Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 2
Dando continuidade ao tópico anterior o Sistema de Gestão de Segurança da Informação – SGSI no item 4 CONTEXTO DA ORGANIZAÇÃO devemos:
Primeiramente determinar internamente e externamente o que é relevante para organização, levar em consideração as expectativas das partes interessadas, requisitos legais, regulamentares e contratuais da organização para atingir os resultados pretendidos com o SGSI.
É recomendável que este levantamento seja realizado em conjunto com critérios de analise de risco corporativos como ABNT NBR ISO/IEC 31.000:2009.
Assim determine o escopo do Sistema de Gestão da Segurança da Informação – SGSI e documente o escopo em uma política.
Em seu último requisito temos o PDCA, não está explicito mas é intrínseco no item 4.4 onde a organização deve estabelecer, implementar, manter e continuamente melhorar.
O item 5 Liderança, aqui cabe a alta gestão da empresa, por meio de um direcionamento expresso, assegurar que a Política de Segurança da Informação e os objetivos de segurança da informação estejam estabelecidos e são compatíveis com a estratégia da organização, garantindo a inclusão dos requisitos do SGSI nos processos da organização e assegurar que os recursos necessários estejam disponíveis para manter e melhorar o SGSI.
Além de comunicar a importância de estar em conformidade com a ABNT NBR ISO/IEC 27.001:2013, cumprindo e respeitando o Sistema de Gestão de Segurança da Informação – SGSI, para garantir que seja alcançado os resultados pretendidos, orientar, apoiar pessoas e processos para que contribuam para eficácia e eficiência do SGSI em promover e incentivar a busca pela melhoria contínua da organização.
A Política de Segurança da Informação deve ser estabelecida pela alta gestão da empresa e liderança, deve conter:
- deve ser apropriada ao propósito da organização;
- incluir os objetivos de segurança da informação;
- o comprometimento para atender aos requisitos aplicáveis pela organização;
- e sempre é bom incluir o comprometimento da organização pela melhoria contínua do SGSI.
Requisitos da Política de Segurança da Informação:
- deve ser documentada;
- estar disponível a todas as partes interessadas de forma apropriada;
- ser comunicada dentro da organização e a todos os envolvidos com o SGSI;
Por ultimo a alta gestão da organização deve atribuir, assegurar e comunicar as responsabilidades e autoridades dos papéis relevantes para a segurança da informação.
Assim devemos ter papéis específicos para assegurar que o Sistema de Gestão de Segurança da Informação – SGSI está em conformidade com os requisitos da norma ABNT NBR ISO/IEC 27001:2013, e papéis para relatar o desempenho do Sistema de Gestão de Segurança da Informação – SGSI a alta gestão da organização.