Resolução nº 04/2008

MINISTÉRIO DA EDUCAÇÃO
COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO

RESOLUÇÃO COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO Nº 04 , DE 31 DE JULHO DE 2008

Estabelece procedimentos formais de controle de demandas e mudanças a serem seguidos pela área de Tecnologia da Informação (TI) do Ministério da Educação (MEC) e pelas áreas de TI dos demais integrantes do Comitê Gestor de Tecnologia da Informação.

O PRESIDENTE DO COMITÊ GESTOR DE TECNOLOGIA DA INFORMAÇÃO DO MINISTÉRIO DA EDUCAÇÃO, instituído pela Portaria MEC n° 810 de 24 de agosto de 2007, no uso de suas atribuições, conforme deliberado na 18ª reunião do Comitê Gestor de TI, realizada em 25 de julho de 2008, e

Considerando:
A determinação do TCU para que o Ministério da Educação estabeleça procedimentos formais de controle de demandas e mudanças, de acordo com o previsto no item 12.5.1 da NBR ISO/IEC 17799:2005, à semelhança das orientações contidas no item AI6 do Cobit 4.1;
A necessidade de formalizar procedimentos referentes ao controle da solicitação, a alocação de recursos, o desenvolvimento, os testes e a aceitação/homologação de novas versões de sistemas, de forma a permitir que os usuários acompanhem o andamento de suas demandas e aumente a eficiência dos serviços prestados;
A necessidade de que modificações nos recursos de processamento da informação e sistemas sejam controladas e estejam sujeitas a um específico controle de gestão de mudanças, em atenção ao princípio da eficiência;
A necessidade de que procedimentos de controle de mudanças sejam documentados e reforçados com vistas a minimizar a corrupção dos sistemas de informação;
A importância de se seguir um processo formal de documentação, especificação, teste, controle da qualidade e gestão da implementação quando da introdução de novos sistemas e mudanças em sistemas existentes;
Resolve:
Art. 1º Estabelecer procedimentos formais de controle de demandas a serem seguidos pela Diretoria de Tecnologia da Informação do Ministério da Educação (DTI/MEC) e pelas áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação.
§ 1º A DTI/MEC e as áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação deverão considerar os seguintes itens quando da implementação de um controle de demandas:
I - procedimento formal de abertura de chamado em ambiente acessível a todos os usuários cadastrados;
II – registro da demanda que contemple informações tais como o nome do demandante, cargo, o email e o órgão do usuário, bem como a descrição do problema/demanda e prazo esperado para atendimento da demanda;
III – sistema de procedimento de aceite e priorização da demanda;
IV – sistema de acompanhamento, pelo usuário, do atendimento da demanda;
V – sistema de confirmação e avaliação do atendimento (feedback) pelo usuário;
VI – organização e documentação de todo o processo de atendimento de demandas.
§ 2º A DTI/MEC e as áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação deverão avaliar todas as demandas através da implantação de um processo estruturado, de modo que se defina o impacto das mesmas , além de assegurar que todas as demandas sejam categorizadas, priorizadas e autorizadas.
Art. 2º Estabelecer procedimentos formais de controle de mudanças a serem seguidos pela Diretoria de Tecnologia da Informação do Ministério da Educação (DTI/MEC) e pelas áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação, de acordo com o item 10.1.2 e 12.5.1 da NBR ISO/IEC 17799:2005, bem como as orientações contidas no item AI6 do Cobit 4.1.
§ 1º A DTI/MEC e as áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação deverão considerar os seguintes itens quando da implantação de um controle de gestão de mudanças:
I – identificação e registro das mudanças significativas;
II – planejamento e testes das mudanças;
III – avaliação de impactos potenciais de tais mudanças, incluindo impactos de segurança;
IV – procedimento formal de aprovação das mudanças propostas;
V – comunicação dos detalhes das mudanças para todas as pessoas envolvidas;
VI – procedimentos de recuperação, incluindo procedimentos e responsabilidades pela interrupção e recuperação de mudanças em caso de insucesso ou na ocorrência de eventos inesperados.
§ 2º A DTI/MEC e as áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação deverão avaliar todas as solicitações de mudanças através da implantação de um processo estruturado, de modo que se defina o impacto das mesmas, além de assegurar que todas as mudanças sejam categorizadas, priorizadas e autorizadas.
§ 3º A DTI/MEC e as áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação deverão estabelecer procedimentos de controle de mudanças que incluam:
I – a manutenção de um registro dos níveis acordados de autorização;
II – a garantia de que as mudanças sejam submetidas por usuários autorizados;
III – a análise crítica dos procedimentos de controle e integridade para assegurar que as mudanças não os comprometam;
IV – a identificação de todo software, informação, entidades em bancos de dados e hardware que precisam de emendas;
V – a obtenção de aprovação formal para propostas detalhadas antes da implementação;
VI – a garantia da aceitação das mudanças por usuários autorizados, antes da implementação;
VII – a garantia da atualização da documentação do sistema após conclusão de cada mudança e de que a documentação antiga seja arquivada ou descartada;
VIII – a manutenção de um controle de versão de todas as atualizações de softwares;
IX – a manutenção de uma trilha para auditoria de todas as mudanças solicitadas;
X – a garantia de que toda a documentação operacional e procedimentos dos usuários sejam alterados conforme necessário e que se mantenham apropriados;
XI – a garantia de que as mudanças sejam implementadas em horários apropriados, sem a perturbação dos processos de negócios cabíveis.
Art. 3º A DTI/MEC e as áreas de tecnologia da informação dos demais integrantes do Comitê Gestor de Tecnologia da Informação deverão prever em sua estrutura organizacional a criação de uma unidade responsável pelo registro e acompanhamento das novas demandas e solicitações de mudanças, o cumprimento dos prazos e entregas, e, a avaliação dos riscos e pesquisas de soluções inerentes às demandas.
Art. 4º Esta Resolução entra em vigor a partir de 180 dias da data de sua publicação.


JOSÉ HENRIQUE PAIM FERNANDES