Fórum de discussão

Na classificação de risco que estou trabalhando existe uma valoração (entre outras) com base no tempo de indisponibilidade que o incidente causa, ou seja, se um incidente causar indisponibilidade <=2 horas é baixo, se o incidente causar indisponibilidade entre 2 e 12 horas é medio e indisponibilidade maior que 12 horas é alto.

Mapeando o processo de mudança há um risco que dependendo do sistema pode causar indisponibilidade baixa, média ou alta porém estamos mapeando o processo de gmud, ou seja, o risco é inerente ao processo independente do sistema que esta passando pelo processo de mudança.

Pergunta: está correto o pensamento de mapear o processo de mudança genericamente? Se sim qual é o tempo de indisponibilidade que devo considerar tudo alto ou devo considerar a maioria dos casos?. Existe alguma boa prática que indique caminho para que minha classificação fique mais precisa?

Aguardo retorno

Obrigado

a norma 27005, que é para gerenciamento de riscos, não traz um método de avaliação de riscos detalhado, apenas traz orientações em alto nível. Então, na familia 27005 não vai ter uma boa prática para esta classicação, você terá que criar para o seu cenário.

Você pode usar a classificação de impacto da disponibilidade da sua forma, mas considerar que 12 horas de indisponibilidade para um determinado sistema pode ser critico de mais e para outro sistema pode não ser tão critico porque ele não é vital para o negócio. Sendo assim, além de avaliar a indisponibilidade você terá que considerar outros critérios para determinar o impacto do risco.