A gestão de serviço em tecnologia da informação (TI)

Deve-se entender que a organização no escopo do SGS pode ser parte de uma organização maior, por exemplo, um departamento de TI de uma grande corporação. A organização gerencia e entrega serviços aos clientes e pode também ser referida como um provedor de serviço.

A NBR ISO/IEC 20000-2 de 01/2021 – Tecnologia da informação – Gestão de serviço – Parte 2: Orientação para aplicação de sistemas de gestão de serviço fornece orientação na aplicação de um sistema de gestão de serviço (SGS) baseado na ABNT NBR ISO/IEC 20000-1. Ele fornece exemplos e recomendações para permitir às organizações a interpretar e aplicar ABNT NBR ISO/IEC 20000-1, incluindo referências a outras partes da ISO/IEC 20000 e outras normas pertinentes. A figura abaixo ilustra um SGS com o conteúdo das seções da NBR ISO/IEC 20000-1. Isso não representa uma estrutura hierárquica, sequência ou níveis de autoridade.

A estrutura de seções visa fornecer uma apresentação coerente de requisitos, em vez de um modelo para documentar políticas, objetivos e processos de uma organização. Cada organização pode escolher como combinar os requisitos dentro de processos. O relacionamento entre cada organização e seus clientes, usuários e outras partes interessadas influencia como os processos são implementados.

No entanto, um SGS conforme desenhado por uma organização não pode excluir qualquer dos requisitos especificados na NBR ISO/IEC 20000-1. O termo serviço, conforme usado neste documento, se refere aos serviços no escopo do SGS. O termo organização, conforme usado neste documento, se refere à organização no escopo do SGS.

A organização no escopo do SGS pode ser parte de uma organização maior, por exemplo, um departamento de TI de uma grande corporação. A organização gerencia e entrega serviços aos clientes e pode também ser referida como um provedor de serviço. Qualquer uso dos termos serviço ou organização com um intuito diferente é distinguido claramente neste documento.

O termo entregue, conforme usado neste documento, pode ser interpretado como todas as atividades do ciclo de vida de serviço que são executadas além das atividades operacionais diárias. Atividades do ciclo de vida de serviço incluem planejamento, desenho, transição, entrega e melhoria. A orientação neste documento é genérica e visa ser aplicável a qualquer organização aplicando um SGS, independentemente do tipo ou tamanho da organização, ou a natureza dos serviços entregues.

Enquanto isto pode ser usado independentemente do tipo ou tamanho da organização, ou a natureza dos serviços entregues, a NBR ISO/IEC 20000-1 tem suas raízes na TI. É destinada ao gerenciamento de serviços que usem tecnologia e informação digital. O exemplo dado neste documento ilustra uma variedade de usos da ISO/IEC 20000-1.

O provedor de serviço presta contas pelo SGS e, portanto, não pode pedir a outra parte para cumprir os requisitos das Seções 4 e 5 da NBR ISO/IEC 20000-1:2020. Por exemplo, a organização não pode pedir a outra parte para fornecer a Alta Direção e demonstrar comprometimento da Alta Direção ou demonstrar o controle de partes envolvidas no ciclo de vida de serviço.

Algumas atividades da ISO/IEC20000-1:2020, Seções 4 e 5 podem ser executadas por outra parte, sob a gestão da organização. Por exemplo, uma organização pode pedir para outra parte para criar o plano de gestão de serviço inicial como um documento principal para o SGS. O plano, uma vez criado e acordado, é de responsabilidade direta e é mantido pela organização.

Nestes exemplos, a organização está usando outras partes para atividades curtas e específicas. A organização tem a responsabilização, autoridade e responsabilidade pelo SGS. A organização pode, portanto, demonstrar evidência de cumprimento de todos os requisitos da NBR ISO/IEC 20000-1:2018, Seções 4 e 5.

Para a ISO/IEC 20000-1:2020, Seções 6 a 10, uma organização pode mostrar evidência de cumprir ela mesma todos os requisitos. Alternativamente, uma organização pode mostrar evidência de reter a prestação de contas pelos requisitos quando outras partes estão envolvidas em cumprir os requisitos da ISO/IEC 20000-1:2020, Seções 6 a 10.

O controle de outras partes envolvidas no ciclo de vida pode ser demonstrado pela organização (ver 8.2.3). Por exemplo, a organização pode demonstrar evidência de controles para outra parte que esteja fornecendo componentes ou operando a central de serviço incluindo o processo de gerenciamento de incidente. A organização não pode demonstrar conformidade aos requisitos da NBR ISO/IEC 20000-1:2020 se outras partes forem usadas para prover ou operar todos os serviços, componentes de serviço ou processos dentro do escopo do SGS.

No entanto, se outras partes fornecerem ou operarem apenas alguns dos serviços, componentes de serviço ou processos, a organização pode normalmente demonstrar evidência de cumprimento dos requisitos especificados na ABNT NBR ISO/IEC 20000-1. O escopo deste documento exclui a especificação de produtos ou ferramentas. No entanto, a NBR ISO/IEC 20000-1 e este documento podem ser usados para ajudar com o desenvolvimento ou na aquisição de produtos ou ferramentas que apoiem a operação de um SGS.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual o propósito da atividade Liderança?

Qual o propósito da atividade Política?

O que fazer em relação às ações para endereçar riscos e oportunidades?

Quais devem ser os objetivos de gestão de serviço e o planejamento para alcançá-los?

Este documento provê orientação para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de serviço (SGS). Um SGS suporta o gerenciamento do ciclo de vida do serviço, incluindo o planejamento, desenho, transição, entrega e melhoria de serviços, que cumprem requisitos acordados e entregam valor para clientes, usuários e para a organização que entrega os serviços.

A adoção de um SGS é uma decisão estratégica para uma organização e é influenciada pelos objetivos da organização, pelo órgão de governança, por outras partes envolvidas no ciclo de vida do serviço e pela necessidade por serviços efetivos e resilientes. A orientação neste documento se alinha à NBR ISO/IEC 20000-1:2020. Este documento (NBR ISO/IEC 20000-2) é intencionalmente independente de orientação ao gerenciamento de qualquer tipo específico de serviço.

A organização pode usar uma combinação de modelos geralmente aceitos e sua própria experiência. A melhoria para gerenciamento de serviço pode usar metodologias de melhoria comuns e aplicá-las ao SGS e aos serviços. Ferramentas apropriadas para gerenciamento de serviços podem ser usadas para suportar o SGS. A implementação e a operação de um SGS incluem a visibilidade no dia a dia, controle de serviço e melhoria contínua, resultando em grande eficácia e eficiência. A melhoria para gerenciamento de serviço se aplica ao SGS e aos serviços.

A estrutura de seções neste documento (por exemplo, numeração de seção e sequência) se alinha com a NBR ISO/IEC 20000-1:2020 e os termos usados neste documento se alinham com a NBR ISO/IEC 20000-1:2020 e a ISO/IEC 20000-10:2018. A organização determina as questões internas e externas pertinentes ao seu propósito que afetam sua habilidade de alcançar os resultados pretendidos do SGS.

O propósito disso é definir o contexto, determinando aquelas questões que forem pertinentes ao propósito da organização e que influenciem sua habilidade de alcançar os resultados pretendidos do SGS. Estes resultados incluem a entrega de valor aos seus clientes.

As questões podem variar em, por exemplo, interna ou externa, positiva ou negativa. Todas as questões em conjunto fornecem o contexto básico em que a organização estabelece seu SGS. A palavra questão neste contexto pode ser fatores ou atributos que tenham um impacto positivo ou negativo.

Estes são tópicos importantes, fatores ou atributos para a organização no contexto de sua habilidade para entregar serviços de uma qualidade acordada aos seus clientes. Para implementar um SGS com sucesso, a organização identifica e documenta seu contexto interno e externo. O contexto inclui a natureza da organização, as necessidades e expectativas de outras partes interessadas que tenham um interesse no SGS e no escopo do SGS em si.

Baseado em uma compreensão destas questões, o SGS pode ser estabelecido. Já no estágio de planejamento, convém que a organização estabeleça como a NBR ISO/IEC 20000-1 é aplicável ao contexto da organização, de forma que o escopo inicial do SGS possa ser documentado. A falha na identificação do contexto, das partes interessadas e do escopo pode resultar em um SGS sem sucesso ou ineficiente.

Devido às questões internas e externas poderem mudar, a organização pode analisar criticamente seu contexto em intervalos planejados e por meio de análises críticas pela direção. Como exemplo, pode-se dizer que as questões internas podem incluir políticas, recursos, capacidades, pessoas, habilidades e conhecimento, estrutura organizacional, governança, cultura, demandas internas de clientes e finanças.

Questões externas podem incluir mercado, política, economia e influência ambiental, competição, leis e regulamentações, demandas externas de clientes e a probabilidade de eventos que possam afetar os serviços. Uma lista de questões internas e externas que afetem o SGS é desenvolvida e convém que seja documentada.

O estabelecimento do contexto da organização é concluído no nível da Alta Direção, que pode ter a assistência de analistas técnicos e de negócio. Dessa forma, a organização determina as partes interessadas relevantes ao SGS e aos serviços e seus requisitos. O propósito disso é assegurar que a organização identifique requisitos de partes interessadas pertinentes para apoiar o SGS a entregar serviços.

Uma parte interessada é uma pessoa ou grupo que pode afetar ou ser afetado por uma decisão ou atividade relacionada ao SGS. Elas podem ser internas ou externas à organização. Uma parte interessada também pode ser chamada de stakeholder. Exemplo: partes interessadas podem incluir clientes e representantes de clientes, altos executivos, representantes da gestão, gestão de contas, pessoal, funções de suporte dentro da organização (por exemplo, suporte de tecnologia, recursos humanos, instalações, jurídico, recrutamento, compras), fornecedores, parceiros, órgãos reguladores, auditores, associações comerciais e profissionais e concorrentes.

A organização identifica as partes interessadas e sua relevância ao atingimento de objetivos de gestão de serviço ou à entrega de serviços, incluindo seus requisitos para o SGS ou os serviços. Uma parte interessada pode afetar o desempenho e efetividade do SGS e os serviços, influenciar o mercado ou criar e mitigar riscos. Os requisitos de partes interessadas podem incluir o seguinte: requisitos de serviço, como metas de nível de serviço, capacidade, desempenho, requisitos de nível de serviço, continuidade de serviço, segurança da informação ou requisitos de disponibilidade; requisitos legais e regulamentares impostos por autoridades externas, como leis e regulamentos nacionais ou regionais; e obrigações contratuais para parceiros, clientes ou fornecedores.

A organização documenta uma lista de partes interessadas com seus interesses específicos e seus requisitos para o SGS e os serviços. A identificação de partes interessadas é concluída no nível da Alta Direção, que pode ter a assistência de analistas técnicos e de negócio.

A organização determina os limites e a aplicabilidade do SGS para estabelecer seu escopo. O propósito disso é usar a informação coletada sobre as questões e os requisitos das partes interessadas para definir exatamente qual parte da organização e quais serviços serão incluídos dentro do SGS. Estabelecer o escopo é, portanto, uma atividade principal que determina o fundamento necessário para as outras atividades na implementação do SGS.

A organização considera as seguintes entradas ao documentar o escopo do SGS: as questões internas e externas; as necessidades e expectativas de partes interessadas internas e externas; quais serviços ou tipos de serviços são oferecidos ou todos os serviços, por exemplo: um único serviço, grupo de serviços ou todos os serviços; os serviços de TI, serviços em nuvem; os serviços de tecnologia para apoiar gerenciamento de instalações, terceirização de processos de negócio; os serviços de tecnologia para apoiar quaisquer setores de negócio, como telecomunicações, finanças, varejo, turismo, utilidades; o número e tipo de clientes, como por exemplo, um único cliente, um setor específico de clientes, clientes externos ou internos; as localidades em que os serviços serão entregues.

Os serviços a ser considerados podem ser todos ou alguns dos serviços que são acordados para estar no escopo do SGS. Os serviços no escopo do SGS podem ser todos ou alguns dos serviços entregues pela organização. Os serviços no escopo do SGS podem estar listados individualmente ou agrupados.

O nome da organização que gerencia e fornece os serviços está incluso; no entanto, não convém que a declaração de escopo inclua os nomes de outras partes contribuindo para a entrega do serviço, como parceiros de terceirização. O propósito das atividades requeridas é assegurar que todos os elementos requeridos estejam montados para estabelecer, implementar, manter e melhorar continuamente o SGS.

Uma vez que, neste contexto, as partes interessadas, os seus requisitos e o escopo tenham sido acordados, a organização decide como os requisitos na NBR ISO/IEC 20000-1 serão implementados na forma de processos. Por exemplo, os processos no SGS irão refletir exatamente as Seções na NBR ISO/IEC 20000-1 ou serão combinados, separados ou nomeados de maneira diferente?

Para ganhar o máximo valor dos processos, é essencial manter os processos existentes. Uma abordagem para uma rotina de avaliação de processos irá beneficiar a organização. Enquanto os processos são implantados e implementados, análises críticas de rotina incluem uma análise crítica de seu desempenho para otimizar os resultados do processo.

Os planos e aspirações da organização podem ser considerados ao estabelecer e implementar o SGS, de forma que a manutenção e a melhoria possam ser executadas eficientemente. A organização documenta o SGS para cumprir os requisitos da NBR ISO/IEC 20000-1:2020, 7.5. A Alta Direção fornece a base e a autoridade para proceder com o estabelecimento do SGS. A responsabilidade por estabelecer o SGS pode então ser delegada para pessoal autorizado na organização.

REVISTA DIGITAL ADNORMAS – Edição 142 | Ano 3 | 21 de Janeiro 2021

Acesse a versão online: https://revistaadnormas.com.br
Edição 142 | Ano 3 | 21 de Janeiro 2021
ISSN: 2595-3362
Confira os 12 artigos desta edição:

Os níveis adequados de proteção à segurança da informação

A NBR 16167 de 12/2020 – Segurança da informação – Diretrizes para classificação, rotulação, tratamento e gestão da informação estabelece as diretrizes para classificação, rotulação, tratamento e gestão da informação, de acordo com a sua sensibilidade e criticidade para a organização, visando o estabelecimento de níveis adequados de proteção. A classificação da informação é a ação de definir o nível de relevância da informação, a fim de assegurar que a informação receba um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para a organização. Já a rotulação da informação é o registro, nas informações, do nível de classificação e do grupo de acesso atribuído a estas informações e a gestão da informação é o conjunto de ações referentes ao estabelecimento de diretrizes de tratamento e proteção da informação, em função do seu nível de classificação, envolvendo todas as etapas do seu ciclo de vida.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que é um dado pessoal sensível?

O que é o tratamento da informação?

Quem é o proprietário da informação?

Por que fazer a rotulação da informação?

Convém que as pessoas somente tenham acesso às informações que sejam necessárias, direta ou indiretamente, ao desenvolvimento de suas atividades de trabalho e demais responsabilidades associadas, dentro da organização. Convém que as informações proprietárias e não proprietárias da organização, utilizadas durante as suas atividades, sejam classificadas de acordo com o nível de sensibilidade que representam para o negócio, para indicar a necessidade, a prioridade e o nível esperado de proteção, quando de seu tratamento pelos colaboradores e demais partes interessadas pertinentes.

Convém que toda e qualquer informação crítica e sensível, seja em meio físico ou eletrônico, seja rotulada com a sua classificação durante todo o seu ciclo de vida. Convém que qualquer pessoa em posse de uma informação respeite a sua classificação e todas as atribuições estabelecidas pelo seu rótulo durante o tratamento.

Convém que seja desenvolvido um processo amplo de conscientização, treinamento e educação, visando disseminar a cultura de classificação e gestão da informação. Convém que seja implantado um processo de auditoria, monitoramento e medição para verificação da aderência do processo de classificação e gestão da informação e obtenção de sugestões de melhoria.

Convém que o papel de proprietário da informação seja definido e que este seja responsável por sua classificação e definição do grupo de acesso. Cabe ao proprietário a responsabilidade de definir e periodicamente realizar a análise crítica da classificação da informação e dos controles de acesso, levando em conta as políticas, a legislação vigente e os controles aplicáveis

O proprietário da informação pode delegar esta atividade para os responsáveis pelos processos que geram as informações, porém a responsabilidade continua sendo do proprietário. No caso de dúvidas sobre a classificação de determinada informação, recomenda-se recorrer ao proprietário da informação.

Convém que os proprietários das informações cuidem para que todas as informações sob sua responsabilidade sejam classificadas e rotuladas. Convém que o papel de custodiante da informação seja definido nas áreas da organização, visando facilitar a implantação da cultura de classificação da informação, o acompanhamento das ações realizadas e o suporte às dúvidas dos usuários da informação.

Convém que seja atribuída a todos os funcionários, colaboradores e demais partes interessadas pertinentes, a responsabilidade por tratar as informações de acordo com a sua classificação e com as diretrizes de tratamento e gestão estabelecidas pela organização. Convém que, no processo de classificação, sejam considerados o valor da informação, os requisitos legais, a sensibilidade, a criticidade, o ciclo de vida e o prazo de validade da informação, a necessidade de compartilhamento e restrição, a análise de riscos e os impactos para o negócio.

Convém que o proprietário da informação realize a sua classificação de acordo com os critérios estabelecidos nesta norma e que considere: o momento em que a informação é gerada ou inserida nos processos da organização; o momento em que é identificada uma informação que ainda não foi classificada; a presença de dado pessoal e/ou de dado pessoal sensível. Convém que o processo de classificação de uma determinada informação contemple a análise crítica periódica, visando assegurar que o nível de classificação e proteção continue adequado e atualizado.

Se pertinente, pode ocorrer a reclassificação da informação quando: for identificada uma informação incorretamente classificada; ocorrerem mudanças no contexto de valor das informações durante o seu ciclo de vida; forem atendidos os requisitos legais ou as mudanças em processos internos da organização; vencer o prazo de temporalidade da classificação de uma determinada informação; for atingido o fim do ciclo de vida da informação. Todos os usuários precisam comunicar ao proprietário da informação a inexistência ou inconsistência na classificação da informação.

Entretanto, cabe ao proprietário da informação a responsabilidade por definir ou rever a classificação. Convém que as informações de origem externa que participam dos processos da organização, como relatórios de partes interessadas pertinentes, informações e documentos de clientes e fornecedores, correspondências, etc., sejam tratadas de acordo com o nível de criticidade e sensibilidade estabelecido pelo responsável externo.

Convém que seja considerado o estabelecimento de acordo formal de confidencialidade com terceiros, que preveja a correta transferência, identificação, classificação e tratamento da informação entre as organizações, visando a segurança da informação. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

As informações de origem externa são aquelas que não são de propriedade da organização. Convém que os acordos com terceiros sejam estabelecidos com os mesmos níveis ou níveis superiores de proteção dos dados e informações. Convém que a organização considere a criação de classes de informação para simplificar a tarefa de classificação.

Convém que o processo de classificação da informação seja considerado para especificação dos requisitos de segurança da informação dos ambientes físicos que armazenam informações sensíveis. Convém que a organização considere a instalação de controles apropriados de proteção, como, por exemplo, a instalação de sistemas adequados e controle de acesso, monitoração por CFTV, entre outros, etc.

Convém que a organização considere a viabilidade de utilização de um sistema informatizado para apoiar o processo de classificação, rotulação e gestão da informação. Convém que sejam especificados pela organização os processos disciplinares adequados para apoiar no tratamento dos desvios realizados pelas pessoas em relação às diretrizes desta norma, conforme a NBR ISO IEC 27002:2013, 7.2.3. Convém que todos os funcionários, colaboradores e demais partes interessadas pertinentes fornecedores e terceiros que tenham acesso a informações proprietárias assinem um termo de confidencialidade ou de não divulgação antes de receberem o acesso aos recursos de processamento da informação.

Convém que o proprietário da informação seja comunicado formal e imediatamente quando houver suspeita de que uma informação foi comprometida, divulgada sem autorização, roubada, adulterada ou perdida. Convém se que evite a criação de esquemas de classificação muito complexos utilizando diversos níveis, pois isto pode engessar o processo e o fluxo de informação, por meio da aplicação de controles desnecessários (ver NBR ISO/IEC 27002:2013, 8.1.2).

Em contrapartida, poucos níveis podem gerar uma falsa sensação de segurança, devido ao relaxamento na classificação ou mesmo à perda de recursos por gestão além do necessário. Uma referência básica para o estabelecimento dos níveis de classificação é apresentada na tabela abaixo. A titulação de cada nível é definida pela organização.

A gestão da informação é o objetivo final do processo. Por meio da gestão adequada da classificação das informações, os controles e a proteção adequada são providos, visando assegurar sua confidencialidade, integridade e disponibilidade.

Para viabilizar este processo, convém que sejam identificados os cenários de fluxo de informações que ocorrem no dia a dia das organizações e, para cada cenário, convém que sejam estabelecidas as diretrizes básicas de gestão e tratamento em função do nível de classificação da informação. Convém que os cenários estejam baseados em todas as formas de tratamento da informação. Estes cenários e respectivas diretrizes formam o senso comum para a gestão da informação, de modo que, independentemente de pessoas e áreas, o tratamento seja o mesmo para as diversas situações.

A prática para proteção de dados pessoais

Deve-se conhecer os objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização.

A NBR ISO/IEC 29151 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização. Aplica-se a todos os tipos e tamanhos de organizações que atuam como controladores de DP (conforme estabelecido na NBR ISO/IEC 29100), incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.

O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando. Vários países estão incrementando suas leis para lidar com o aumento do número de significativas violações de dados.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é a consideração do ciclo de vida do DP?

Quais devem ser as políticas para segurança da informação em DP?

Quais são as diretrizes de implementação para a proteção de DP?

Qual deve ser a política para uso de dispositivo móvel?

O que se deve fazer em relação à conscientização, educação e treinamento em segurança da informação?

À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP precisarão cada vez mais de orientações sobre como convém protegê-los, a fim de reduzir o risco de ocorrência de violações de privacidade e o impacto de violações na organização e às pessoas envolvidas. Este documento fornece essas orientações.

Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles de segurança da informação e de proteção de DP que são comumente aplicados em diferentes organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC fornecem orientações ou requisitos sobre outros aspectos do processo geral de proteção de DP. A NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os requisitos associados, os quais podem ser usados como base para a proteção de DP. A NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança da informação e práticas de gestão da segurança da informação, incluindo a seleção, implementação e gestão de controles, considerando o (s) ambiente (s) de risco (s) de segurança da informação da organização.

A ISO/IEC 27009 especifica os requisitos para o uso da NBR ISO/IEC 27001 em qualquer setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir os requisitos adicionais aos da NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A da NBR ISO/IEC 27001. A NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.

A NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar riscos de privacidade, enquanto a NBR ISO/IEC 27001, juntamente com a NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar riscos de segurança. Dessa forma, os controles devem ser escolhidos com base nos riscos identificados como resultado de uma análise de risco para desenvolver um sistema abrangente e consistente de controles. Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.

Este documento contém duas partes: o corpo principal que consiste nas seções 1 a 18 e um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões setoriais da NBR ISO/IEC 27002. A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo principal da NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações sobre o uso deste documento.

Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002, refletindo o fato de que este documento se baseia nas diretrizes da NBR ISO/IEC 27002, adicionando novos controles específicos para a proteção de DP. Muitos dos controles da NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP. No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são fornecidas no cabeçalho apropriado (e no número da seção) da NBR ISO/IEC 27002.

O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que suplementam os dados na NBR ISO/IEC 27002. Esses novos controles de proteção de DP, com suas diretrizes associadas, são divididos em 12 categorias, correspondentes à política de privacidade e aos 11 princípios de privacidade da NBR ISO/IEC 29100: consentimento e escolha; especificação e legitimidade de objetivo; limitação de coleta; minimização de dados; limitação de uso, retenção e divulgação; precisão e qualidade; abertura, transparência e notificação; acesso e participação individual; responsabilização; segurança da informação; e compliance com a privacidade. A figura abaixo descreve o relacionamento entre este documento e a família de normas ISO/IEC.

Este documento inclui diretrizes baseadas na NBR ISO/IEC 27002 e as adapta conforme necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP. Em domínios diferentes de tratamento, como: serviços públicos de nuvem; aplicativos de redes sociais; dispositivos conectados à internet de uso doméstico; pesquisa, análise; segmentação de DP para publicidade e propósitos semelhantes; programas de big data analytics; tratamento nas relações trabalhistas; gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão de relacionamento com clientes).

Em diferentes locais, como em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo, cartões inteligentes, smartphones e seus aplicativos, medidores inteligentes, dispositivos wearables); nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização do celular são criados operacionalmente pelo processamento da rede, que podem ser considerados DP em algumas jurisdições); dentro da própria infraestrutura de tratamento de uma organização; na plataforma de tratamento de terceiros. Para as características de coleta, como coleta única de dados (por exemplo, ao se registrar em um serviço); coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde por sensores no corpo ou no indivíduo, várias coletas de dados usando cartões de pagamento sem contato para pagamento, sistemas de coleta de dados de medidores inteligentes, etc.).

A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros. Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta, precisa ser considerado. Este documento fornece um conjunto de controles para proteção de DP.

O objetivo da proteção de DP é permitir que as organizações implementem um conjunto de controles como parte de seu programa geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100.

A organização precisa identificar os seus requisitos de proteção de DP. Os princípios de privacidade da NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais de requisitos de proteção de DP: requisitos legais, estatutários, regulamentares e contratuais relacionados à proteção de DP, incluindo, por exemplo, requisitos de DP que uma organização, seus parceiros comerciais, contratados e prestadores de serviços precisam cumprir; avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização, por meio de uma avaliação de riscos; políticas corporativas: uma organização também pode optar voluntariamente por ir além dos critérios derivados de requisitos anteriores.

Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade estabelecidos na NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento de DP que foram desenvolvidos para apoiar suas operações. Convém que os controles de proteção de DP (incluindo controles de segurança) sejam selecionados com base em uma avaliação de risco. Os resultados de uma avaliação de impacto de privacidade (privacy impact assessments – PIA), por exemplo, conforme especificado na NBR ISO/IEC 29134, ajudam a orientar e determinar as ações e prioridades de tratamento apropriadas para gerenciar riscos à proteção de DP e para implementar controles selecionados para proteção contra estes riscos.

Um documento de PIA, como a NBR ISO/IEC 29134, pode fornecer orientações para a PIA, incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco e análise crítica de risco. Uma avaliação de risco de privacidade pode ajudar as organizações a identificarem os riscos específicos de violações de privacidade resultantes de atividades de tratamento não autorizadas por lei ou de desconsideração de direitos do titular de DP envolvido em uma operação prevista.

Convém que as organizações identifiquem e implementem controles para tratar os riscos identificados pelo processo de impacto de risco. Convém que os controles e tratamentos então sejam documentados, idealmente separadamente em um registro de riscos. Certos tipos de tratamento de DP podem assegurar controles específicos para os quais a necessidade só se torna aparente uma vez que uma operação prevista tenha sido cuidadosamente analisada.

Os controles podem ser selecionados a partir deste documento (que inclui por referência os controles da NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados). Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas às legislações e aos regulamentos nacionais e internacionais aplicáveis.

A seleção e a implementação de controles também dependem da função da organização no fornecimento de infraestrutura ou serviços. Muitas organizações diferentes podem estar envolvidas no fornecimento de infraestrutura ou serviços. Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma organização específica. Em outros casos, pode haver funções compartilhadas na implementação de controles.

Convém que os acordos contratuais especifiquem claramente as responsabilidades de proteção de DP de todas as organizações envolvidas no fornecimento ou uso dos serviços. Os controles neste documento podem ser usados como referência para organizações que tratam DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP. Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções do controlador de DP.

Os processos de avaliação do impacto da privacidade

Deve-se conhecer as diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA).

A NBR ISO/IEC 29134 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Avaliação de impacto de privacidade – Diretrizes fornece diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA). É aplicável a todos os tipos e tamanhos de organizações, incluindo companhias públicas, companhias privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é pertinente para os envolvidos em conceber ou implementar projetos, incluindo as partes que operam sistemas de tratamento de dados e serviços que tratam dos dados pessoais (DP).

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como preparar um plano da PIA e determinar os recursos necessários para a sua realização?

Como engajar as partes interessadas no processo?

Como estabelecer um plano de consulta?

Como identificar os fluxos de informações de dados pessoais (DP)?

Como analisar as implicações do caso de uso?

A análise de impacto de privacidade (PIA) é um processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais ampla de gestão de riscos da organização. Uma avaliação de impacto de privacidade (PIA) é um instrumento para avaliar os potenciais impactos na privacidade de um processo, sistema de informação, programa, módulo de software, dispositivo ou outra iniciativa que trate dados pessoais (DP) e, em consulta às partes interessadas, para tomar ações necessárias para tratar risco à privacidade.

Um relatório de PIA pode incluir documentação sobre medidas tomadas para tratamento de risco, por exemplo, medidas resultantes do uso do sistema de gestão de segurança da informação (SGSI) na NBR ISO/IEC 27001. Uma PIA é mais que uma ferramenta: é um processo que começa nos estágios mais iniciais de uma iniciativa, quando ainda há oportunidades para influenciar seu resultado e, consequentemente, garantir privacy by design. É um processo que continua até, e mesmo após, o projeto ser entregue.

As iniciativas variam substancialmente em escala e impacto. Os objetivos que se enquadrem no título privacidade dependem de cultura, expectativas sociais e jurisdição. Este documento é destinado a fornecer orientação escalável que possa ser aplicada a todas as iniciativas. Como não é possível prescrever uma orientação específica para todas as circunstâncias, convém que a orientação neste documento seja interpretada com observância à circunstância individual.

Um controlador de DP pode ter a responsabilidade em conduzir uma PIA e pode demandar um operador de DP para dar assistência nisto, agindo em nome do controlador de DP. Um operador de DP ou um fornecedor também pode desejar conduzir sua própria PIA. Uma informação de PIA de um fornecedor é especialmente pertinente quando dispositivos conectados digitalmente são parte do sistema de informação, aplicação ou processo que esteja sendo avaliado.

Pode ser necessário que fornecedores destes dispositivos forneçam informações de projeto pertinentes à privacidade para aqueles que estejam empreendendo a PIA. Quando o fornecedor de dispositivos digitais não possui conhecimento e não está preparado para a PIA, por exemplo: um pequeno comércio, ou uma pequena ou média empresa (PME), usando dispositivos conectados digitalmente no curso de suas operações de negócio habituais, então, a fim de possibilitá-lo empreender uma atividade mínima da PIA, o fornecedor do dispositivo pode ser chamado para fornecer uma grande quantidade de informações de privacidade e empreender sua própria PIA em observância ao contexto esperado do titular de DP/PME para o equipamento que fornece.

Uma PIA é tipicamente conduzida por uma organização que assume sua responsabilidade seriamente e trata titulares de DP adequadamente. Em algumas jurisdições, uma PIA pode ser necessária em atendimento a requisitos legais e regulamentares. Este documento é destinado para ser utilizado quando o impacto de privacidade de titulares de DP inclui consideração de processos, sistemas de informação ou programas, onde a responsabilidade pela implementação e/ou entrega do processo, sistema de informação ou programa seja compartilhada com outras organizações e convém que seja assegurado que cada organização trate apropriadamente os riscos identificados.

Também, pode incluir uma organização esteja realizando gestão de riscos de privacidade como parte de seu esforço de gestão geral de riscos enquanto se prepara para a implementação ou melhoria de seu SGSI (estabelecido de acordo com a NBR ISO/IEC 27001 ou sistema de gestão equivalente); ou uma organização esteja realizando gestão de riscos de privacidade como uma função independente; uma organização (por exemplo, governamental) empreenda uma iniciativa (por exemplo, um programa de parceria público-privada) na qual a futura organização controladora de DP não seja conhecida ainda, com o resultado de que o plano de tratamento não possa ser implementado diretamente e, portanto, convém que este plano de tratamento seja parte da correspondente legislação, regulamentação ou do contrato como alternativa; ou a organização que queira atuar responsavelmente em relação aos titulares de DP.

Os controles considerados necessários para o tratamento de riscos identificados durante o processo de análise de impacto de privacidade podem ser derivados de múltiplos conjuntos de controles, incluindo a  NBR ISO/IEC 27002 (para controles de segurança) e a NBR ISO/IEC 29151 (para controles protetivos aos dados pessoais) ou normas nacionais comparáveis, ou eles podem ser definidos pela pessoa responsável pela condução da PIA independentemente de qualquer outro conjunto de controles. Este documento fornece orientação que pode ser adaptada a uma ampla extensão de situações nas quais DP são tratados.

Entretanto, em geral, uma PIA pode ser realizada para o propósito de identificar impactos de privacidade, riscos de privacidade e responsabilidades; fornecer entradas para a concepção de proteção da privacidade (às vezes chamada privacy by design); analisar criticamente os riscos de privacidade de um novo sistema de informações e avaliar seu impacto e probabilidade; fornecer a base para a provisão de informações de privacidade aos titulares de DP em qualquer ação recomendada de mitigação de titulares de DP; manter atualizações ou upgrades posteriores com funcionalidade adicional suscetível a impactar os DP que sejam manipulados; compartilhar e mitigar riscos de privacidade com partes interessadas, ou fornecer evidências relacionadas a compliance.

Uma PIA é ocasionalmente referida por outros termos, por exemplo, análise crítica de privacidade ou uma análise de impacto à proteção de dados. Estas instâncias particulares de uma PIA podem vir com implicações específicas para tratamento e relatório. Uma PIA frequentemente tem sido descrita como um sistema de alerta antecipado.

Ela fornece uma maneira para detectar potenciais riscos de privacidade resultando do tratamento de DP e, a partir disso, informar uma organização onde convém que ela adote precauções e construa salvaguardas construídas antes, não após, a organização realizar pesados investimentos. Os custos de alteração de um projeto no estágio de planejamento habitualmente são uma fração daqueles incorridos posteriormente. Se o impacto de privacidade é inaceitável, o projeto pode até mesmo ter que ser completamente cancelado.

Por conseguinte, uma PIA ajuda a identificar questões de privacidade antecipadamente e/ou reduzir custos de tempo de gestão, despesas legais e potenciais preocupações de mídia ou públicas ao considerar questões de privacidade antecipadamente. Pode também ajudar uma organização a evitar embaraçosos e caros equívocos em privacidade. Embora convenha que uma PIA seja mais que simplesmente uma verificação de compliance, ela, entretanto, contribui para uma demonstração da organização quanto ao seu compliance com requisitos pertinentes de privacidade e proteção de dados na eventualidade de uma reclamação subsequente, auditoria de privacidade ou investigação de compliance.

Na eventualidade da ocorrência de um risco à privacidade ou incidente, um relatório de PIA pode fornecer evidência de que a organização atuou apropriadamente na tentativa de prevenir a ocorrência. Isto pode ajudar a reduzir ou mesmo eliminar qualquer responsabilidade legal, publicidade negativa e perda de reputação. Uma PIA apropriada também demonstra aos clientes da organização e/ou cidadãos que ela respeita sua privacidade e é responsiva às suas preocupações. Clientes ou cidadãos são mais suscetíveis a confiar em uma organização que realiza uma PIA que em uma que não a realiza.

Uma PIA melhora o processo de decisão informada e expõe falhas de comunicação interna ou assunções ocultas em questões de privacidade sobre o projeto. Uma PIA é uma ferramenta para empreender uma análise sistemática de questões de privacidade originadas a partir de um projeto de modo a informar tomadores de decisão. Uma PIA pode ser uma fonte confiável de informações. Uma PIA possibilita uma organização a aprender sobre as armadilhas de privacidade de um processo, sistema de informações ou programa, em vez de ter auditores ou concorrentes os apontando.

Uma PIA ajuda a antecipar e responder às preocupações de privacidade do público. Uma PIA pode ajudar uma organização a ganhar a confiança de seu público e a certeza de que a privacidade foi construída dentro da concepção de um processo, sistema de informação ou programa. Confiança é construída sobre transparência, e uma PIA é um processo disciplinado que promove comunicações abertas, entendimento comum e transparência.

Uma organização que empreende uma PIA demonstra aos seus empregados e contratados que ela considera seriamente a privacidade e espera que façam o mesmo. Uma PIA é uma maneira de educar empregados sobre privacidade e torna-los alertas aos problemas de privacidade que possam produzir danos à organização. É uma maneira de afirmar os valores da organização.

Uma PIA pode ser utilizada como uma indicação da due diligence e pode reduzir o número de auditorias de clientes. O objetivo do relatório da PIA é comunicar os resultados da avaliação às partes interessadas. As expectativas sobre uma PIA existem de várias partes interessadas. A seguir, alguns exemplos típicos de partes interessadas e suas expectativas.

— Titular de DP – A PIA é um instrumento que possibilita que titulares de DP tenham segurança de que sua privacidade está sendo protegida.

— Gestão – Vários pontos de vista se aplicam como uma PIA como pode usada como um instrumento para gerenciar riscos de privacidade, conscientizar e estabelecer responsabilização; visibilidade do tratamento de DP dentro da organização e possíveis riscos e seus impactos; insumos para negócios ou estratégia de produtos.

— Construir a PIA nos estágios iniciais do projeto assegura que os requisitos de privacidade sejam incluídos nos requisitos funcionais e não funcionais, sejam atingíveis, viáveis e rastreáveis pela gestão de riscos e de mudanças, e pode resultar em um projeto não acontecer ou ser cancelado. Convém que o esforço em classificar e gerenciar DP de projetos seja capitalizado como uma linha de investimento separada e em montante em um projeto ou programa orçamentário, aceitável para todas as partes interessadas.

— A PIA como uma oportunidade para entender melhor os requisitos de privacidade e avaliar as atividades em relação a esses requisitos; entradas para design e entrega de produtos ou serviços; analisados criticamente e alterados ao longo do processo de gestão de mudanças após a entrega.

— A PIA como um instrumento para entender os riscos de privacidade no nível da função/projeto/unidade; consolidação de riscos; contribuição para o desenho de políticas de privacidade e mecanismos de aplicação; entradas para reengenharia de processos de privacidade.

— Regulador – A PIA é um instrumento que contribui com evidências que apoiam a conformidade com os requisitos legais aplicáveis. Pode fornecer evidências da due diligence adotada pela organização em caso de violação, não conformidade, reclamação, etc.

— Cliente – A PIA é um meio de avaliar como o operador de DP ou controlador de DP está lidando com os DP e fornece evidências de que ele cumpre as obrigações contratuais. Convém que o relatório de PIA cumpra duas atribuições básicas. A primeira (inventário) mantém as partes interessadas específicas informadas sobre as entidades afetadas identificadas, o ambiente afetado e os riscos de privacidade sobre o ciclo de vida das entidades afetadas, sejam eles inerentes ou mitigadas.

A segunda (itens de ação) é um mecanismo de rastreamento das ações/tarefas que melhoram e/ou resolvem os riscos de privacidade identificados. A sensibilidade na distribuição e liberação das informações do relatório precisa ser claramente avaliada e classificada (privada, confidencial, pública, etc.). Convém que uma PIA seja realizada por processos ou sistemas de informação por uma de várias entidades diferentes da organização, mas também pode ser realizada em um processo, sistema de informação ou programa por organizações de consumidores ou organizações não governamentais.

Normalmente, convém que a responsabilidade de assegurar que uma PIA seja realizada, em primeiro lugar, recaia sobre a pessoa encarregada da proteção de DP, caso contrário, o gerente de projeto desenvolverá a nova tecnologia, serviço ou outra iniciativa que possa impactar a privacidade. Convém que a responsabilização de assegurar que a PIA seja realizada e a qualidade do resultado (responsabilidade da PIA) caiba à Alta Direção do controlador de DP.

A pessoa a quem foi atribuída a responsabilidade de conduzir a PIA pode conduzi-la por conta própria, pode contar com a ajuda de outras partes interessadas internas e/ou externas ou pode contratar um terceiro independente para fazer o trabalho. Existem vantagens e desvantagens em cada abordagem. No entanto, quando a PIA é realizada diretamente pela organização, associações de usuários finais ou agências governamentais podem solicitar que a adequação da PIA seja verificada por um auditor independente.

Convém que a organização assegure que haja responsabilização e autoridade para gerenciar riscos de privacidade, incluindo a implementação e manutenção do processo de gestão de riscos de privacidade e para assegurar a adequação e eficácia de quaisquer controles. Isso pode ser facilitado por especificar quem é o responsável pelo desenvolvimento, implementação e manutenção da estrutura para gerenciar riscos de privacidade, e especificar os proprietários de riscos para implementar o tratamento de riscos de privacidade, manter controles de privacidade e relatar informações pertinentes sobre riscos de privacidade.

A escala do PIA depende da importância dos impactos assumidos. Por exemplo, se for presumido que os impactos afetam apenas os funcionários da organização (por exemplo, a organização pode querer melhorar seu controle de acesso por meio de uma biometria, como uma impressão digital de cada funcionário), a PIA poderia envolver apenas representantes dos funcionários e ser de escala relativamente pequena. No entanto, se um departamento do governo desejar introduzir um novo sistema de gestão de identidade para todos os cidadãos, precisará realizar uma PIA muito maior, envolvendo uma ampla gama de partes interessadas externas.

Convém que as organizações forneçam autoavaliação na escala exigida da PIA, em conformidade com as leis e regulamentos. A quantidade e granularidade dos DP por pessoa, o grau de sensibilidade dos DP, o número de titulares de DP e o número de pessoas que têm acesso aos DP que serão tratados são os fatores críticos na determinação dessa escala.

No caso de PME, organizações sem fins lucrativos ou governamentais, a determinação da escala apropriada da PIA pode ser realizada de maneira conjunta, mas não vinculativa, pela pessoa que realiza uma PIA, a Alta Direção da PME e/ou aconselhamento de especialistas externos, conforme apropriado. O escopo de uma PIA, os detalhes específicos do que ela abrange e como é conduzida precisam ser adaptados ao tamanho da organização, à jurisdição local e ao programa, sistema de informações ou processo específico que é objeto da PIA.

Na Seção 6, o “Objetivo” é algo que convém que seja alcançado, a “Entrada” fornece orientações sobre quais informações podem ser necessárias para alcançar o “Objetivo”, a “Saída esperada” é a meta recomendada para as “Ações”, “Ações”, ou seus equivalentes, são orientações sobre atividades que talvez precisem ser realizadas para alcançar o “Objetivo” e criar a “Saída esperada” recomendada, e as “Diretrizes de implementação” fornece mais detalhes sobre assuntos que podem ser considerados na execução das “Ações”.

As “Ações” nesta seção, ou equivalentes, adaptadas ao escopo e escala desejados de uma PIA podem ser implementadas de forma independente por uma organização. Eles pretendem formar uma base razoável para planejar, implementar e acompanhar a PIA em uma ampla gama de circunstâncias. A organização que conduz um processo de PIA pode desejar adaptar diretamente a orientação do processo a seguir à sua escala e escopo específicos da PIA ou como uma alternativa possível para selecionar um sistema de gestão baseado em risco adequado, como na NBR ISO/IEC 27001, e integrar a ele elementos das orientações abaixo adequadamente adaptados, incluindo o uso do relatório da PIA (ver Seção 7) para tratar os riscos de privacidade identificados.

Neste documento, o termo “realização de uma PIA” é usado para cobrir uma PIA inicial, na qual as etapas e ações necessárias são selecionadas para corresponder ao requisito específico da PIA e uma atualização para uma PIA existente, onde apenas as etapas e ações necessárias para a atualização são realizados. O Anexo C fornece mais orientações sobre o entendimento dos termos usados neste documento. Para apoiar as PME no processo da PIA, convém que as associações ou os órgãos da indústria sejam incentivados a elaborar códigos de conduta que forneçam diretrizes valiosas, e convém que as PME sejam incentivadas a participar dessas atividades.

Os códigos de conduta razoáveis teriam que respeitar os valores estabelecidos neste documento e poderiam ser endossados pelas autoridades de proteção de dados. Para a determinação da necessidade de uma PIA (análise de pertinência), deve-se usar como entrada as informações sobre o programa, sistema de informações ou processo em avaliação. A saída esperada: resultado da análise de limite e mandato para preparar uma PIA nova ou atualizada se necessária, termos de referência e escopo da PIA decididas.

Para as ações, convém que a direção da organização decida se é necessária uma PIA nova ou atualizada. Se for necessária uma PIA nova ou atualizada, convém que a direção da organização, em conjunto com o avaliador, estabeleça os termos de referência e determine os limites e a aplicabilidade da PIA para estabelecer seu escopo. Convém que a organização também decida e documente a escala da PIA, o processo a ser usado para executá-la e o público-alvo, e então a natureza e o conteúdo dos relatórios da PIA a serem produzidos.

Convém que a saída deste processo em termos do resultado da análise de limiar e o escopo e os termos de referência da PIA sejam documentados no relatório da PIA. Convém que a organização realize uma PIA nova ou atualizada se perceber impactos na privacidade de: uma tecnologia, serviço ou outra iniciativa nova ou prospectiva, em que os DP sejam ou devam ser tratados, uma decisão de que DP sensíveis (ver NBR ISO/IEC 29100:2020, 2.26) serão tratados, alterações nas leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para processar dados, fluxos de dados novos ou alterados, etc., e uma expansão ou aquisição de negócios.

Uma organização pode desejar estabelecer uma política que estabeleça limites para acionar uma PIA nova ou atualizada e as medidas técnicas e organizacionais iniciais a serem aplicadas. Convém que essa política considere quaisquer problemas aplicáveis dentre os listados acima, estabelecendo limites dentro dos quais o tratamento de DP pode ser desenvolvido e operado sem acionar uma nova PIA. Convém que uma pessoa responsável pela realização de uma PIA (o avaliador) seja identificada e nomeada pela organização.

Convém que a organização também nomeie a pessoa responsável por assinar o relatório da PIA. Convém que o avaliador estabeleça os critérios de risco e assegure que a Alta Direção concorda com os critérios de risco a serem usados para avaliar a significância do risco. Esses critérios podem basear-se nos mostrados no Anexo A ou podem ser estabelecidos separadamente pela organização, juntamente com os critérios sobre como estimar o nível de impacto e o risco com suas respectivas escalas. Convém que o avaliador também identifique os critérios para aceitação de riscos e assegure que a Alta Direção concorda com esses critérios.

Convém que a saída desse processo em termos dos critérios de risco seja documentada no relatório da PIA e recursos. Convém que os critérios reflitam os valores, objetivos e recursos da organização. Ao estabelecer os critérios de risco, convém que o avaliador considere os seguintes fatores: os fatores legais e regulamentares que afetam a salvaguarda da privacidade da pessoa natural e a proteção de seus DP; os fatores externos, como diretrizes da indústria, padrões profissionais, políticas da empresa e acordos com clientes; os fatores predeterminados por uma aplicação específica ou em um contexto de caso de uso específico; e outros fatores que possam afetar o design de sistemas de informação e os requisitos de proteção de privacidade associados.

Convém que a direção da organização examine separadamente os riscos de privacidade do ponto de vista de um diretor de DP e os riscos de privacidade do ponto de vista da organização. Convém que esses critérios sejam usados posteriormente para avaliação e tratamento de riscos de privacidade. Convém que a pessoa responsável pela condução de um PIA proponha os termos de referência e o escopo do PIA.

Convém que a pessoa responsável pela realização de uma PIA consulte outras pessoas da organização e talvez externas à organização para descrever os fluxos de DP e, especificamente: como os DP são coletadas e a fonte relacionada; quem é responsável dentro da organização pelo tratamento de DP; com que finalidade os DP serão tratados; como os DP serão tratados; política de retenção e descarte de DP; como os DP serão gerenciados e modificados; como os operadores de DP e desenvolvedores de aplicativos protegem os DP; identifique quaisquer DP transferidos para jurisdições onde se aplicam níveis mais baixos de proteção; se aplicável, notifique as autoridades pertinentes sobre qualquer novo tratamento de DP e solicite as aprovações necessárias. (ver figura abaixo)

O uso de DP (ou transferência de DP) pode incluir fluxos aprovados de compartilhamento de DP para outras partes. A figura acima mostra um exemplo de como o fluxo de informações de DP pode ser visualizado em um diagrama de fluxo de trabalho no tratamento de DP. Convém que organização, como uma entrada da PIA, descreva o fluxo de informações da maneira mais detalhada possível para ajudar a identificar os possíveis riscos de privacidade.

Convém que o avaliador considere os impactos não apenas na privacidade das informações, mas também na conformidade com os regulamentos relacionados à privacidade, por exemplo, atos de telecomunicações. Convém que todo o ciclo de vida dos DP seja considerado.

ISO/IEC TS 29140: a aprendizagem em tecnologias móveis

Essa especificação técnica, editada em 2020 pela ISO e IEC, fornece um modelo de informações ao aluno para a aprendizagem móvel e permitir que os ambientes de aprendizagem, educação e treinamento reflitam as necessidades específicas dos participantes móveis. Inclui as definições de tecnologia móvel e aprendizagem móvel apropriadas para todos os setores de aprendizagem, educação e treinamento.

A ISO/IEC TS 29140:2020 – Information technology for learning, education and training – Nomadicity and mobile technologies fornece um modelo de informações ao aluno para a aprendizagem móvel e permitir que os ambientes de aprendizagem, educação e treinamento reflitam as necessidades específicas dos participantes móveis. Este documento fornece as definições de tecnologia móvel e aprendizagem móvel apropriadas para todos os setores de aprendizagem, educação e treinamento; uma descrição do modelo de informação do aluno para aprendizagem móvel; informações específicas do aluno que apoiam os alunos envolvidos em atividades de aprendizagem móvel em ambientes de aprendizagem, educação e treinamento.

Inclui, ainda, uma descrição do modelo de interação do aluno com os sistemas móveis; as considerações das interações do aluno específicas para alunos nômades que se movem de um lugar para outro; e a orientação inicial sobre a questão da privacidade. Não inclui uma revisão técnica aprofundada de questões relacionadas à adaptabilidade à cultura, idioma e necessidades individuais; questões amplas ou aprofundadas de interoperabilidade técnica dos domínios da computação móvel; as considerações de segurança, autenticação ou acessibilidade; os detalhes sobre a privacidade; e as informações detalhadas sobre o trabalho complementar dentro de outras organizações que possam ser relevantes.

Conteúdo da norma

Prefácio……………………….. iv

Introdução……………….. v

1 Escopo …………………..1

2 Referências normativas……….. 1

3 Termos e definições…………… 1

4 Termos abreviados…………….. 3

5 Exemplos de aplicativos de aprendizagem móvel…………… 3

5.1 Exemplos neste documento……………..3

5.2 Outros exemplos de tecnologia móvel para aprendizagem …… 4

6 Informações do aluno para aprendizagem móvel……………….6

6.1 Geral…… 6

6.2 Modelo de informação do aluno para aprendizagem móvel……..6

6.3 Informações mínimas recomendadas para o aluno…………. 8

6.4 Informações opcionais do aluno…………….. 8

6.5 Dimensões para uma experiência ideal do aluno……………9

6.5.1 Geral……………………………. 9

6.5.2 Dimensão do aluno………….. 10

6.5.3 Dimensão de conteúdo para necessidades individuais do aluno………….10

6.5.4 Dimensão da capacidade do dispositivo para maximizar o uso do dispositivo móvel ………………….. 11

6.5.5 Dimensão da conectividade para executar em diferentes velocidades de conexão…………………. 12

6.5.6 Coordenação………………………. 13

7 Interação do aluno com o sistema de aprendizagem móvel……. 13

8 Considerações adicionais………………… 17

Anexo A (informativo) Caso de uso 1: Uso online de dispositivos móveis para aprendizagem pelos alunos…………….18

Anexo B (informativo) Caso de uso 2: Fala fluente em inglês/leitura fluente ………… ……………….. 21

Anexo C (informativo) Caso de uso 3: Livro digital para aprendizagem inovadora …………………… 24

Anexo D (informativo) Caso de uso 4: Tecnologia de aprendizagem móvel entre estudantes de medicina do último ano…………….. 28

Anexo E (informativo) Caso de uso 5: Sistema de treinamento de realidade aumentada ……………………… 31

Anexo F (informativo) Caso de uso 6: Aplicativo para prática de exame……………. 34

Anexo G (informativo) Caso de uso 7: Implementação de aplicativo para sucesso acadêmico ……………. ……….. 36

Anexo H (informativo) Caso de uso 8: Tutoria, jogos e aplicativos para aprendizagem de línguas ……………. 39

Anexo I (informativo) Caso de uso 9: Avaliação dos fatores-chave que afetam a integração de tecnologia emergente capacitada pelo aluno………………. 41

Bibliografia……….. 44

Este documento fornece orientação sobre o uso de um modelo de informação do aluno para tecnologia móvel na aprendizagem, educação e treinamento (aprendizagem móvel). Ele pode ser usado como referência por desenvolvedores de software, implementadores, designers instrucionais, professores, treinadores, sistemas automatizados e sistemas de gerenciamento de aprendizagem.

Desde que a ISO/IEC TS 29140-1:2011 e a ISO/IEC TS 29140-2:2011 foram publicadas, tem havido muitas inovações tecnológicas e aumento do uso de tecnologia móvel em aprendizagem, educação e treinamento, conforme indicado em muitas das revisões e meta -análise de estudos sobre aprendizagem móvel. O crescimento nas assinaturas ativas de banda larga móvel aumentou significativamente, com taxas de penetração aumentando mundialmente de 4, 0 assinaturas por 100 habitantes em 2007 a 69,3 em 2018. O número de assinaturas ativas de banda larga móvel aumentou de 268 milhões em 2007 para 5,3 bilhões em 2018.

Além disso, quase toda a população mundial, ou 96%, agora vive ao alcance de uma rede celular móvel. Além disso, 90% da população global pode acessar a internet por meio de uma rede 3G ou de velocidade superior. Isso coloca um senso de urgência para revisar os padrões para o uso de tecnologia móvel na aprendizagem, educação e treinamento.

Ao mesmo tempo, a tecnologia e a aplicação da tecnologia estão mudando rapidamente. Por exemplo, óculos 3D estão sendo usados para realidade virtual, realidade aumentada e realidade mista; e a entrada e saída de voz estão sendo usadas para treinamento de idiomas. Em 2017, uma análise de 233 artigos arbitrados de 2011 a 2015 de periódicos revisados por pares foi realizada com base nos temas de pesquisa, métodos, configurações e tecnologias na pesquisa.

Os resultados foram comparados com três estudos de pesquisa anteriores baseados em revisão da literatura, realizados entre 2001 e 2010, para identificar semelhanças e diferenças. Os resultados foram que: a aprendizagem móvel no ensino superior é um campo em crescimento, conforme evidenciado pela crescente variedade de tópicos de pesquisa, métodos e pesquisadores; o tópico de pesquisa mais comum continua a ser sobre como habilitar aplicativos e sistemas de m-learning; e os telefones celulares continuam a ser os dispositivos mais amplamente usados em estudos de aprendizagem móvel. Mas, mais e mais estudos funcionam em dispositivos diferentes, em vez de se concentrar em dispositivos específicos.

À medida que escolas, governos, organizações e empresas em todo o mundo projetam informações para serem acessadas por dispositivos móveis, há uma necessidade crescente de definir padrões de como as informações devem ser projetadas para entrega em tecnologias móveis para apoiar a aprendizagem, a educação e o treinamento. Essa necessidade crescente é necessária devido à demanda por materiais de aprendizagem e treinamento que podem ser facilmente compartilhados entre organizações e alunos e disponibilizados para aqueles em qualquer localização geográfica.

A aprendizagem móvel tem o potencial de fornecer aos alunos acesso aprimorado a informações e materiais de aprendizagem, além de orientação e suporte de qualquer lugar, em vez de uma localização geográfica específica em um determinado momento. Quando a aprendizagem móvel é implementada de forma bem pensada, tem potencial para aumentar a eficiência e a produtividade da aprendizagem, educação e treinamento em diferentes setores (por exemplo, público, privado, voluntário).

Uma metaanálise e síntese de pesquisa dos efeitos dos dispositivos móveis integrados no ensino e aprendizagem analisou 110 artigos experimentais e quase-experimentais revisados por pares publicados de 1993 a 2013. Os resultados revelaram que o efeito geral do uso de dispositivos móveis na educação é melhor do que usando computadores desktop ou não usando dispositivos móveis como uma intervenção, com um tamanho de efeito moderado de 0,523. Uma análise de 144 artigos de periódicos arbitrados dos seis principais periódicos de aprendizagem baseada em tecnologia educacional listados no banco de dados do Social Science Citation Index descobriu que a maioria dos estudos de aprendizagem móvel relataram resultados positivos e o smartphone é o dispositivo mais amplamente usado para aprendizagem móvel.

A aprendizagem móvel tem o potencial de fornecer aos alunos novas oportunidades de se conectar com outros alunos, interagir com professores e instrutores e cocriar ambientes de aprendizagem colaborativos. Este é um problema crítico para alunos que vivem em locais remotos sem conexões com fio. Os alunos que vivem nesses locais remotos podem usar tecnologias móveis com recursos sem fio para se conectar com outras pessoas em locais diferentes.

Como resultado, os alunos remotos podem se sentir menos isolados, o que pode resultar em mais alunos concluindo suas atividades de aprendizagem, educação ou treinamento usando tecnologias móveis. Uma análise de 90 artigos que estudaram as qualidades da aprendizagem móvel relatou que as propriedades educacionais da aprendizagem colaborativa móvel incluem: apoiar a aprendizagem ubíqua, permitir mais interação social interpessoal, facilitar a aprendizagem baseada no contexto, cultivar a aprendizagem autorregulada e a autorreflexão, e fomentar a interação intercultural.

A conclusão foi que, em comparação com a aprendizagem baseada na internet, a aprendizagem colaborativa baseada em dispositivos móveis é mais capaz de servir como ferramentas cognitivas, metacognitivas e epistemológicas para a compreensão e transformação de conceitos dos alunos. Há várias equipes de pesquisa em organizações e comunidades que trabalham com aprendizagem móvel. Muitos estudos e projetos de pesquisa foram concluídos sobre o uso de tecnologia móvel na educação e treinamento.

Além disso, já há trabalho em andamento em vários países ao redor do mundo em tópicos relacionados, como aprendizagem em diferentes contextos, aprendizagem em trânsito e o uso de computadores de mão na aprendizagem. Isso é evidente pelos nove casos de uso incluídos nos Anexos A a I. Além disso, há trabalho em andamento em algumas dessas questões no W3C e no ITU-T.

À medida que este trabalho avança, é essencial preparar as bases para assegurar que a concepção, desenvolvimento, implementação e avaliação da aprendizagem móvel em ambientes de aprendizagem, educação e formação decorram de uma forma contínua, flexível e integrada. Em suma, a tecnologia móvel precisa ser perfeitamente integrada às atividades de ensino e aprendizagem que são suportadas pela tecnologia da informação e comunicação (TIC) em geral. Uma revisão de modelos e estruturas para projetar experiências de aprendizagem móvel descreveu diferentes estratégias de aprendizagem para o uso de tecnologias móveis na aprendizagem.

Isso inclui a aprendizagem baseada no contexto, em que os alunos podem aprender em seu próprio contexto usando conexão sem fio, sistemas de posicionamento global, conexão por satélite e aplicativos móveis; a aprendizagem contínua e onipresente em movimento e de qualquer lugar devido à portabilidade das tecnologias móveis – a estratégia de aprendizagem é importante para os alunos nômades que se deslocam de um local para o outro; aprendizagem baseada em jogos, em que os alunos são apresentados a diferentes cenários e desafios durante o processo de aprendizagem; aprendizagem colaborativa suportada por computador móvel, em que os alunos usam tecnologias móveis para interagir para completar as atividades de aprendizagem em grupos.

No passado, o uso de tecnologias móveis, devido ao seu pequeno tamanho e portabilidade, era benéfico para os nômades. No entanto, as tecnologias móveis atuais são mais poderosas e estão sendo usadas em diferentes locais e contextos de aprendizagem. Por exemplo, as tecnologias móveis podem ser usadas em uma sala de aula para ensinar crianças em idade escolar sobre os padrões de transmissão de doenças; na educação médica para apoiar os alunos no aprendizado da prática clínica à beira do leito; em uma indústria para treinar funcionários como manter uma peça de equipamento; em um museu para dar aos alunos uma apresentação virtual de um evento histórico; em uma faculdade para dar aos alunos um tour virtual de um sítio arqueológico e assim por diante.

O uso potencial da tecnologia móvel é ilimitado, seu uso dependerá da criatividade do designer instrucional, professor ou treinador. Uma análise de 113 estudos de pesquisa sobre aprendizagem móvel em níveis de pré-jardim de infância à 12ª série descobriu que 62% dos estudos relataram resultados positivos, o que significa que a maioria dos estudos descobriu que o uso de dispositivos móveis em uma atividade de aprendizagem resultou em maior aprendizagem dos alunos. Também relatou que a maioria dos estudos (50%) ocorreu em contextos educacionais formais, enquanto um ambiente composto por ambientes formais e informais representou 27% dos contextos educacionais, e os restantes 23% dos estudos ocorreram em contextos de definições informais.

ISO/IEC 19989-2: o desempenho do reconhecimento biométrico

Essa norma internacional, editada pela ISO/IEC em 2020, é usada para a avaliação de segurança de sistemas de verificação biométrica e sistemas de identificação biométrica, este documento é dedicado à avaliação de segurança de desempenho de reconhecimento biométrico aplicando a série ISO/IEC 15408. Fornece os requisitos e as recomendações para o desenvolvedor e o avaliador para as atividades suplementares sobre desempenho de reconhecimento biométrico especificado na ISO/IEC 19989-1.

A ISO/IEC 19989-2:2020 – Information security – Criteria and methodology for security evaluation of biometric systems – Part 2: Biometric recognition é usada para a avaliação de segurança de sistemas de verificação biométrica e sistemas de identificação biométrica, este documento é dedicado à avaliação de segurança de desempenho de reconhecimento biométrico aplicando a série ISO/IEC 15408. Fornece os requisitos e as recomendações para o desenvolvedor e o avaliador para as atividades suplementares sobre desempenho de reconhecimento biométrico especificado na ISO/IEC 19989-1. A avaliação das técnicas de detecção de ataque de apresentação está fora do escopo deste documento, exceto para a apresentação de tentativas de impostor de acordo com a política de uso pretendido, seguindo a documentação de orientação do target of evaluation (TOE).

Conteúdo da norma

Prefácio………………………….. iv

Introdução………………………. v

1 Escopo………………………. 1

2 Referências normativas………….. 1

3 Termos e definições………………. 2

4 Termos abreviados………………. 3

5 Atividades complementares à ISO/IEC 18045 em ensaios automated test equipment (ATE)………………..4

5.1 Geral……………………… …… 4

5.1.1 Orientação……………….. 4

5.1.2 Observações para avaliação de desempenho…….. 6

5.1.3 Identificação do tipo de avaliação de desempenho………… 6

5.1.4 Taxas de erro de reconhecimento biométrico………….7

5.2 Planejar a avaliação…………… 10

5.2.1 Visão geral…………………… 10

5.2.2 Estimativa de tamanhos de ensaio……………… 11

5.2.3 Documentação de ensaio ………………….. …. 12

5.3 Coleta de dados……………………………… 12

5.3.1 Escolha de dados de ensaio ou aquisição de equipe de ensaio e dispositivo de captura …………… ………. 12

5.3.2 Executando o ensaio ……… ………….. 14

5.4 Análises……………………………………. 14

5.5 Revisando os ensaios de desenvolvedor……………. 14

5.6 Requisitos específicos para componentes de garantia em ATE_IND…………15

5.6.1 Visão geral…………………. 15

5.6.2 Requisitos específicos em ATE_IND.1……………. 15

5.6.3 Requisitos específicos em ATE_IND.2…………….. 15

5.7 Avaliação de ensaios de desenvolvedor repetindo um subconjunto de ensaio……………………. 16

5.8 Realização de ensaios independentes………..17

5.8.1 Visão geral…………………………………… 17

5.8.2 Identificação do tipo de avaliação de desempenho…… 18

6 Atividades suplementares para a ISO/IEC 18045 sobre avaliação de vulnerabilidade (vulnerability assessment – AVA………………………….18

6.1 Aspectos gerai…………………………… 18

6.2 TOE para ensaio………………………… 19

6.3 Vulnerabilidades potenciais…………. 20

6.4 Avaliação do potencial de ataque………………. 20

Anexo A (informativo) Exemplos de cálculo de potencial de ataque para atividades AVA ……………………… 21

Anexo B (informativo) Exemplos para atividades ATE…………….. 27

Anexo C (informativo) Exemplo de documento de ensaio de desempenho do desenvolvedor e sua estratégia de avaliação………………………. 29

Bibliografia………………….. 33

Os sistemas biométricos podem estar sujeitos a ataques de apresentação em que os invasores tentam subverter a política de segurança do sistema, apresentando suas características biométricas naturais ou artefatos contendo características copiadas ou falsificadas. Os ataques de apresentação podem ocorrer durante o registro ou eventos de identificação/verificação. As técnicas projetadas para detectar artefatos de apresentação geralmente são diferentes daquelas para conter ataques em que características naturais são usadas.

A defesa contra ataques de apresentação com características naturais normalmente depende da capacidade de um sistema biométrico de discriminar entre inscritos genuínos e atacantes com base nas diferenças entre suas características biométricas naturais. Essa capacidade é caracterizada pelo desempenho de reconhecimento biométrico do sistema – quão bem ou mal um sistema de reconhecimento biométrico executa suas funções necessárias.

O desempenho do reconhecimento biométrico e a detecção de ataques de apresentação influenciam a segurança dos sistemas biométricos. Portanto, a avaliação desses aspectos de desempenho do ponto de vista da segurança se tornará uma consideração importante para a aquisição de produtos e sistemas biométricos.

Produtos e sistemas biométricos compartilham muitas das propriedades de outros produtos e sistemas de TI que são passíveis de avaliação de segurança usando a série ISO/IEC 15408 e ISO/IEC 18045 na forma padrão. No entanto, os sistemas biométricos incorporam certas funcionalidades que precisam de critérios e metodologia de avaliação especializados que não são abordados pela série ISO/IEC 15408 e ISO/IEC 18045. Principalmente, eles se relacionam com a avaliação de reconhecimento biométrico e detecção de ataque de apresentação. Estas são as funções abordadas na ISO/IEC 19989 (todas as partes).

A ISO/IEC 19792 descreve esses aspectos específicos da biometria e especifica os princípios a serem considerados durante a avaliação de segurança dos sistemas biométricos. No entanto, não especifica os critérios e as metodologias concretos necessários para a avaliação de segurança com base na série ISO/IEC 15408. A série ISO/IEC 19989 fornece uma ponte entre os princípios de avaliação para produtos e sistemas biométricos definidos na ISO/IEC 19792 e os critérios e requisitos de metodologia para avaliação de segurança com base na série ISO/IEC 15408.

A série ISO/IEC 19989 complementa a série ISO/IEC 15408 e a ISO/IEC 18045 fornecendo requisitos funcionais de segurança estendidos junto com atividades de garantia relacionadas a esses requisitos. As extensões dos requisitos e atividades de garantia encontradas na série ISO/IEC 15408 e ISO/IEC 18045 referem-se à avaliação do reconhecimento biométrico e a detecção de ataques de apresentação que são particulares aos sistemas biométricos.

A ISO/IEC 19989-1 consiste na introdução da estrutura geral para a avaliação de segurança de sistemas biométricos, incluindo componentes funcionais de segurança estendidos e metodologia suplementar, que são atividades de avaliação adicionais para o avaliador. As recomendações detalhadas são desenvolvidas para os aspectos de desempenho de reconhecimento biométrico neste documento e para apresentação de aspectos de detecção de ataques na ISO/IEC 19989-3.

Este documento descreve os suplementos à metodologia de avaliação de desempenho de reconhecimento biométrico com segurança de produtos biométricos. Ele complementa a série ISO/IEC 15408, ISO/IEC 18045 e ISO/IEC 19989-1. Ele se baseia nas considerações gerais descritas na ISO/IEC 19792 e na metodologia de ensaio de desempenho biométrico descrita na ISO/IEC 19795-1, fornecendo orientação adicional a um avaliador. Neste documento, o termo sujeito dos dados é usado enquanto usuário é usado na ISO/IEC 19989-1, a fim de ser consistente com o vocabulário biométrico, visto que os especialistas em biometria são os principais leitores deste documento.

Os requisitos dos cabos ópticos de terminação

Entenda os requisitos para a fabricação dos cabos ópticos de terminação que são indicados para instalações internas e externas, interligando os cabos ópticos externos da última emenda às instalações internas comerciais, industriais e residenciais.

A NBR 14772 de 07/2020 – Cabo óptico de terminação — Especificação especifica os requisitos para a fabricação dos cabos ópticos de terminação. Estes cabos são indicados para instalações internas e externas, interligando os cabos ópticos externos da última emenda às instalações internas comerciais, industriais e residenciais. Estes cabos não se aplicam às instalações externas aéreas.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser o núcleo constituído por unidades básicas de elementos ópticos?

Qual o código de cores das unidades básicas dos elementos ópticos e dos cordões ópticos?

Quais são as cores das fibras ópticas?

O que deve ser aplicado como revestimento externo?

Um cabo óptico de terminação é o conjunto constituído por unidades básicas de cordões ópticos, elementos ópticos ou fibras ópticas, elemento de tração dielétrico, eventuais enchimentos, núcleo seco resistente a penetração de umidade e protegidos por uma capa externa de material termoplástico retardante à chama. Um elemento óptico é um conjunto constituído por uma fibra óptica com revestimento primário em acrilato e com revestimento secundário de material termoplástico.

Uma unidade básica é o menor conjunto de fibras ópticas agrupadas, identificado inequivocamente, que pode ser delimitado por uma amarração, micromódulo ou tubo loose. prontos satisfaçam os requisitos especificados nesta norma. Os cabos ópticos de terminação são designados pelo seguinte código: CFOT – X – Y – Z – W, onde CFOT é o cabo óptico de terminação; X é o tipo de fibra óptica, conforme a tabela abaixo; Y é a formação do núcleo, conforme a tabela abaixo; Z é o número de fibras ópticas, conforme a tabela abaixo; W é o grau de proteção do cabo quanto ao comportamento frente à chama, conforme a tabela abaixo.

Os materiais constituintes dos cabos ópticos de terminação devem ser dielétricos. Os materiais utilizados na fabricação do cabo devem ser compatíveis entre si. Os materiais utilizados na fabricação dos cabos com função estrutural devem ter suas características contínuas ao longo de todo o comprimento do cabo.

As fibras ópticas tipo multimodo índice gradual, utilizadas na fabricação dos cabos, devem estar conforme a NBR 13487. As fibras ópticas tipo monomodo com dispersão normal, utilizadas na fabricação dos cabos, devem estar conforme a NBR 13488. As fibras ópticas tipo monomodo com dispersão deslocada e não nula, utilizadas na fabricação dos cabos, devem estar conforme a NBR 14604. As fibras ópticas tipo monomodo com baixa sensibilidade a curvatura, utilizadas na fabricação dos cabos, devem estar conforme a NBR 16028.

Não são permitidas emendas nas fibras ópticas durante o processo de fabricação do cabo. O núcleo deve ser constituído por unidades básicas de fibras ópticas, cordões ópticos ou elementos ópticos. Os cabos ópticos de terminação devem ser fabricados com unidades básicas de 2, 4, 6, 8, 12, 16, 24, 36 ou 48 fibras ópticas.

O núcleo deve ser constituído por unidades básicas. As unidades básicas devem ser dispostas em elementos de proteção adequados, de modo a atender aos requisitos especificados nesta norma. Os elementos de proteção podem ser constituídos por tubos de material polimérico encordoados em uma ou mais coroas, ou de forma longitudinal. Os elementos de proteção encordoados devem ser reunidos com passo e sentido escolhidos pelo fabricante, de modo a satisfazer as características previstas nesta norma.

No caso de cabos ópticos constituídos por elementos de proteção encordoados dispostos em mais de uma coroa, opcionalmente estas coroas podem ser separadas por fitas, a fim de facilitar a sua identificação. É recomendado que cabos ópticos compostos por elementos de proteção de até 12 fibras ópticas sejam constituídos por unidades básicas, onde cada unidade pode conter duas ou seis fibras ópticas. Para os cabos ópticos de 18 a 36 fibras ópticas constituídos por unidades básicas, é recomendado que cada unidade contenha seis ou 12 fibras ópticas.

Para os cabos ópticos de 48 a 288 fibras ópticas constituídos por unidades básicas, é recomendado que cada unidade contenha 12 ou 24 fibras ópticas. Para os cabos ópticos superiores a 288 fibras ópticas constituídos por unidades básicas, é recomendado que cada unidade contenha 24, 36 ou 48 fibras ópticas. O núcleo constituído por fibras ópticas dispostas em tubo único (central loose tube) deve conter um único tubo central de material polimérico contendo uma ou mais unidades básicas. Os cabos ópticos de até 48 fibras ópticas devem ser constituídos de fibras ópticas reunidas. Os cabos ópticos acima de 48 até 72 fibras ópticas devem ser constituídos por unidades básicas.

Para o núcleo constituído por unidades básicas de cordões ópticos monofibra, o cordão óptico deve ser conforme a NBR 14106. A unidade básica de cordões ópticos deve ser constituída por até 12 cordões agrupados e identificada. Os cabos de até 12 fibras ópticas devem ser constituídos por cordões ópticos reunidos. Para cabos de 18 a 36 fibras ópticas, é recomendado que cada unidade básica contenha seis cordões ópticos. Para cabos ópticos de 48 a 72 fibras, é recomendado que cada unidade básica contenha 12 cordões ópticos.

A marcação métrica sequencial deve ser feita em intervalos de 1 m ao longo do revestimento externo do cabo óptico de terminação. A marcação deve ser feita com algarismos de altura, forma, espaçamento e método de gravação ou impressão tais que se obtenha legibilidade perfeita e permanente. Não são permitidas marcações ilegíveis adjacentes. Na medida da marcação do comprimento ao longo do eixo do cabo, é tolerada uma variação para menos de até 0,5%, não havendo restrição de tolerância para mais.

A marcação inicial deve ser feita em contraste com a cor da capa do cabo, sendo preferencialmente azul ou preta para os cabos de cores claras e branca para os cabos de cores escuras ou em relevo. Se a marcação não satisfizer os requisitos anteriores, é permitida a remarcação na cor amarela. A remarcação deve ser feita de forma a não se sobrepor à marcação inicial defeituosa. Não é permitida qualquer outra remarcação além da citada. Cada lance de cabo deve ser fornecido acondicionado em um carretel de madeira com diâmetro mínimo do tambor de 22 vezes o diâmetro externo do cabo. A largura total do carretel não pode exceder 1,5 m e a altura total não pode ser superior a 2,1 m.

Os carretéis devem conter um número de voltas tal que entre a camada superior e as bordas dos discos laterais exista um espaço livre mínimo de 6 cm. Os carretéis utilizados devem estar conforme a NBR 11137. As extremidades do cabo devem ser solidamente presas à estrutura do carretel, de modo a não permitir que o cabo se solte ou se desenrole durante o transporte. A extremidade interna do cabo na bobina deve estar protegida para evitar danos durante o transporte, ser acessível para ensaios, possuir um comprimento livre de no mínimo 2 m e ser acomodada com diâmetro de no mínimo 22 vezes o diâmetro externo do cabo.

Após efetuados todos os ensaios requeridos para o cabo, as extremidades do lance devem ser fechadas, a fim de prevenir a entrada de umidade. Cada lance do cabo óptico de terminação deve ter um comprimento nominal de 2 000 m, podendo, a pedido do comprador, ser fornecido em comprimento específico. A tolerância de cada lance deve ser de + 3%, não sendo admitidos comprimentos inferiores ao especificado.

Devem ser identificadas em cada bobina, com caracteres perfeitamente legíveis e indeléveis, as seguintes informações: nome do comprador; nome do fabricante; número da bobina; designação do cabo; comprimento real do cabo na bobina, expresso em metros (m); massa bruta e massa líquida, expressas em quilogramas (kg); uma seta ou marcação apropriada para indicar o sentido em que o cabo deve ser desenrolado; identificação de remarcação, quando aplicável. O transporte, armazenamento e utilização das bobinas dos cabos ópticos de terminação devem ser feitos conforme a NBR 7310.

Como definir os elementos consistentes dos metadados

O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações.

A NBR ISO 23081-2 de 04/2020 – Informação e documentação — Gerenciamento de metadados para documentos de arquivo – Parte 2: Problemas conceituais e implementação estabelece um modelo para definir os elementos de metadados consistentes com os princípios e as considerações de implementação descritos na NBR ISO 23081-1. O propósito deste modelo é permitir a descrição padronizada de documentos de arquivo e entidades contextuais críticas para documentos de arquivo, fornecer uma compreensão comum dos pontos fixos de agregação para permitir a interoperabilidade de documentos de arquivo e informações relevantes para documentos de arquivo entre sistemas organizacionais e permitir reutilização e padronização de metadados para gerenciar documentos de arquivo ao longo do tempo, espaço e entre aplicações. Ela também identifica alguns dos pontos de decisão críticos que precisam ser abordados e documentados para permitir a implementação de metadados para gerenciar documentos de arquivo. Ela visa identificar os problemas que precisam ser abordados na implementação de metadados para gerenciamento de documentos de arquivo, identificar e explicar as várias opções para abordar as questões, e identificar vários caminhos para tomar decisões e escolher opções na implementação de metadados para gerenciar documentos de arquivo.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais as relações entre entidades nos metadados?

Quais são os conceitos relativos à implementação de metadados?

Por que os metadados podem ser herdados de um agregado superior para um inferior?

Qual o modelo de metadados para gerenciar documentos de arquivo?

A série NBR ISO 23081 descreve metadados para documentos de arquivo. Esta parte 2 concentra-se no modelo de definição de elementos de metadados para gestão de documentos de arquivo, e fornece uma declaração genérica de elementos de metadados, sejam estes físicos, analógicos ou digitais, de acordo com os princípios da NBR ISO 23081-1. Ela fornece uma fundamentação sólida dos metadados para gerenciar documentos de arquivo em organizações, modelos conceituais de metadados e um conjunto de elementos de alto nível de metadados genéricos, adequados para qualquer ambiente de documentos de arquivo.

Abrange, por exemplo, implementações atuais de gestão de documentos de arquivo ou arquivísticas. Ela define os tipos genéricos de metadados, tanto para entidades de documentos de arquivo quanto para outras entidades que precisam ser gerenciadas para documentar e entender o contexto dos documentos de arquivos. Esta parte 2 também identifica, para entidades-chave, um número mínimo de camadas de agregação fixas que são necessárias para fins de interoperabilidade. Os modelos e os tipos de metadados genéricos delineados nesta parte são principalmente focados na entidade documentos de arquivo.

No entanto, eles também são relevantes para as outras entidades. Não estabelece um conjunto específico de elementos de metadados. Em vez disso, ela identifica tipos genéricos de metadados que são necessários para cumprir os requisitos para gerenciar documentos de arquivo. Essa abordagem fornece às organizações a flexibilidade para selecionar metadados específicos para atender aos requisitos de seus negócios e gerenciar seus documentos de arquivo enquanto eles são necessários.

Ela fornece diagramas para determinar os elementos de metadados que podem ser definidos em uma implementação específica e os que podem ser aplicados a cada agregação das entidades definidas. Ela reconhece que essas entidades podem existir em diferentes camadas de agregação. Ela define tipos de metadados genéricos que podem ser aplicados em todas as camadas de agregação, ao mesmo tempo em que alerta aos implementadores para elementos de metadados que só podem ser aplicados em camadas de agregação específicas.

A implementação de metadados para gerenciar documentos de arquivo usando parâmetros organizacionais e de sistema envolve uma série de escolhas, que são determinadas pelas conjunturas da organização, pelos sistemas instalados e pelos requisitos para gerenciar documentos de arquivo. Com base nos princípios da NBR ISO 23081-1, esta parte 2 fornece explicações adicionais sobre os conceitos subjacentes de esquemas de metadados para gerenciar documentos de arquivo, oferece orientações práticas para o desenvolvimento e construção desses esquemas do ponto de vista organizacional e, finalmente, aborda questões relacionadas à implementação e ao gerenciamento de metadados ao longo do tempo.

Destina-se a arquivistas (ou pessoas atribuídas dentro de uma organização para gerenciar documentos de arquivo em qualquer ambiente) responsáveis pela definição de metadados para gerenciar documentos de arquivo em qualquer camada de agregação em um sistema de negócios ou software de documentos de arquivo dedicado, sistemas/analistas de negócio responsáveis pela identificação de metadados para gerenciar documentos de arquivo em sistemas de negócio, arquivistas ou analistas de sistemas que abordam os requisitos de interoperabilidade do sistema envolvendo documentos de arquivo, e fabricante de software, como fornecedores de aplicativos que apoiam e permitem a definição, captura e gestão de metadados ao longo do tempo. As organizações precisam de sistemas de informação que capturem e gerenciem informações contextuais adequadas para auxiliar o uso, compreensão, gerenciamento e acesso a documentos de arquivo ao longo do tempo.

Esta informação é crítica para assegurar autenticidade, confiabilidade, integridade, usabilidade e qualidades probatórias de documentos de arquivo. Coletivamente, essa informação é conhecida como metadados para gerenciamento de documentos de arquivo. Os metadados para gerenciar documentos de arquivo podem ser usados para uma variedade de propósitos dentro de uma organização, apoiando, identificando, autenticando, descrevendo, localizando e gerenciando seus recursos de forma sistemática e consistente para atender às necessidades de negócio, responsabilidade e requisitos societários das organizações.

O software de documentos de arquivo e os sistemas de negócio com funcionalidade de gerenciamento de registros gerenciam documentos de arquivo, capturando e gerenciando os seus metadados e o contexto de sua produção e uso. Os documentos de arquivo, particularmente sob a forma de transações eletrônicas, podem existir fora do software de documentos de arquivo formais, muitas vezes sendo produzidos em sistemas de negócio que atendem a fins específicos (por exemplo, sistemas de licenciamento).

Os documentos de arquivo são usados e compreendidos por pessoas que possuem ou têm acesso a conhecimentos suficientes sobre os processos que estão sendo realizados ou por pessoas que estão envolvidas na transação dos documentos de arquivo gerados e seu contexto imediato. Tais documentos de arquivo nem sempre são robustos, por razões que incluem as ligações contextuais que podem não ser escritas e depender da memória individual e do grupo.

Essa confiança no entendimento contextual não escrito não é confiável; algumas pessoas têm acesso a mais conhecimento do que outras; ao longo do tempo, a usabilidade dos documentos de arquivo será comprometida pelo movimento do pessoal e pela diminuição da memória corporativa. Os documentos de arquivo muitas vezes não possuem informações explícitas necessárias para identificar os componentes de uma transação fora do contexto de negócio específico e, portanto, são difíceis de intercambiar com outros sistemas de negócio relacionados aos fins de interoperabilidade.

Os processos de gestão necessários para assegurar a sustentabilidade dos documentos de arquivo ao longo do tempo, que eles requerem, geralmente não são uma característica de tais sistemas. Existem limites práticos para a quantidade de informações contextuais que podem ser explicitadas e capturadas em um determinado sistema na forma de metadados. O contexto é infinito, enquanto um único sistema de informação possui limites finitos. Outras informações contextuais sempre existirão fora dos limites de qualquer sistema. Um único sistema de software de documentos de arquivo precisa capturar o máximo de metadados que forem considerados úteis para que o sistema e seus usuários interpretem e gerenciem os documentos de arquivo pelo tempo que forem necessários no sistema e para permitir a migração daqueles documentos de arquivo requeridos fora do sistema.

Os bons esquemas de metadados são dinâmicos e podem incluir metadados adicionais para gerenciar documentos de arquivo conforme necessário ao longo do tempo. Muitos metadados para gerenciar documentos de arquivo podem ser obtidos de outros sistemas de informação. Para que eles sejam úteis em um sistema de gerenciamento de documentos de arquivo, eles precisam ser estruturados e organizados de forma padronizada.

Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação dentro e entre organizações. Os metadados para gerenciar documentos de arquivo não só descrevem seus atributos, de forma a permitir seu gerenciamento e uso/reutilização, mas também documentam as relações entre os documentos de arquivo e os agentes que os definem e os usam, além dos eventos ou circunstâncias em que os documentos de arquivo são produzidos e utilizados. Os metadados apoiam a busca de informações e a manutenção de sua autenticidade.

As organizações precisam produzir documentos de arquivo de suas transações e mantê-los enquanto forem necessários. Isso pode ser feito somente se os sistemas de negócio das organizações capturarem metadados de documentos de arquivo de acordo com os requisitos organizacionais para gerenciá-los. O quanto melhor um sistema gerencia documentos de arquivo é em grande parte dependente das funcionalidades de metadados do sistema. As relações entre os sistemas de negócio e os sistemas de softwares específicos de documentos de arquivo estão sujeitas às decisões nas implementações, conforme descrito na Seção 11.

A interoperabilidade refere-se à capacidade de dois ou mais sistemas automatizados de trocar informações e reconhecer, processar e usar essas informações com sucesso. Os sistemas interoperáveis precisam ser capazes de funcionar simultaneamente em níveis técnicos, semânticos e sintáticos. Os metadados padronizados são um pré-requisito essencial para a interoperabilidade do sistema de informação.

Os metadados padronizados para gerenciar documentos de arquivo ajudam a permitir a interoperabilidade da seguinte maneira: entre sistemas de negócio dentro de uma organização (por exemplo, entre os sistemas que apoiam um processo de negócio e aqueles que oferecem apoio a outros processos de negócio em toda a organização); entre sistemas de negócio que produzem documentos de arquivo e software de documentos de arquivo que os administram como documentos de arquivo; entre sistemas de negócio durante a migração de um sistema; entre várias organizações envolvidas na condução de processos de negócio (por exemplo, em uma cadeia de gerenciamento ou transações de comércio eletrônico); entre organizações para uma variedade de outros propósitos do negócio (por exemplo, na realização de transações compartilhadas ou transferência de documentos de arquivo para um terceiro); ao longo do tempo entre os sistemas de negócio que produzem documentos de arquivo e sistemas arquivísticos que os preservam. Ao apoiar a interoperabilidade, os metadados para gerenciar documentos de arquivo permitem a descoberta de recursos em sistemas de negócio, bem como em software de documentos de arquivo.

Os esquemas de metadados podem ser adaptados aos requisitos organizacionais para mitigação dos riscos. As organizações especificarão elementos que devem estar presentes para que os documentos de arquivo sejam confiáveis, autênticos e íntegros. Outros elementos serão opcionais, para inclusão, a critério das subunidades de organizações, ou para sistemas de negócio específicos dentro das organizações.

Ao considerar estratégias de implementação de metadados, recomenda-se que as organizações identifiquem os riscos que existem, considerem o grau de risco envolvido e garantam que a estratégia de implementação: forneça acesso aos sistemas de negócio críticos ao longo do tempo, satisfaça os requisitos legais de autenticidade e confiabilidade, e seja sustentável a partir de uma perspectiva de recursos ao longo do tempo. Os metadados estruturados para gerenciamento de documentos de arquivo, em combinação com boas funcionalidades de sistemas de busca, apoiam o acesso e a recuperação de documentos de arquivo em toda a organização. Isso maximiza a capacidade das pessoas de encontrar documentos de arquivo relevantes de forma rápida e fácil, quando precisam.

Além disso, os metadados de documentos de arquivo estruturados permitem que as informações sejam recuperadas no contexto do negócio, aumentando assim a compreensão e a confiabilidade das informações recuperadas para reutilização. Um investimento inicial, relativamente pequeno, em bons metadados, pode melhorar a qualidade e reduzir os custos de recuperação de informações para a organização. Os metadados para gerenciar documentos de arquivo podem ser usados para reduzir o risco de uso não autorizado. Metadados são necessários para especificar se o acesso aos documentos de arquivo é restrito.

Recomenda-se que somente aqueles com autorização apropriada tenham acesso aos documentos de arquivo. Convém que quaisquer instâncias de acesso sejam documentadas como metadados. Os metadados de controle de acesso são vitais para assegurar os interesses legais e de negócio da organização. Eles asseguram o gerenciamento adequado da confidencialidade e privacidade de informações pessoais e outras restrições de uso e segurança identificadas nos documentos de arquivo de uma organização.

Com a mudança da estrutura, função ou processo de trabalho de uma organização, ocorre uma alteração nas responsabilidades para as atividades do negócio. A implementação de metadados de documentos de arquivo padronizados e estruturados ajudam a identificar os documentos de arquivo apropriados para serem movidos em todos os sistemas e limites organizacionais. Esses metadados padronizados também ajudam a extrair documentos de arquivo de um sistema e importá-los para outros sistemas, preservando a ligação contextual, independentemente de qualquer sistema de negócio particular.

Os documentos de arquivo digitais dependem de metadados para sua existência, gestão e uso futuro. As características dos documentos de arquivo (ISO 15489-1:2001, 7.2), em todos os formatos, são definidas nos metadados dos documentos de arquivo. Assegurar a preservação dos documentos de arquivo, incluindo seus metadados, em formato eletrônico, exige conformidade com padrões de metadados estáveis, estruturados e bem definidos, para sua sustentabilidade em atualizações ou mudanças de software. A preservação dos documentos de arquivo digitais, enquanto eles são necessários, pode envolver uma série de estratégias (ver Seção 11), mas todas as estratégias dependem da existência de metadados padronizados para gerenciar documentos de arquivo.

Muitas das informações necessárias para documentar e descrever os documentos de arquivo e seu contexto em sistemas arquivísticos podem ser obtidas a partir dos metadados em software de documentos de arquivo. Recomenda-se que esta interligação seja tão perfeita quanto possível. Capturar metadados para gerenciar documentos de arquivo de acordo com um esquema padronizado torna esse processo mais fácil de implementar.

Conforme indicado na ISO 23081-1:2006, Seção 6, recomenda-se que estratégias de metadados sejam tratadas como parte integrante, ou explicitamente relacionada, a uma estratégia mais ampla de gerenciamento de informações e documentos de arquivo da organização. A este respeito, convém que seja elaborada uma política clara relacionada aos metadados, seja como uma área de política autônoma separada, ligada ao modelo de políticas de documentos de arquivo existente ou mesmo como uma parte integrante e distinta das políticas de documentos de arquivo organizacionais existentes.

Em ambos os casos, recomenda-se que as organizações identifiquem e atribuam funções e responsabilidades, incluindo responsabilidades para assegurar a qualidade de metadados; identifiquem os requisitos de confiabilidade, acessibilidade, recuperação, manutenção e segurança de metadados; selecionem padrões ou esquema de metadados aplicáveis; identifiquem e estabeleçam regras para a aplicação de esquemas de codificação de metadados (vocabulários controlados, esquemas de sintaxe); determinem normas técnicas a serem utilizadas na implementação; identifiquem como a política de metadados para gerenciar documentos de arquivo se relaciona a outras políticas ou esquemas de metadados que estão em uso na organização; identifiquem critérios e metodologias de avaliação para determinar a conformidade e a eficácia da política; desenvolvam estratégias de monitoramento e avaliação para acompanhar a política; determinem como a política será mantida atualizada, de acordo com as atividades do negócio.

Recomenda-se que qualquer política permita diferentes níveis de implementação. Convém identificar o nível e a forma a serem alcançados. Recomenda-se que uma política também identifique as áreas mais críticas e requeira atenção especial em relação às estratégias de implementação de metadados, como sustentabilidade, acessibilidade, identificação de documentos de arquivo vitais, preservação e análise de risco.

Em conformidade com o modelo estabelecido de funções e responsabilidades para os documentos de arquivo (ver ISO 15489-1:2001, 6.3), recomenda-se que a responsabilidade pelo desenvolvimento, implementação e manutenção de modelos de metadados para gerenciamento de documento de arquivo seja atribuída aos arquivistas, em associação com outros funcionários da organização, como da área de tecnologia da informação ou profissionais da área jurídica, conforme apropriado. Esta responsabilidade inclui analisar as necessidades da organização de metadados para gerenciar documentos de arquivo baseados nos requisitos do negócio; monitorar e analisar a evolução da organização em relação aos metadados, em particular os requisitos para o gerenciamento dos documentos de arquivo; assegurar que os esquemas de metadados para gerenciamento de documentos de arquivo sejam desenvolvidos de acordo com as melhores práticas e com as normas aplicáveis da indústria; desenvolver o modelo de metadados para gerenciar documentos de arquivo, incluindo o esquema de metadados, e as normas organizacionais relacionados e as regras para utilizar o modelo; identificar ou desenvolver esquemas de codificação de metadados apropriados, refinamentos de elementos e qualificadores, por exemplo, plano de classificação; manter o esquema de metadados atualizado e alinhado com as necessidades do negócio; gerenciar o esquema de metadados também como um documento de arquivo; manter a qualidade geral dos metadados definidos por máquina e por seres humanos, particularmente no que se refere à sua precisão, integridade, autenticidade, usabilidade e confiabilidade; coordenar as questões de implementação entre os documentos de arquivo e o pessoal de tecnologia da informação; realizar a coordenação com os proprietários dos sistemas de negócio para assegurar a integração dos metadados de gerenciamento de documentos de arquivo, conforme apropriado; realizar a coordenação com autoridades/processos arquivísticos para assegurar a interoperabilidade entre o software de documentos de arquivo e os ambientes de arquivamento de documentos de arquivo que possuem valor permanente; elaborar um programa e rotina de treinamento dos agentes sobre o uso e a aplicação do esquema de metadados; comunicar sobre o esquema de metadados dentro da organização.

Os sistemas desenvolvidos para gerenciar documentos de arquivo requerem metadados que apoiam processos de arquivos ou mesmo de gerenciamento de documentos de arquivo. Um dos principais usos dos metadados é representar entidades a partir do ambiente de negócio no sistema de negócio. As entidades apoiam a perspectiva dos documentos de arquivo para entender o ambiente de negócio, mas eles não são em si mesmos objetos sempre tangíveis.

A figura abaixo especifica o modelo conceitual de entidade e apoia qualquer número de entidades, mas de particular importância são as seguintes: os próprios documentos de arquivo sejam um documento individual ou agregações de documentos de arquivo (conhecidos como entidades de registro); as pessoas ou estruturas de organização no ambiente de negócio (conhecidas como entidades agente); transações de negócio (conhecidas como entidades de negócio); as regras que regem a transação e documentação de negócio (conhecidas como entidades competentes).

Não se espera que todas as implementações desta parte da NBR ISO 23081 implementem diretamente todas as classes de entidades descritas. Tais decisões dependerão da capacidade de assegurar ligações contínuas descritas entre as várias classes de entidades. As incertezas sobre a persistência podem levar a implementações centradas em documentos de arquivo, onde metadados sobre outras classes de entidades são trazidos explicitamente para dentro dos limites da própria classe de documento de arquivo.

Tais implementações achatam o modelo de entidade e incluem a informação sobre as classes faltantes de entidades dentro de outras entidades. Por exemplo, uma implementação que não contenha classes de agentes, determinações ou de negócio pode incluir as informações necessárias para a implementação da classe de documento de arquivo.

As orientações para a gestão da segurança da informação

Conheça as orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001.

A NBR ISO/IEC 27003 de 04/2020 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Orientações fornece explicações e orientações sobre a NBR ISO/IEC 27001:2013.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como entender as necessidades e expectativas das partes interessadas?

Quais as orientações para estabelecer o escopo de um SGSI?

Por que a liderança e o comprometimento são essenciais para um sistema de gestão de segurança da informação (SGSI) efetivo?

Quais as orientações para uma política de segurança?

Este documento fornece orientações sobre os requisitos para um sistema de gestão de segurança da informação (SGSI) conforme especificado na NBR ISO/IEC 27001 e fornece recomendações (‘Convém que’), possibilidades (‘pode’) e permissões (‘pode’) em relação a eles. Não é a intenção de este documento fornecer orientações gerais sobre todos os aspectos de segurança da informação. As Seções 4 a 10 deste documento espelham a estrutura da NBR ISO/IEC 27001:2013. Este documento não adiciona quaisquer novos requisitos para um SGSI e seus termos e definições relacionados.

Convém que as organizações consultem a ABNT NBR ISO/IEC 27001 e a ISO/IEC 27000 para requisitos e definições. As organizações implementando um SGSI não estão sob qualquer obrigação de observar as orientações deste documento. Um SGSI enfatiza a importância das seguintes fases: compreender as necessidades da organização e a necessidade de estabelecer política de segurança da informação e objetivos de segurança da informação; avaliar a organização, e os riscos relacionados à segurança da informação; implementar e operar processos, controles e outras medidas de segurança da informação para o tratamento de riscos; fiscalizar e analisar o desempenho e a eficácia do SGSI; e praticar a melhoria contínua.

Um SGSI, semelhante a qualquer outro tipo de sistema de gestão, inclui os seguintes componentes principais: política; pessoal com responsabilidades definidas; processos de gestão relacionados com o estabelecimento de política; provisão de conscientização e competência; planejamento; implementação; operação; avaliação de desempenho; análise crítica pela direção; melhoria; e informação documentada. Um SGSI tem componentes principais adicionais, como: avaliação de riscos de segurança da informação; e tratamento de riscos de segurança da informação, incluindo a determinação e a implementação de controles.

Este documento é genérico e se destina a ser aplicável a todas as organizações, independentemente do tipo, tamanho ou natureza. Convém que a organização identifique que parte destas orientações se aplica a ela de acordo com o seu contexto organizacional específico (ver NBR ISO/IEC 27001:2013, Seção 4). Por exemplo, algumas orientações podem ser mais adequadas para grandes organizações, mas para organizações muito pequenas (por exemplo, com menos de dez pessoas) algumas das orientações podem ser desnecessárias ou inadequadas.

As descrições das Seções 4 a 10 são estruturadas da seguinte forma: Atividade necessária: apresenta as principais atividades necessárias na subseção correspondente da NBR ISO/IEC 27001; Explicação: explica o que os requisitos da NBR ISO/IEC 27001 demandam; Orientações: fornece informações mais detalhadas ou de apoio para implementar a “atividade necessária”, incluindo exemplos para implementação; e Outras informações: fornece mais informações que podem ser consideradas.

As NBR ISO/IEC 27003, NBR ISO/IEC 27004 e NBR ISO/IEC 27005 formam um conjunto de documentos que dão suporte e orientações para a NBR ISO/IEC 27001:2013. Dentre esses documentos, a NBR ISO/IEC 27003 é um documento básico e abrangente que fornece orientações para todos os requisitos da NBR ISO/IEC 27001, mas não tem descrições detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação.

As NBR ISO/IEC 27004 e ABNT NBR ISO/IEC 27005 focam em conteúdos específicos e fornecem orientações mais detalhadas sobre “monitoramento, medição, análise e avaliação” e gestão de riscos de segurança da informação. Existem várias referências explícitas à informação documentada na NBR ISO/IEC 27001. No entanto, uma organização pode reter informações documentadas adicionais que considera necessárias para a eficácia do seu sistema de gestão como parte de sua resposta à NBR ISO/IEC 27001:2013, 7.5.1 b).

Nestes casos, este documento usa a frase “Informação documentada sobre esta atividade e o seu resultado é mandatório somente na forma e na medida em que a organização determina como necessário para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b)”. A organização determina questões externas e internas relevantes para sua finalidade e que afetam a sua habilidade para obter o (s) resultado (s) pretendido (s) do sistema de gestão da segurança da informação (SGSI).

Como uma função integrante do SGSI, a organização analisa constantemente a si própria e o mundo que a rodeia. Esta análise está preocupada com questões internas e externas que de alguma maneira afetam a segurança da informação e como a segurança da informação pode ser gerida, e que são relevantes para os objetivos da organização. A análise destas questões tem três objetivos: entender o contexto a fim de decidir o escopo do SGSI; analisar o contexto para determinar riscos e oportunidades; e assegurar que o SGSI esteja adaptado para mudar questões externas e internas.

Questões externas são aquelas que estão fora do controle da organização. Isso é frequentemente referido como o ambiente da organização. A análise deste ambiente pode incluir os seguintes aspectos: social e cultural; político, jurídico, normativo e regulatório; financeiro e macroeconômico; tecnológico; natural; e competitivo. Estes aspectos do ambiente da organização apresentam continuamente questões que afetam a segurança da informação e como a segurança da informação pode ser gerida. As questões externas relevantes dependem da situação e das prioridades específicas da organização.

Por exemplo, questões externas para uma organização específica podem incluir: implicações legais do uso de um serviço de TI terceirizado (aspecto legal); características da natureza em termos de possibilidade de desastres como incêndios, inundações e terremotos (aspecto natural); avanços técnicos de ferramentas de invasão e uso de criptografia (aspecto tecnológico); e demanda geral por serviços da organização (aspectos sociais, culturais ou financeiros).

Questões internas estão sujeitas ao controle da organização. A análise das questões internas pode incluir os seguintes aspectos: cultura da organização; políticas, objetivos e estratégias para alcançá-los; governança, estrutura organizacional, funções e responsabilidades; normas, diretrizes e modelos adotados pela organização; relações contratuais que podem afetar diretamente os processos da organização incluídos no escopo do SGSI; processos e procedimentos; capacidades, em termos de recursos e de conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); infraestrutura e ambiente físicos; sistemas de informação, fluxos de informação e processos de tomada de decisão (ambos formal e informal); e auditorias anteriores ou resultados de análise de riscos anteriores. Os resultados desta atividade são usados em 4.3, 6.1 e 9.3.

Com base em um entendimento da finalidade da organização (por exemplo, se referindo a sua declaração de missão ou plano de negócios), bem como o(s) resultado(s) pretendido(s) do SGSI da organização, convém para a organização: analisar criticamente o ambiente externo para identificar questões externas relevantes; e analisar criticamente os aspectos internos para identificar questões internas relevantes. A fim de identificar questões relevantes, a seguinte pergunta pode ser feita: Como uma determinada categoria de questões (ver 4.1 a) a t)) afetam os objetivos de segurança da informação?

Três exemplos de questões internas servem como uma ilustração de: EXEMPLO 1 Sobre a governança e a estrutura organizacional (ver 4.1 m)): Ao estabelecer um SGSI, convém considerar a governança e as estruturas organizacionais já existentes. Como um exemplo, a organização pode modelar a estrutura do seu SGSI com base na estrutura de outros sistemas de gestão existentes, e pode combinar funções comuns, como análise crítica pela direção e auditoria.

EXEMPLO 2 Sobre a política, objetivos e estratégias (ver 4.1 l)): Uma análise das políticas, objetivos e estratégias existentes pode indicar o que a organização pretende obter e como os objetivos de segurança da informação podem ser alinhados com os objetivos de negócio para assegurar resultados bem-sucedidos. EXEMPLO 3 Sobre os sistemas de informação e fluxos de informação (ver 4.1 s)): Quando determinar questões internas, convém à organização identificar, a um nível de detalhe suficiente, os fluxos de informação entre os seus vários sistemas de informação.

Como tanto as questões internas e externas irão mudar ao longo do tempo, convém serem analisadas criticamente, de forma periódica, as questões e a sua influência sobre o escopo, restrições e requisitos do SGSI. Informação documentada sobre esta atividade e os seus resultados é mandatória somente na forma e na medida em que a organização determina como necessária para a eficácia do seu sistema de gestão (ver NBR ISO/IEC 27001:2013, 7.5.1 b).

Na ISO/IEC 27000, a definição de “organização” possui uma nota que diz: “O conceito de organização inclui, mas não se limita a, comerciante independente, companhia, corporação, firma, empresa, autoridade, parceria, caridade ou instituição, ou parte ou combinação destas, incorporadas ou não, pública ou privada”. Alguns destes exemplos são entidades jurídicas em sua totalidade, enquanto outros não são.