4.4 A Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC deverá produzir
subsídios para suportar o Sistema de Gestão de Segurança da Informação e Comunicações e a
Gestão de Continuidade de Negócio.
Complementando caso haja interesse.
4.1 As diretrizes gerais do processo de Gestão de Riscos de Segurança da Informação e
Comunicações – GRSIC deverão considerar, prioritariamente, os objetivos estratégicos, os
processos, os requisitos legais e a estrutura do órgão ou entidade da Administração Pública
Federal, direta e indireta – APF, além de estarem alinhadas à respectiva Política de Segurança da
Informação e Comunicações do órgão ou entidade;
4.2 O processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC deve
ser contínuo e aplicado na implementação e operação da Gestão de Segurança da Informação e
Comunicações;
4.3 O processo de Gestão de Riscos de Segurança da Informação e Comunicações – GRSIC deve
estar alinhado ao modelo denominado PDCA (Plan-Do-Check-Act), conforme definido na
Norma Complementar no 02/DSIC/GSIPR, publicada no Diário Oficial da União no 199, Seção
1, de 14 de outubro de 2008, de modo a fomentar a sua melhoria contínua;