Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 2

Dando continuidade ao tópico anterior o Sistema de Gestão de Segurança da Informação – SGSI no item 4 CONTEXTO DA ORGANIZAÇÃO devemos:

Primeiramente determinar internamente e externamente o que é relevante para organização, levar em consideração as expectativas das partes interessadas, requisitos legais, regulamentares e contratuais da organização para atingir os resultados pretendidos com o SGSI.

É recomendável que  este levantamento seja realizado em conjunto com critérios de analise de risco corporativos como ABNT NBR ISO/IEC 31.000:2009.

Assim determine o escopo do Sistema de Gestão da Segurança da Informação – SGSI e documente o escopo em uma política.

Em seu último requisito temos o PDCA, não está explicito mas é intrínseco no item 4.4 onde a organização deve estabelecer, implementar, manter e continuamente melhorar.

O item 5 Liderança, aqui cabe a alta gestão da empresa, por meio de um direcionamento expresso, assegurar que a Política de Segurança da Informação e os objetivos de segurança da informação estejam estabelecidos e são compatíveis com a estratégia da organização, garantindo a inclusão dos requisitos do SGSI nos processos da organização e assegurar que os recursos necessários estejam disponíveis para manter e melhorar o SGSI.

Além de comunicar a importância de estar em conformidade com a ABNT NBR ISO/IEC 27.001:2013, cumprindo e respeitando o Sistema de Gestão de Segurança da Informação – SGSI, para garantir que seja alcançado os resultados pretendidos, orientar, apoiar pessoas e processos para que contribuam para eficácia e eficiência do SGSI em promover e incentivar a busca pela melhoria contínua da organização.

A Política de Segurança da Informação deve ser estabelecida pela alta gestão da empresa e liderança, deve conter:

  • deve ser apropriada ao propósito da organização;
  • incluir os objetivos de segurança da informação;
  • o comprometimento para atender aos requisitos aplicáveis pela organização;
  • e sempre é bom incluir o comprometimento da organização pela melhoria contínua do SGSI.

Requisitos da Política de Segurança da Informação:

  • deve ser documentada;
  • estar disponível a todas as partes interessadas de forma apropriada;
  • ser comunicada dentro da organização e a todos os envolvidos com o SGSI;

Por ultimo a alta gestão da organização deve atribuir, assegurar e comunicar as responsabilidades e autoridades dos papéis relevantes para a segurança da informação.

Assim devemos ter papéis específicos para assegurar que o Sistema de Gestão de Segurança da Informação – SGSI está em conformidade com os requisitos da norma ABNT NBR ISO/IEC 27001:2013, e papéis para relatar o desempenho do Sistema de Gestão de Segurança da Informação – SGSI a alta gestão da organização.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *