• p.7 5.4.2 Articulando o comprometimento com a gestão de riscos - Convém que a Alta Direção e os órgãos de supervisão, onde aplicável, demonstrem e articulem o seu comprometimento contínuo com a gestão de riscos por meio de uma política, uma declaração ou outras formas que claramente transmitam os objetivos e o comprometimento com a gestão de riscos de uma organização. p.9 6.1 Generalidades - Convém que o processo de gestão de riscos seja parte integrante da gestão e da tomada de decisão, e seja integrado na estrutura, operações e processos da organização. Pode ser aplicado nos níveis estratégico, operacional, de programas ou de projetos. p.11 6.3.4 Definindo critérios de risco - Convém que a organização especifique a quantidade e o tipo de risco que pode ou não assumir em relação aos objetivos. Convém também que estabeleça critérios para avaliar a significância do risco e para apoiar os processos de tomada de decisão.

• p.185-189 DSS04 Gerenciar Continuidade - Estabelecer e manter um plano para permitir que o negócio e a TI possam responder a incidentes e interrupções, a fim de continuar a operação de processos de negócios críticos e os serviços de TI necessários, e manter a disponibilidade de informações em um nível aceitável para a empresa. DSS04.01 Definir a política de continuidade de negócios, seus objetivos e escopo. DSS04.02 Manter uma estratégia de continuidade. DSS04.03 Desenvolver e implementar uma resposta de continuidade de negócio. DSS04.04 Exercitar, testar e revisar o Plano de Continuidade de Negócio (PCN). DSS04.05 Revisar, manter e melhorar o plano de continuidade. DSS04.06 Conduzir treinamento no plano de continuidade. DSS04.07 Gerenciar preparativos para backup. DSS04.08 Conduzir revisões após a retomada de operações (tradução livre).

•  p. 11 3.3 Princípio 2: Estratégia. Avaliar – Convém que os dirigentes assegurem que a utilização de TI seja submetida à análise e avaliações de risco, de acordo com as devidas normas nacionais e internacionais. P. 13 3.5 Princípio 4: Desempenho. Avaliar – Convém que os dirigentes avaliem proposições para assegurar que a TI apoiará os processos do negócio com a capacidade e competência necessárias. Convém que estas propostas enderecem a continuidade normal da operação dos negócios e o tratamento dos riscos associados com o uso da TI. Convém que os dirigentes avaliem os riscos à continuidade da operação resultantes das atividades de TI. Convém que os dirigentes avaliem os riscos à integridade da informação e à proteção dos ativos de TI, incluindo a propriedade intelectual e a base de conhecimentos da organização. P. 15 3.7 Princípio 6: Comportamento humano. Dirigir – Convém que os dirigentes exijam que as atividades de TI sejam compatíveis com as diferenças do comportamento humano. Convém que os dirigentes exijam que riscos, oportunidades, constatações e preocupações possam ser identificados e relatados por qualquer pessoa a qualquer momento. Esses riscos devem ser gerenciados de acordo com as políticas e procedimentos publicados e levados ao conhecimento dos respectivos responsáveis pelas tomadas de decisão.

•  p.36 EDM03.02 Dirigir a gestão de risco – Dirigir o estabelecimento das práticas de gestão de risco, a fim de garantir que o risco de TI não exceda o apetite a riscos da organização. P. 107 APO12 Gestão de riscos – Continuamente identificar, avaliar e reduzir os riscos de TI para de níveis de tolerância estabelecidos pela organização (tradução livre). Objetivo: Integrar a gestão de risco organizacional associado ao uso de TI com a gestão de risco organizacional em geral, e equilibrar os custos e os benefícios da gestão de riscos de TI (tradução livre). P. 108 APO12.01 Coletar dados – Identificar e coletar dados relevantes para viabilizar identificação, análise e comunicação de riscos de TI efetivas (tradução livre). P. 109 APO12.02 Analisar riscos – Desenvolver informação útil para suportar decisões que levam em conta a relevância para o negócio dos fatores de riscos (tradução livre). P. 110 APO12.03 Manter um perfil de risco – Manter um inventário de riscos conhecidos e de atributos de risco (incluindo frequência esperada, impacto potencial e respostas) e de recursos, capacidades e atividades de controle (tradução livre). APO12.04 Comunicar risco – Para possibilitar respostas apropriadas, fornecer informação tempestiva à partes interessadas a respeito do estado atual de exposições e oportunidades relacionadas ao uso da TI (tradução livre). APO12.05 Definir um portfólio de ações para gerenciamento de risco – Gerenciar oportunidades para reduzir riscos a níveis aceitáveis (tradução livre). P. 111 APO12.06 Responder aos riscos – Responder de maneira tempestiva com medidas efetivas para limitar a magnitude de perda com eventos relacionados à TI (tradução livre).

•  9.1. recomendar ao Conselho Nacional de Justiça – CNJ, ao Departamento de Coordenação e Controle das Empresas Estatais – Dest, à Secretaria de Logística e Tecnologia da Informação do Ministério do Planejamento, Orçamento e Gestão – SLTI/MP, ao Conselho Nacional do Ministério Público – CNMP, à Secretaria Geral da Presidência do Tribunal de Contas da União – Segepres/TCU, à Diretoria Geral da Câmara dos Deputados e à Diretoria Geral do Senado Federal que: 9.1.6. promovam ações de sensibilização e capacitação dos gestores das organizações sob sua jurisdição quanto à gestão de riscos de TI, com o objetivo de orientá-los sobre a identificação, análise, tratamento e comunicação dos riscos a que a instituição está sujeita;

•  p.45-47 6.3. Gerenciamento de continuidade e disponibilidade de serviço – Ambos os processos de gerenciamento de continuidade e disponibilidade incluem um foco em prevenção e recuperação de falhas ou desastres em serviços [...] Convém que o provedor de serviços desenvolva planos efetivos que garantam que os requisitos acordados possam ser alcançados. [...] Convém que uma característica essencial do processo de gerenciamento de continuidade e disponibilidade seja a análise de risco e a gestão do risco. Convém que a análise do risco inclua a análise de impacto do negócio [...] Convém que o provedor de serviços desenvolva planos de continuidade e disponibilidade de serviços, planos e procedimentos de recuperação e uma política de teste de continuidade de serviços.