Ela define tipos de metadados genéricos que podem ser aplicados em todas as camadas de agregação, ao mesmo tempo em que alerta aos implementadores para elementos de metadados que só podem ser aplicados em camadas de agregação específicas.

A implementação de metadados para gerenciar documentos de arquivo usando parâmetros organizacionais e de sistema envolve uma série de escolhas, que são determinadas pelas conjunturas da organização, pelos sistemas instalados e pelos requisitos para gerenciar documentos de arquivo. Com base nos princípios da NBR ISO 23081-1, esta parte 2 fornece explicações adicionais sobre os conceitos subjacentes de esquemas de metadados para gerenciar documentos de arquivo, oferece orientações práticas para o desenvolvimento e construção desses esquemas do ponto de vista organizacional e, finalmente, aborda questões relacionadas à implementação e ao gerenciamento de metadados ao longo do tempo.

Destina-se a arquivistas (ou pessoas atribuídas dentro de uma organização para gerenciar documentos de arquivo em qualquer ambiente) responsáveis pela definição de metadados para gerenciar documentos de arquivo em qualquer camada de agregação em um sistema de negócios ou software de documentos de arquivo dedicado, sistemas/analistas de negócio responsáveis pela identificação de metadados para gerenciar documentos de arquivo em sistemas de negócio, arquivistas ou analistas de sistemas que abordam os requisitos de interoperabilidade do sistema envolvendo documentos de arquivo, e fabricante de software, como fornecedores de aplicativos que apoiam e permitem a definição, captura e gestão de metadados ao longo do tempo. As organizações precisam de sistemas de informação que capturem e gerenciem informações contextuais adequadas para auxiliar o uso, compreensão, gerenciamento e acesso a documentos de arquivo ao longo do tempo.

Esta informação é crítica para assegurar autenticidade, confiabilidade, integridade, usabilidade e qualidades probatórias de documentos de arquivo. Coletivamente, essa informação é conhecida como metadados para gerenciamento de documentos de arquivo. Os metadados para gerenciar documentos de arquivo podem ser usados para uma variedade de propósitos dentro de uma organização, apoiando, identificando, autenticando, descrevendo, localizando e gerenciando seus recursos de forma sistemática e consistente para atender às necessidades de negócio, responsabilidade e requisitos societários das organizações.

O software de documentos de arquivo e os sistemas de negócio com funcionalidade de gerenciamento de registros gerenciam documentos de arquivo, capturando e gerenciando os seus metadados e o contexto de sua produção e uso. Os documentos de arquivo, particularmente sob a forma de transações eletrônicas, podem existir fora do software de documentos de arquivo formais, muitas vezes sendo produzidos em sistemas de negócio que atendem a fins específicos (por exemplo, sistemas de licenciamento).

Os documentos de arquivo são usados e compreendidos por pessoas que possuem ou têm acesso a conhecimentos suficientes sobre os processos que estão sendo realizados ou por pessoas que estão envolvidas na transação dos documentos de arquivo gerados e seu contexto imediato. Tais documentos de arquivo nem sempre são robustos, por razões que incluem as ligações contextuais que podem não ser escritas e depender da memória individual e do grupo.

Essa confiança no entendimento contextual não escrito não é confiável; algumas pessoas têm acesso a mais conhecimento do que outras; ao longo do tempo, a usabilidade dos documentos de arquivo será comprometida pelo movimento do pessoal e pela diminuição da memória corporativa. Os documentos de arquivo muitas vezes não possuem informações explícitas necessárias para identificar os componentes de uma transação fora do contexto de negócio específico e, portanto, são difíceis de intercambiar com outros sistemas de negócio relacionados aos fins de interoperabilidade.

Os processos de gestão necessários para assegurar a sustentabilidade dos documentos de arquivo ao longo do tempo, que eles requerem, geralmente não são uma característica de tais sistemas. Existem limites práticos para a quantidade de informações contextuais que podem ser explicitadas e capturadas em um determinado sistema na forma de metadados. O contexto é infinito, enquanto um único sistema de informação possui limites finitos. Outras informações contextuais sempre existirão fora dos limites de qualquer sistema. Um único sistema de software de documentos de arquivo precisa capturar o máximo de metadados que forem considerados úteis para que o sistema e seus usuários interpretem e gerenciem os documentos de arquivo pelo tempo que forem necessários no sistema e para permitir a migração daqueles documentos de arquivo requeridos fora do sistema.

Os bons esquemas de metadados são dinâmicos e podem incluir metadados adicionais para gerenciar documentos de arquivo conforme necessário ao longo do tempo. Muitos metadados para gerenciar documentos de arquivo podem ser obtidos de outros sistemas de informação. Para que eles sejam úteis em um sistema de gerenciamento de documentos de arquivo, eles precisam ser estruturados e organizados de forma padronizada.

Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação dentro e entre organizações. Os metadados para gerenciar documentos de arquivo não só descrevem seus atributos, de forma a permitir seu gerenciamento e uso/reutilização, mas também documentam as relações entre os documentos de arquivo e os agentes que os definem e os usam, além dos eventos ou circunstâncias em que os documentos de arquivo são produzidos e utilizados. Os metadados apoiam a busca de informações e a manutenção de sua autenticidade.

As organizações precisam produzir documentos de arquivo de suas transações e mantê-los enquanto forem necessários. Isso pode ser feito somente se os sistemas de negócio das organizações capturarem metadados de documentos de arquivo de acordo com os requisitos organizacionais para gerenciá-los. O quanto melhor um sistema gerencia documentos de arquivo é em grande parte dependente das funcionalidades de metadados do sistema. As relações entre os sistemas de negócio e os sistemas de softwares específicos de documentos de arquivo estão sujeitas às decisões nas implementações, conforme descrito na Seção 11.

A interoperabilidade refere-se à capacidade de dois ou mais sistemas automatizados de trocar informações e reconhecer, processar e usar essas informações com sucesso. Os sistemas interoperáveis precisam ser capazes de funcionar simultaneamente em níveis técnicos, semânticos e sintáticos. Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação.

Os metadados padronizados para gerenciar documentos de arquivo ajudam a permitir a interoperabilidade da seguinte maneira: entre sistemas de negócio dentro de uma organização (por exemplo, entre os sistemas que apoiam um processo de negócio e aqueles que oferecem apoio a outros processos de negócio em toda a organização); entre sistemas de negócio que produzem documentos de arquivo e software de documentos de arquivo que os administram como documentos de arquivo; entre sistemas de negócio durante a migração de um sistema; entre várias organizações envolvidas na condução de processos de negócio (por exemplo, em uma cadeia de gerenciamento ou transações de comércio eletrônico); entre organizações para uma variedade de outros propósitos do negócio (por exemplo, na realização de transações compartilhadas ou transferência de documentos de arquivo para um terceiro); ao longo do tempo entre os sistemas de negócio que produzem documentos de arquivo e sistemas arquivísticos que os preservam. Ao apoiar a interoperabilidade, os metadados para gerenciar documentos de arquivo permitem a descoberta de recursos em sistemas de negócio, bem como em software de documentos de arquivo.

Os esquemas de metadados podem ser adaptados aos requisitos organizacionais para mitigação dos riscos. As organizações especificarão elementos que devem estar presentes para que os documentos de arquivo sejam confiáveis, autênticos e íntegros. Outros elementos serão opcionais, para inclusão, a critério das subunidades de organizações, ou para sistemas de negócio específicos dentro das organizações.

Ao considerar estratégias de implementação de metadados, recomenda-se que as organizações identifiquem os riscos que existem, considerem o grau de risco envolvido e garantam que a estratégia de implementação: forneça acesso aos sistemas de negócio críticos ao longo do tempo, satisfaça os requisitos legais de autenticidade e confiabilidade, e seja sustentável a partir de uma perspectiva de recursos ao longo do tempo. Os metadados estruturados para gerenciamento de documentos de arquivo, em combinação com boas funcionalidades de sistemas de busca, apoiam o acesso e a recuperação de documentos de arquivo em toda a organização. Isso maximiza a capacidade das pessoas de encontrar documentos de arquivo relevantes de forma rápida e fácil, quando precisam.

Além disso, os metadados de documentos de arquivo estruturados permitem que as informações sejam recuperadas no contexto do negócio, aumentando assim a compreensão e a confiabilidade das informações recuperadas para reutilização. Um investimento inicial, relativamente pequeno, em bons metadados, pode melhorar a qualidade e reduzir os custos de recuperação de informações para a organização. Os metadados para gerenciar documentos de arquivo podem ser usados para reduzir o risco de uso não autorizado. Metadados são necessários para especificar se o acesso aos documentos de arquivo é restrito.

Recomenda-se que somente aqueles com autorização apropriada tenham acesso aos documentos de arquivo. Convém que quaisquer instâncias de acesso sejam documentadas como metadados. Os metadados de controle de acesso são vitais para assegurar os interesses legais e de negócio da organização. Eles asseguram o gerenciamento adequado da confidencialidade e privacidade de informações pessoais e outras restrições de uso e segurança identificadas nos documentos de arquivo de uma organização.

Com a mudança da estrutura, função ou processo de trabalho de uma organização, ocorre uma alteração nas responsabilidades para as atividades do negócio. A implementação de metadados de documentos de arquivo padronizados e estruturados ajudam a identificar os documentos de arquivo apropriados para serem movidos em todos os sistemas e limites organizacionais. Esses metadados padronizados também ajudam a extrair documentos de arquivo de um sistema e importá-los para outros sistemas, preservando a ligação contextual, independentemente de qualquer sistema de negócio particular.

Os documentos de arquivo digitais dependem de metadados para sua existência, gestão e uso futuro. As características dos documentos de arquivo (ISO 15489-1:2001, 7.2), em todos os formatos, são definidas nos metadados dos documentos de arquivo. Assegurar a preservação dos documentos de arquivo, incluindo seus metadados, em formato eletrônico, exige conformidade com padrões de metadados estáveis, estruturados e bem definidos, para sua sustentabilidade em atualizações ou mudanças de software. A preservação dos documentos de arquivo digitais, enquanto eles são necessários, pode envolver uma série de estratégias (ver Seção 11), mas todas as estratégias dependem da existência de metadados padronizados para gerenciar documentos de arquivo.

Muitas das informações necessárias para documentar e descrever os documentos de arquivo e seu contexto em sistemas arquivísticos podem ser obtidas a partir dos metadados em software de documentos de arquivo. Recomenda-se que esta interligação seja tão perfeita quanto possível. Capturar metadados para gerenciar documentos de arquivo de acordo com um esquema padronizado torna esse processo mais fácil de implementar.

Conforme indicado na ISO 23081-1:2006, Seção 6, recomenda-se que estratégias de metadados sejam tratadas como parte integrante, ou explicitamente relacionada, a uma estratégia mais ampla de gerenciamento de informações e documentos de arquivo da organização. A este respeito, convém que seja elaborada uma política clara relacionada aos metadados, seja como uma área de política autônoma separada, ligada ao modelo de políticas de documentos de arquivo existente ou mesmo como uma parte integrante e distinta das políticas de documentos de arquivo organizacionais existentes.

Em ambos os casos, recomenda-se que as organizações identifiquem e atribuam funções e responsabilidades, incluindo responsabilidades para assegurar a qualidade de metadados; identifiquem os requisitos de confiabilidade, acessibilidade, recuperação, manutenção e segurança de metadados; selecionem padrões ou esquema de metadados aplicáveis; identifiquem e estabeleçam regras para a aplicação de esquemas de codificação de metadados (vocabulários controlados, esquemas de sintaxe); determinem normas técnicas a serem utilizadas na implementação; identifiquem como a política de metadados para gerenciar documentos de arquivo se relaciona a outras políticas ou esquemas de metadados que estão em uso na organização; identifiquem critérios e metodologias de avaliação para determinar a conformidade e a eficácia da política; desenvolvam estratégias de monitoramento e avaliação para acompanhar a política; determinem como a política será mantida atualizada, de acordo com as atividades do negócio.

Recomenda-se que qualquer política permita diferentes níveis de implementação. Convém identificar o nível e a forma a serem alcançados. Recomenda-se que uma política também identifique as áreas mais críticas e requeira atenção especial em relação às estratégias de implementação de metadados, como sustentabilidade, acessibilidade, identificação de documentos de arquivo vitais, preservação e análise de risco.

Em conformidade com o modelo estabelecido de funções e responsabilidades para os documentos de arquivo (ver ISO 15489-1:2001, 6.3), recomenda-se que a responsabilidade pelo desenvolvimento, implementação e manutenção de modelos de metadados para gerenciamento de documento de arquivo seja atribuída aos arquivistas, em associação com outros funcionários da organização, como da área de tecnologia da informação ou profissionais da área jurídica, conforme apropriado. Esta responsabilidade inclui analisar as necessidades da organização de metadados para gerenciar documentos de arquivo baseados nos requisitos do negócio; monitorar e analisar a evolução da organização em relação aos metadados, em particular os requisitos para o gerenciamento dos documentos de arquivo; assegurar que os esquemas de metadados para gerenciamento de documentos de arquivo sejam desenvolvidos de acordo com as melhores práticas e com as normas aplicáveis da indústria; desenvolver o modelo de metadados para gerenciar documentos de arquivo, incluindo o esquema de metadados, e as normas organizacionais relacionados e as regras para utilizar o modelo; identificar ou desenvolver esquemas de codificação de metadados apropriados, refinamentos de elementos e qualificadores, por exemplo, plano de classificação; manter o esquema de metadados atualizado e alinhado com as necessidades do negócio; gerenciar o esquema de metadados também como um documento de arquivo; manter a qualidade geral dos metadados definidos por máquina e por seres humanos, particularmente no que se refere à sua precisão, integridade, autenticidade, usabilidade e confiabilidade; coordenar as questões de implementação entre os documentos de arquivo e o pessoal de tecnologia da informação; realizar a coordenação com os proprietários dos sistemas de negócio para assegurar a integração dos metadados de gerenciamento de documentos de arquivo, conforme apropriado; realizar a coordenação com autoridades/processos arquivísticos para assegurar a interoperabilidade entre o software de documentos de arquivo e os ambientes de arquivamento de documentos de arquivo que possuem valor permanente; elaborar um programa e rotina de treinamento dos agentes sobre o uso e a aplicação do esquema de metadados; comunicar sobre o esquema de metadados dentro da organização.

Os sistemas desenvolvidos para gerenciar documentos de arquivo requerem metadados que apoiam processos de arquivos ou mesmo de gerenciamento de documentos de arquivo. Um dos principais usos dos metadados é representar entidades a partir do ambiente de negócio no sistema de negócio. As entidades apoiam a perspectiva dos documentos de arquivo para entender o ambiente de negócio, mas eles não são em si mesmos objetos sempre tangíveis.

A figura abaixo especifica o modelo conceitual de entidade e apoia qualquer número de entidades, mas de particular importância são as seguintes: os próprios documentos de arquivo sejam um documento individual ou agregações de documentos de arquivo (conhecidos como entidades de registro); as pessoas ou estruturas de organização no ambiente de negócio (conhecidas como entidades agente); transações de negócio (conhecidas como entidades de negócio); as regras que regem a transação e documentação de negócio (conhecidas como entidades competentes).

Não se espera que todas as implementações desta parte da NBR ISO 23081 implementem diretamente todas as classes de entidades descritas. Tais decisões dependerão da capacidade de assegurar ligações contínuas descritas entre as várias classes de entidades. As incertezas sobre a persistência podem levar a implementações centradas em documentos de arquivo, onde metadados sobre outras classes de entidades são trazidos explicitamente para dentro dos limites da própria classe de documento de arquivo.

Tais implementações achatam o modelo de entidade e incluem a informação sobre as classes faltantes de entidades dentro de outras entidades. Por exemplo, uma implementação que não contenha classes de agentes, determinações ou de negócio pode incluir as informações necessárias para a implementação da classe de documento de arquivo.

As orientações para a gestão da segurança da informação

Conheça as orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001.

A NBR ISO/IEC 27003 de 04/2020 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações fornece explicações e orientações sobre a NBR ISO/IEC 27001:2013.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como entender as necessidades e expectativas das partes interessadas?

Quais as orientações para estabelecer o escopo de um SGSI?

Por que a liderança e o comprometimento são essenciais para um sistema de gestão de segurança da informação (SGSI) efetivo?

Quais as orientações para uma política de segurança?

Este documento fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001 e fornece recomendações (‘Convém que’), possibilidades (‘pode’) e permissões (‘pode’) em relação a eles. Não é a intenção de este documento fornecer orientações gerais sobre todos os aspectos de segurança da informação. As Seções 4 a 10 deste documento espelham a estrutura da NBR ISO/IEC 27001:2013. Este documento não adiciona quaisquer novos requisitos para um SGSI e seus termos e definições relacionados.

Convém que as organizações consultem a ABNT NBR ISO/IEC 27001 e a ISO/IEC 27000 para requisitos e definições. As organizações implementando um SGSI não estão sob qualquer obrigação de observar as orientações deste documento. Um SGSI enfatiza a importância das seguintes fases: compreender as necessidades da organização e a necessidade de estabelecer política de segurança da informação e objetivos de segurança da informação; avaliar a organização, e os riscos relacionados à segurança da informação; implementar e operar processos, controles e outras medidas de segurança da informação para o tratamento de riscos; fiscalizar e analisar o desempenho e a eficácia do SGSI; e praticar a melhoria contínua.

Um SGSI, semelhante a qualquer outro tipo de sistema de gestão, inclui os seguintes componentes principais: política; pessoal com responsabilidades definidas; processos de gestão relacionados com o estabelecimento de política; provisão de conscientização e competência; planejamento; implementação; operação; avaliação de desempenho; análise crítica pela direção; melhoria; e informação documentada. Um SGSI tem componentes principais adicionais, como: avaliação de riscos de segurança da informação; e tratamento de riscos de segurança da informação, incluindo a determinação e a implementação de controles.

Este documento é genérico e se destina a ser aplicável a todas as organizações, independentemente do tipo, tamanho ou natureza. Convém que a organização identifique que parte destas orientações se aplica a ela de acordo com o seu contexto organizacional específico (ver NBR ISO/IEC 27001:2013, Seção 4). Por exemplo, algumas orientações podem ser mais adequadas para grandes organizações, mas para organizações muito pequenas (por exemplo, com menos de dez pessoas) algumas das orientações podem ser desnecessárias ou inadequadas.

As descrições das Seções 4 a 10 são estruturadas da seguinte forma: Atividade necessária: apresenta as principais atividades necessárias na subseção correspondente da NBR ISO/IEC 27001; Explicação: explica o que os requisitos da NBR ISO/IEC 27001 demandam; Orientações: fornece informações mais detalhadas ou de apoio para implementar a “atividade necessária”, incluindo exemplos para implementação; e Outras informações: fornece mais informações que podem ser consideradas.

As NBR ISO/IEC 27003, NBR ISO/IEC 27004 e NBR ISO/IEC 27005 formam um conjunto de documentos que dão suporte e orientações para a NBR ISO/IEC 27001:2013. Dentre esses documentos, a NBR ISO/IEC 27003 é um documento básico e abrangente que fornece orientações para todos os requisitos da NBR ISO/IEC 27001, mas não tem descrições detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação.

As NBR ISO/IEC 27004 e ABNT NBR ISO/IEC 27005 focam em conteúdos específicos e fornecem orientações mais detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação. Existem várias referências explícitas à informação documentada na NBR ISO/IEC 27001. No entanto, uma organização pode reter informações documentadas adicionais que considera necessárias para a eficácia do seu sistema de gestão como parte de sua resposta à NBR ISO/IEC 27001:2013, 7.5.1 b).

Nestes casos, este documento usa a frase “Informação documentada sobre esta atividade e o seu resultado é mandatório somente na forma e na medida em que a organização determina como necessário para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b)”. A organização determina questões externas e internas relevantes para sua finalidade e que afetam a sua habilidade para obter o (s) resultado (s) pretendido (s) do sistema de gestão da segurança da informação (SGSI).

Como uma função integrante do SGSI, a organização analisa constantemente a si própria e o mundo que a rodeia. Esta análise está preocupada com questões internas e externas que de alguma maneira afetam a segurança da informação e como a segurança da informação pode ser gerida, e que são relevantes para os objetivos da organização. A análise destas questões tem três objetivos: entender o contexto a fim de decidir o escopo do SGSI; analisar o contexto para determinar riscos e oportunidades; e assegurar que o SGSI esteja adaptado para mudar questões externas e internas.

Questões externas são aquelas que estão fora do controle da organização. Isso é frequentemente referido como o ambiente da organização. A análise deste ambiente pode incluir os seguintes aspectos: social e cultural; político, jurídico, normativo e regulatório; financeiro e macroeconômico; tecnológico; natural; e competitivo. Estes aspectos do ambiente da organização apresentam continuamente questões que afetam a segurança da informação e como a segurança da informação pode ser gerida. As questões externas relevantes dependem da situação e das prioridades específicas da organização.

Por exemplo, questões externas para uma organização específica podem incluir: implicações legais do uso de um serviço de TI terceirizado (aspecto legal); características da natureza em termos de possibilidade de desastres como incêndios, inundações e terremotos (aspecto natural); avanços técnicos de ferramentas de invasão e uso de criptografia (aspecto tecnológico); e demanda geral por serviços da organização (aspectos sociais, culturais ou financeiros).

Questões internas estão sujeitas ao controle da organização. A análise das questões internas pode incluir os seguintes aspectos: cultura da organização; políticas, objetivos e estratégias para alcançá-los; governança, estrutura organizacional, funções e responsabilidades; normas, diretrizes e modelos adotados pela organização; relações contratuais que podem afetar diretamente os processos da organização incluídos no escopo do SGSI; processos e procedimentos; capacidades, em termos de recursos e de conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); infraestrutura e ambiente físicos; sistemas de informação, fluxos de informação e processos de tomada de decisão (ambos formal e informal); e auditorias anteriores ou resultados de análise de riscos anteriores. Os resultados desta atividade são usados em 4.3, 6.1 e 9.3.

Com base em um entendimento da finalidade da organização (por exemplo, se referindo a sua declaração de missão ou plano de negócios), bem como o(s) resultado(s) pretendido(s) do SGSI da organização, convém para a organização: analisar criticamente o ambiente externo para identificar questões externas relevantes; e analisar criticamente os aspectos internos para identificar questões internas relevantes. A fim de identificar questões relevantes, a seguinte pergunta pode ser feita: Como uma determinada categoria de questões (ver 4.1 a) a t)) afetam os objetivos de segurança da informação?

Três exemplos de questões internas servem como uma ilustração de: EXEMPLO 1 Sobre a governança e a estrutura organizacional (ver 4.1 m)): Ao estabelecer um SGSI, convém considerar a governança e as estruturas organizacionais já existentes. Como um exemplo, a organização pode modelar a estrutura do seu SGSI com base na estrutura de outros sistemas de gestão existentes, e pode combinar funções comuns, como análise crítica pela direção e auditoria.

EXEMPLO 2 Sobre a política, objetivos e estratégias (ver 4.1 l)): Uma análise das políticas, objetivos e estratégias existentes pode indicar o que a organização pretende obter e como os objetivos de segurança da informação podem ser alinhados com os objetivos de negócio para assegurar resultados bem-sucedidos. EXEMPLO 3 Sobre os sistemas de informação e fluxos de informação (ver 4.1 s)): Quando determinar questões internas, convém à organização identificar, a um nível de detalhe suficiente, os fluxos de informação entre os seus vários sistemas de informação.

Como tanto as questões internas e externas irão mudar ao longo do tempo, convém serem analisadas criticamente, de forma periódica, as questões e a sua influência sobre o escopo, restrições e requisitos do SGSI. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b).

Na ISO/IEC 27000, a definição de “organização” possui uma nota que diz: “O conceito de organização inclui, mas não se limita a, comerciante independente, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação destas, incorporadas ou não, pública ou privada”. Alguns destes exemplos são entidades jurídicas em sua totalidade, enquanto outros não são.

BS ISO 19626-1: as plataformas de comunicação confiáveis para documentos eletrônicos

Essa norma internacional, editada pelo BSI em 2020, define os requisitos sobre a comunicação confiável em considerações legais, administrativas e técnicas. Este documento mostra uma arquitetura do sistema trusted communication platforms (TCP) para garantir uma comunicação confiável e promover os serviços confiáveis, fornecendo evidências de comunicação confiáveis como prova.

A BS ISO 19626-1:2020 – Processes, data elements and documents in commerce, industry and administration. Trusted communication platforms for electronic documents. Fundamentals define os requisitos sobre a comunicação confiável em considerações legais, administrativas e técnicas. Este documento mostra uma arquitetura do sistema trusted communication platforms (TCP) para garantir uma comunicação confiável e promover os serviços confiáveis, fornecendo evidências de comunicação confiáveis como prova.

Este documento enfoca o TCP na exibição da 7ª camada do aplicativo do Modelo de Referência OSI (Open Systems Interconnection). As audiências são os decisores políticos para a inovação de TI, como desmaterialização, especialistas jurídicos em atividades eletrônicas, planejadores de TI para janelas únicas e transações seguras, provedores de serviços de TI relacionados a redes e livros distribuídos, auditores de sistemas confiáveis, partes interessadas em comunicação confiável e assim por diante.

Conteúdo da norma

Prefácio

Introdução

1 Escopo

2 Referências normativas

3 Termos e definições

4 Comunicação confiável

4.1 Visão geral

4.2 Considerações legais

4.3 Requisitos administrativos

5 Plataforma de comunicação confiável (TCP)

5.1 Visão geral

5.2 Arquitetura do sistema TCP

5.3 Requisitos de sistema do TCP

5.4 Regras do sistema TCP

5.5 Comunicação TCP

6 Evidência de comunicação confiável (TCE)

6.1 geração TCE

6.2 Procedimento probatório

6.3 Custódia de TCE

Anexo A Modelo de referência de comunicação confiável

Anexo B TCP principal: qualidade e gestão de riscos

B.1 Geral

B.2 Gerenciamento de riscos

B.3 Gerenciamento de qualidade

B.4 Monitoramento e auditoria

Ligação de comunicação dos anexos C dos TCPSPs (um exemplo)

Bibliografia

Em meio ao grande fluxo de abertura e integração na economia mundial, as TIC (tecnologia da informação e comunicação) são usadas como um meio de inovação em produtividade e conectividade. Como a cadeia de valor de produtos e serviços é ampliada globalmente, as colaborações comerciais precisam que as comunicações eletrônicas sejam seguras em um ambiente aberto e distribuído.

Nesse sentido, os documentos eletrônicos são solicitados como prova das comunicações comerciais, enquanto isso é necessário. No entanto, pode ser difícil reconhecer documentos eletrônicos como a fonte original. Existem casos em que muitos processos dependem apenas de documentos em papel, mesmo que os documentos eletrônicos sejam amplamente implementados nos processos de negócios.

Porém, a realidade é que, mesmo que os documentos eletrônicos sejam adequadamente comunicados nas transações comerciais, a saída final dos dados pode estar em papel e armazenada na forma de cópias impressas, como evidência legal por um período de longo prazo. Assim, esse ambiente coexistente de documentos eletrônicos e documentos em papel causa quebra da cadeia de valor, resultando em produtividade lenta, ineficiência, aumento de custos e compensação do benefício obtido das TIC, a fim de melhorar essas situações.

Uma solução desmaterializante deve atender a considerações legais sobre documentos comunicados eletronicamente. Essa solução não é fácil, porque a própria comunicação eletrônica inclui as incertezas decorrentes de falhas na rede e o próprio documento eletrônico é insuficiente para proteger a integridade durante seu ciclo de vida. Enquanto isso, o problema devido ao repúdio, divulgação inadvertida ou adulteração foi considerado muito sensível para finalizar a solução de desmaterialização relacionada a transações comerciais, bem como diversos serviços governamentais, porque pode ser envolvido em disputas ou conflitos legais.

Este documento se concentra em como aprimorar a comunicação confiável em um ambiente aberto e distribuído. A comunicação confiável significa que a comunicação eletrônica pode garantir a integridade e o repúdio às transações eletrônicas por terceiros confiáveis, de forma desmaterializada, sob a orientação da United Nations Commission on International trade Law (Uncitral). Para esse ambiente aberto e distribuído, inicialmente, ele deve ser capaz de minimizar algumas dificuldades inatas em torno da desmaterialização.

Para resolver essas dificuldades, este documento aborda uma solução, formando um relacionamento confiável e orientado a terceiros de confiança mútua entre as partes interessadas e implementando uma plataforma compartilhada que seja responsável e rastreável. Em detalhe, uma plataforma de comunicação confiável precisa ser capaz de manter as evidências sobre documentos comunicados eletronicamente de maneira confiável e confiável. Para isso, é necessária uma nova abordagem, pois o ambiente de TIC existente possui alguns limites para a comunicação confiável em alguns aspectos. Embora uma transação EDI (troca eletrônica de dados) possa fornecer evidências legais sobre documentos eletrônicos intercambiados de acordo com a regra de sintaxe EDI, ela tem limitações permitidas apenas para usuários fechados da rede EDI e processos predefinidos de semântica EDI.

No caso da internet, não importa quais transações comerciais sejam comunicadas com segurança, é difícil reconhecer a legitimidade das comunicações realizadas em outros sistemas de autenticação. Nesse sentido, este documento estabelece um processo de desmaterialização refinado, permitido no ambiente de TIC aberto e distribuído, aplicável à comunicação confiável, como comércio eletrônico, administração eletrônica, comércio eletrônico e assim por diante.

A tecnologia de segurança foi usada como uma tecnologia central para documentos eletrônicos protegidos. No entanto, não basta manter a desmaterialização de documentos eletrônicos, pois é fácil quebrar a integridade no aspecto do período de segurança válido. Nesse sentido, este documento apresenta uma nova maneira que pode garantir a autenticidade da evidência de comunicação confiável por um longo período de tempo necessário como evidência legal.

Os serviços de TI em um ambiente aberto não podem identificar facilmente a originalidade das comunicações eletrônicas, contabilizando o contexto da comunicação, que é originador, destinatário (s), tempo de comunicação e assim por diante. Em relação às incertezas, como modificação, falsidade ou descoramento de documentos comunicados eletronicamente, não é fácil identificar e perguntar de quem é a responsabilidade entre várias partes interessadas.

Além disso, se a blockchain deve ser aplicada em toda a cadeia de suprimentos, é necessária uma comunicação confiável para uma conectividade perfeita. Nesse sentido, este documento pode tornar as transações comerciais responsáveis e confiáveis e, consequentemente, promover serviços de TI confiáveis. Uma evidência gerada por meio de uma plataforma de comunicação confiável pode explicar a verdade das atividades de comunicação e instalações de serviços de comunicação confiáveis.

A gestão dos serviços em tecnologia da informação

Um sistema de gestão de serviço (SGS) pode ser usado para um cliente procurando serviços e requerendo garantia relacionada à qualidade destes serviços; um cliente requerendo uma abordagem consistente para o ciclo de vida do serviço por todos os seus provedores de serviço, incluindo aqueles em uma cadeia de fornecimento; uma organização que queira demonstrar sua habilidade para o planejamento, desenho, transição, entrega e melhoria de serviços; uma organização para monitorar, medir e analisar criticamente seu SGS e os serviços; uma organização para melhorar o planejamento, o desenho, a transição, a entrega e a melhoria de serviços através da implementação e operação efetivas de um SGS; uma organização ou outra parte executando avaliações da conformidade utilizando os requisitos especificados neste documento; e um provedor de treinamento ou consultoria em gestão de serviço.

A NBR ISO/IEC 20000-1 de 03/2020 – Tecnologia da informação – Gestão de serviços – Parte 1: Requisitos do sistema de gestão de serviços especifica requisitos para uma organização estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de serviço (SGS). Os requisitos especificados neste documento incluem o planejamento, desenho, transição, entrega e melhorias de serviços para atender aos requisitos de serviço e entregar valor.

Este documento pode ser usado para um cliente procurando serviços e requerendo garantia relacionada à qualidade destes serviços; um cliente requerendo uma abordagem consistente para o ciclo de vida do serviço por todos os seus provedores de serviço, incluindo aqueles em uma cadeia de fornecimento; uma organização que queira demonstrar sua habilidade para o planejamento, desenho, transição, entrega e melhoria de serviços; uma organização para monitorar, medir e analisar criticamente seu SGS e os serviços; uma organização para melhorar o planejamento, o desenho, a transição, a entrega e a melhoria de serviços através da implementação e operação efetivas de um SGS; uma organização ou outra parte executando avaliações da conformidade utilizando os requisitos especificados neste documento; e um provedor de treinamento ou consultoria em gestão de serviço.

O termo serviço, conforme utilizado neste documento, refere-se ao serviço ou serviços no escopo do SGS. O termo organização, conforme utilizado neste documento, refere-se à organização no escopo do SGS que gerencia e entrega serviços aos clientes. Uma organização ou parte de uma organização que gerencia e entrega serviço ou serviços a clientes internos ou externos pode ser conhecida como um provedor de serviço. A organização no escopo do SGS pode ser parte de uma organização maior, por exemplo, um departamento de uma grande corporação.

Todos os requisitos especificados neste documento são genéricos e destinam-se a serem aplicáveis a todas as organizações, independentemente do seu tipo, do porte ou da natureza dos serviços entregues. A exclusão de qualquer dos requisitos nas Seções 4 a 10 não é aceitável quando uma organização declara conformidade com este documento, independentemente da natureza da organização.

A conformidade com os requisitos especificados neste documento pode ser demonstrada pela própria organização, apresentando evidência de atendimento a estes requisitos. A própria organização demonstra conformidade com as Seções 4 e 5. No entanto, a organização pode ser apoiada por outras partes. Por exemplo, outra parte pode conduzir auditorias internas em nome da organização ou apoiar a preparação do SGS.

Alternativamente, uma organização pode mostrar evidência de que detém a responsabilidade pelos requisitos especificados neste documento e demonstrar controle quando outras partes estão envolvidas em atender aos requisitos nas Seções 6 a 10 (ver 8.2.3). Por exemplo, a organização pode demonstrar evidência de controles para outras partes que estejam fornecendo componentes de serviço de infraestrutura ou operando a central de serviço, incluindo o processo de gerenciamento de incidente.

A organização não pode demonstrar conformidade com os requisitos especificados neste documento se outras partes são usadas para fornecer ou operar todos os serviços, componentes de serviço ou processos no escopo do SGS. O escopo deste documento exclui a especificação para produtos ou ferramentas. Porém, este documento pode ser usado para auxiliar no desenvolvimento ou aquisição de produtos ou ferramentas que apoiam a operação de um SGS.

Acesse algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais devem ser as ações para abordar riscos e oportunidades?

Como deve ser executado o planejamento do sistema de gestão de serviço?

Como fazer o controle da informação documentada?

Como deve ser feito o planejamento e controle operacional?

Este documento foi preparado para especificar requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de serviço (SGS). Um SGS apoia a gestão do ciclo de vida do serviço, incluindo o planejamento, desenho, mudança, entrega e a melhoria dos serviços,

os quais preenchem os requisitos acordados e entregam valor aos clientes, usuários e à organização que está entregando os serviços. A adoção de um SGS é uma decisão estratégica para uma organização e é influenciada pelos objetivos da organização, o corpo governante, outras partes envolvidas no ciclo de vida do serviço e a necessidade por serviços efetivos e resilientes.

A implementação e a operação de um SGS proveem visibilidade contínua, controle dos serviços e melhoria contínua, resultando em grande efetividade e eficiência. A melhoria para a gestão de serviço é aplicável ao SGS e aos serviços. Este documento é intencionalmente independente de orientação específica. A organização pode usar uma combinação de estruturas geralmente aceitas e sua própria experiencia.

Os requisitos especificados neste documento estão alinhados com metodologias de melhoria comumente utilizadas. Ferramentas apropriadas para gestão de serviço podem ser usadas para apoiar o SGS. A ISO/IEC 20000-2 fornece orientações sobre a aplicação de sistemas de gestão de serviço incluindo exemplos de como atender aos requisitos especificados neste documento. A ISO/IEC 20000-10 fornece informação sobre todas as partes da série ISO/IEC 20000, benefícios, mitos e outras normas relacionadas.

A ISO/IEC 20000-10 lista os termos e definições incluídos neste documento em acréscimo aos termos não usados neste documento, mas em outras partes da série ISO/IEC 20000-1. A estrutura de seções (por exemplo, sequência da seção), termos em 3.1 e muitos dos requisitos são retirados do Anexo SL do Suplemento ISO Consolidado às Diretivas ISO/IEC Parte 1, conhecido como a estrutura comum de alto nível (HLS) para normas de sistema de gestão. A adoção da HLS permite à organização, alinhar ou integrar múltiplas normas de sistema de gestão. Por exemplo, um SGS pode ser integrado com um sistema de gestão da qualidade com base na NBR ISO 9001 ou um sistema de gestão da segurança da informação com base na NBR ISO/IEC 27001.

A figura abaixo ilustra um SGS apresentando o conteúdo das seções deste documento. Isto não representa uma estrutura hierárquica, sequência ou níveis de autoridade. Não há nenhum requisito neste documento para sua estrutura e terminologia a ser aplicado ao SGS de uma organização. Não há nenhum requisito para os termos utilizados por uma organização a serem substituídos pelos termos utilizados neste documento.

As organizações podem escolher utilizar termos que combinem com suas operações. A estrutura de seções destina-se a prover uma apresentação coerente de requisitos, ao invés de um modelo para documentar políticas, objetivos e processos de uma organização. Cada organização pode escolher como combinar os requisitos em seus processos. O relacionamento entre cada organização e seus clientes, usuários e outras partes interessadas influencia em como os processos são implementados. No entanto, um SGS conforme desenhado por uma organização, não pode excluir quaisquer dos requisitos especificados neste documento.

A organização deve determinar questões externas e internas que sejam pertinentes ao seu propósito e que afetem sua capacidade de alcançar o(s) resultado (s) pretendido (s) de seu SGS. A palavra questão neste contexto pode se referir a fatores que tenham um impacto positivo ou negativo. Estes são fatores importantes para a organização no contexto de sua capacidade de entregar serviços com a qualidade acordada com seus clientes.

A organização deve determinar as partes interessadas que sejam pertinentes para o SGS e para os serviços; os requisitos pertinentes destas partes interessadas. Os requisitos das partes interessadas podem incluir serviço, desempenho, requisitos legais e regulatórios e obrigações contratuais relacionadas ao SGS e a os serviços.

A Alta Direção deve demonstrar liderança e comprometimento com relação ao SGS, através de assegurar que a política de gestão de serviço e os objetivos de gestão de serviço sejam estabelecidos e sejam compatíveis com o direcionamento estratégico da organização; assegurar que o plano de gestão de serviço seja criado, implementado e mantido com o intuito de apoiar a política de gestão de serviço, o atingimento dos objetivos de gestão de serviço e o atendimento aos requisitos de serviço; assegurar que níveis apropriados de autoridade sejam designados para a tomada de decisões relacionadas ao SGS e aos serviços; assegurar que o que se define como valor para a organização e seus clientes seja determinado; assegurar que exista o controle sobre outras partes envolvidas no ciclo de vida do serviço; assegurar a integração dos requisitos do SGS com os processos de negócios da organização; assegurar que os recursos necessários para a SGS e para os serviços estejam disponíveis; comunicar a importância de uma gestão de serviço eficaz, alcançando os objetivos de gestão de serviço, entregando valor e conformidade com os requisitos do SGS; assegurar que o SGS alcance seu (s) resultado (s) pretendido (s); dirigir e apoiar pessoas a contribuir para a eficácia do SGS e dos serviços; promover a melhoria contínua do SGS e dos serviços; e apoiar outros papéis de gestão pertinentes a demonstrar sua liderança conforme ela se aplica às áreas sob sua responsabilidade.

A organização deve determinar a competência necessária de pessoas que realizem o trabalho sob seu controle, que afete seu desempenho e a eficácia do SGS e dos serviços; assegurar que essas pessoas sejam competentes com base em educação, treinamento, ou experiência apropriados. Onde aplicável, deve-se tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas, além de reter informação documentada apropriada como evidência de competência.

As ações aplicáveis podem incluir, por exemplo, a provisão de treinamento, a mentoria ou a mudança de atribuições de pessoas empregadas no momento ou empregar ou contratar pessoas competentes. Pessoas que realizam o trabalho sob o controle da organização devem estar conscientes da política de gestão de serviço; dos objetivos da gestão de serviço; dos serviços pertinentes ao seu trabalho; da sua contribuição para a eficácia do SGS, incluindo os benefícios do desempenho melhorado; as implicações de não estar em conformidade com os requisitos do SGS.

A organização deve determinar as comunicações internas e externas relevantes para o SGS e os serviços, incluindo: sobre o que ela irá comunicar; quando comunicar; com quem se comunicar; como comunicar; quem vai ser responsável pela comunicação. Incidentes de segurança da informação devem ser registrados e classificados; priorizados levando em consideração o risco relacionado à segurança da informação; escalados caso necessário; resolvidos; fechados. A organização deve analisar os incidentes de segurança da informação por tipo, volume e impacto ao SGS, serviços e partes interessadas. Incidentes de segurança da informação devem ser reportados e analisados criticamente para identificar oportunidades de melhoria.

A governança de dados em tecnologia da informação (TI)

Sobre a governança de dados é importante fornecer orientação para uma comunidade mais ampla, incluindo: gerentes executivos, empresas externas ou especialistas técnicos, como especialistas em direito ou contabilidade, associações de retalhistas ou industriais ou organismos profissionais, provedores de serviços internos e externos (incluindo consultores), e auditores.

A NBR ISO/IEC 38505-1 de 01/2020 – Tecnologia da Informação — Governança da TI – Parte 1: Aplicação da ABNT NBR ISO/IEC 38500 à governança de dados fornece princípios orientadores para os membros de estruturas de governança de organizações (que podem incluir proprietários, diretores, parceiros, gerentes executivos ou similares) sobre o uso eficaz, eficiente e aceitável de dados em suas organizações, por meio de: aplicação dos princípios e modelo de governança da NBR ISO/IEC 38500 à governança de dados, asseguramento às partes interessadas de que, se os princípios e práticas propostas por este documento forem seguidos, eles podem confiar na governança de dados da organização, informação e orientação às estruturas de governança sobre o uso e proteção de dados em sua organização, e estabelecimento de um vocabulário para a governança de dados.

Este documento também pode fornecer orientação para uma comunidade mais ampla, incluindo: gerentes executivos, empresas externas ou especialistas técnicos, como especialistas em direito ou contabilidade, associações de retalhistas ou industriais ou organismos profissionais, provedores de serviços internos e externos (incluindo consultores), e auditores. Embora este documento analise a governança de dados e o seu uso em uma organização, a orientação sobre o arranjo de implementação para a governança efetiva da TI em geral é encontrada na ISO/IEC TS 38501. Os construtos na ISO/IEC TS 38501 podem ajudar a identificar os fatores internos e externos relacionados à governança da TI e ajudar a determinar os resultados benéficos e identificar evidências de sucesso.

Este documento se aplica à governança do uso atual e futuro dos dados que são criados, coletados, armazenados ou controlados por sistemas de TI, e afeta os processos de gestão e as decisões relacionadas aos dados. Este documento define a governança de dados como um subconjunto ou domínio da governança da TI, que em si é um subconjunto ou domínio organizacional ou, no caso de uma corporação, governança corporativa. Este documento é aplicável a todas as organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é aplicável às organizações de todos os tamanhos, das menores às maiores, independentemente da extensão e da sua dependência dos dados.

Acesse algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são os princípios, modelo e aspectos para uma boa governança de dados?

Como pode ser descrita a atividade armazenar?

Como pode ser descrita a atividade distribuir?

Quais as orientações para a governança de dados ‒ princípios?

O objetivo deste documento é fornecer princípios, definições e um modelo para as estruturas de governança usarem ao avaliar, dirigir e monitorar o manuseio e o uso de dados em suas organizações. Este documento é uma norma orientativa de alto nível, com base em princípios. Além de fornecer uma ampla orientação sobre a função da estrutura de governança, incentiva as organizações a usarem normas apropriadas para sustentar a sua governança de dados.

Todas as organizações usam dados e a maior parte desses dados é armazenada eletronicamente nos sistemas de TI. Com o advento da computação em nuvem, a realização do potencial da internet das coisas e o uso crescente de análises de big data, os dados estão se tornando mais fáceis de gerar, coletar, armazenar e extrair para obter informações úteis. Essa enxurrada de dados traz uma necessidade urgente e responsabilidade para as estruturas de governança assegurarem que oportunidades valiosas sejam aproveitadas e que dados confidenciais estejam seguros e protegidos.

Este documento foi preparado para fornecer diretrizes aos membros das estruturas de governança para aplicar uma abordagem baseada em princípios à governança de dados, de modo a aumentar o valor dos dados e, ao mesmo tempo, diminuir os riscos associados a esses dados.

A NBR ISO/IEC 38500 fornece princípios e modelos para as estruturas de governança das organizações orientarem o uso atual e planejarem o uso futuro da tecnologia da informação (TI), e é para esse fim que esse documento se aplica. Assim como na NBR ISO/IEC 38500, este documento é dirigido principalmente à estrutura de governança de uma organização e será aplicado igualmente, independentemente do tamanho da organização ou de sua indústria ou setor.

A governança é distinta da gestão e, portanto, há a preocupação em avaliar, dirigir e monitorar o uso de dados, em vez da mecânica de armazenar, recuperar ou gerenciar os dados. Dito isto, um entendimento de algumas técnicas e técnicas de gerenciamento de dados é descrito para enunciar as possíveis estratégias e políticas que podem ser direcionadas pela estrutura de governança.

A boa governança de dados auxilia as estruturas de governança para assegurar que o uso de dados em toda a organização contribua positivamente com o desempenho da organização por meio de: inovação em serviços, mercados e negócios; implementação e operação apropriadas dos ativos de dados; clareza de responsabilidade e responsabilização pela proteção e pelo potencial para agregar valor; e minimização de consequências adversas ou não intencionais. Convém que as organizações com boa governança de dados sejam: organizações confiáveis para os proprietários de dados e usuários de dados fazerem transações; capazes de fornecer dados confiáveis para compartilhamento; protetoras da propriedade intelectual e outros valores derivados dos dados; organizações com políticas e práticas para dissuadir hackers e atividades fraudulentas; preparadas para minimizar o impacto das violações de dados; cientes de quando e como os dados podem ser reutilizados; capazes de demonstrar boas práticas no manuseio dos dados.

Este documento estabelece princípios para o uso eficaz, eficiente e aceitável de dados. As estruturas de governança, ao assegurar que suas organizações sigam esses princípios, serão auxiliadas na gestão de riscos e no incentivo à exploração de oportunidades decorrentes do manuseio seguro e da interpretação precisa da qualidade dos dados. A boa governança dos dados também ajuda as estruturas de governança a garantirem a conformidade com as obrigações (regulatórias, legislativas, contratuais) referentes ao uso e tratamento aceitáveis dos dados.

Este documento estabelece um modelo para a governança de dados. O risco de as estruturas de governança não cumprirem suas obrigações é mitigado, dando a devida atenção ao modelo, aplicando adequadamente os princípios. A provisão inadequada da governança de dados pode expor uma organização a vários riscos, incluindo: penalidades pelo descumprimento da legislação, especialmente legislação relacionada às medidas de privacidade exigidas; perda de confidencialidade dos dados da empresa, por exemplo, receitas ou especificações de projeto; perda de confiança das partes interessadas, incluindo parceiros comerciais, clientes e público; incapacidade de realizar funções organizacionais críticas devido à falta de dados confiáveis ou pertinentes para os negócios; aumento da concorrência por meio do uso estratégico de dados pelos concorrentes.

As estruturas de governança podem ser responsabilizadas por: violações de privacidade, spam, saúde e segurança, legislação e regulamentos de manutenção de registros; não conformidade com normas obrigatórias relativas à segurança e responsabilidade social; questões relacionadas aos direitos de propriedade intelectual. Os membros da estrutura de governança são responsáveis pela governança dos dados e são responsáveis pelo uso eficaz, eficiente e aceitável dos dados pela organização.

A autoridade, a responsabilidade e a responsabilização da estrutura de governança pelo uso efetivo, eficiente e aceitável de dados surgem de sua responsabilidade geral pela governança da organização e de suas obrigações com as partes interessadas externas, incluindo os reguladores. O foco principal do papel da estrutura de governança de dados é assegurar que a organização obtenha valor dos investimentos em dados e TI associado, enquanto gerencia os riscos e leva em consideração as restrições.

Além disso, convém que a estrutura de governança assegure que haja um entendimento claro de quais dados estão sendo usados pela organização e com que finalidade, e que exista um sistema de gestão eficaz para assegurar que as obrigações, como proteção de dados, privacidade e respeito para propriedade intelectual, possam ser cumpridas. Convém que a estrutura de governança estabeleça mecanismos de supervisão para a governança de dados que sejam apropriados ao nível de dependência do negócio em relação aos dados.

Convém que a estrutura de governança tenha uma compreensão clara da importância dos dados para as estratégias de negócios da organização, bem como o potencial risco estratégico para a organização do uso destes dados. Convém que o nível de atenção que uma estrutura de governança dá aos dados seja baseado nestes fatores. Convém que a estrutura de governança assegure que seus membros e mecanismos de governança associados (como auditoria, gestão de riscos e comitês relacionados), bem como gerentes, tenham o conhecimento e a compreensão necessários sobre a importância dos dados.

A estrutura de governança pode estabelecer um subcomitê para ajudar a estrutura de governança a supervisionar o uso de dados da organização do ponto de vista estratégico. A necessidade de um subcomitê depende da importância dos dados para a organização e seu tamanho. Convém que a estrutura de governança assegure que um framework apropriado de governança seja estabelecido para a governança e gestão dos dados.

Convém que a estrutura de governança monitore a eficácia dos mecanismos de governança e gestão dos dados, requerendo processos como auditorias e avaliações independentes para obter a garantia de que a governança seja eficaz. Os aspectos específicos da governança de dados que são introduzidos neste documento são os descritos a seguir.

– Valor: os dados são a matéria-prima para o conhecimento útil. Alguns dados podem não ser muito valiosos, enquanto outros dados são extremamente valiosos para a organização. No entanto, este valor não é conhecido até que seja usado pela organização e, portanto, todos os dados são de interesse da estrutura de governança, que, em última análise, é responsável por eles. O termo valor, neste caso, também inclui a qualidade e a quantidade dos dados, sua atualidade, o contexto (que é o dado em si) e o custo de seu armazenamento, manutenção, uso e descarte.

– Risco: diferentes classes de dados trazem diferentes níveis de risco, e convém que a estrutura de governança entenda os riscos dos dados e como direcionar os gerentes para gerenciar esses riscos. Os riscos não se manifestam apenas em violações de dados, mas também no mau uso dos dados, bem como nos riscos competitivos envolvidos em não utilizar adequadamente os dados.

– Restrições: A maioria dos dados vem com restrições em seu uso. Algumas delas são impostas externamente à organização por meio de legislação, regulamentação ou obrigações contratuais, e incluem questões de privacidade, direitos autorais, interesses comerciais e assim por diante. Outras restrições sobre os dados incluem obrigações éticas ou sociais ou políticas organizacionais que restringem o uso dos dados. Estratégias e políticas são requeridas para explicar estas restrições em qualquer uso dos dados pela organização.

Os dados e o seu uso pelas organizações estão se tornando cada vez mais importantes para todas as organizações e suas partes interessadas. Ao aplicar os princípios, modelos e aspectos específicos da governança de dados descritos neste documento, convém que as estruturas de governança sejam capazes de realizar ações que maximizem seus investimentos em uso de dados, gerenciem os riscos envolvidos e forneçam boa governança para a sua organização.

A figura acima mostra as áreas de responsabilização de dados dentro de uma organização. Os elementos do mapa são descritos abaixo. Para qualquer organização e para qualquer tipo de negócio, o mapa identifica os tópicos que são de interesse sob uma perspectiva de governança. Embora os processos e implementações reais sejam de responsabilidade do gerenciamento, as linhas indicam tanto o fluxo de dados quanto o mecanismo de bloqueio, onde é necessário assegurar que as políticas e estratégias de governança estejam implementadas e que as responsabilizações sejam atendidas.

Os aspectos específicos de dados da governança no contexto destas responsabilizações são discutidos em mais detalhes na Seção 9. O foco deste documento é a governança dos dados, e convém que não seja confundido com a gestão de dados. Considerando que a estrutura de governança está preocupada com a aplicação dos princípios de governança, conforme descrito na Seção 7, o campo da gestão de dados tem métodos bem definidos para o processamento dos dados, bem como mecanismos para garantir a confidencialidade, integridade e disponibilidade desses dados. Um exemplo de ciclo de vida de gestão de dados é mostrado na figura abaixo

A atividade coletar inclui o processo de aquisição, coleta e criação de dados, aprendendo com decisões anteriores tomadas e contextos adicionais extraídos de outros conjuntos de dados (internos ou externos). Os dados existem em muitas formas e podem ser criados e coletados para uso pela organização de várias maneiras diferentes, incluindo os seguintes aspectos descritos a seguir.

— Entrada de dados: a entrada de dados é obtida usando aplicativos dentro da organização [por exemplo, em um sistema ERP (Enterprise Resource Planning) ou aplicativo de e-mail] ou externamente por meio de um site, aplicativo móvel ou aplicativo similar.

— Transações de outros sistemas: a entrada de dados ou a atualização feita em outros sistemas pode fluir para o sistema da organização por meio do EDI (Electronic Data Interchange) ou outros processos de interface.

— Sensores: uma quantidade crescente de dados é ingerida na organização por meio de sistemas de máquinas, como sensores. Os sensores abrangem uma ampla variedade de dispositivos de aquisição de dados, incluindo registros de sites, fontes de mídias sociais e dispositivos de internet das coisas os quais incluem dispositivos do dia a dia, desde simples sensores de temperatura até TV, carros, semáforos e edifícios. Os dados dos sensores também podem incluir sinais potencialmente urgentes, como alertas e alarmes.

— Novo contexto: os dados dos relatórios podem ser combinados com outros dados para fornecer informações adicionais, que , por sua vez, retornam à organização. Em muitos casos, estes dados adicionais fornecem um novo contexto aos dados originais e podem precisar ser tratados de maneira diferente dos dados originais. Novos dados contextuais podem vir de decisões que podem dar relevância ou valor aos dados existentes.

— Assinatura: os dados podem se tornar disponíveis para a organização por meio de uma assinatura de um feed de dados ou de um armazenamento de dados virtual.