Diretrizes para implantação de um SGSI ISO 27003
A ABNT ISO/IEC 27003:2011 possui as diretrizes para a implantação de um SGSI (Sistema de Gestão de Segurança da Informação), essa norma explica a implantação de um SGSI com foco na elaboração, planejamento e definição do projeto, este possui 5 fases sendo cada fase separado por uma seção da norma.
A organização deve criar motivos que justifique a implantação de um SGSI, e devem incluir os objetivos e as prioridades para implantação, um plano inicial do projeto também seja criado.
Dessa forma a organização poderá entender a relevância de um SGSI e esclarecer os papeis e responsabilidades pela segurança da informação dentro da organização.
Para isso trataremos de algumas atividades da primeira fase 5. Obtendo aprovação da direção para iniciar o projeto do SGSI, como segue:
5.2. Esclarecer as prioridades da organização para implementar o SGSI;
Elaborar os objetivos do SGSI.
Listar os requisitos contratuais e regulamentares pertinentes às atividades da organização, que são relevantes para segurança da informação.
Definir as características do negócio.
5.3. Definir o escopo primário do SGSI;
5.3.1. Desenvolver o escopo do SGSI;
Definir as características do negócio.
5.3.2. Definir os papéis e responsabilidades dentro do escopo;
Descrever os papéis e responsabilidades para a implementação do SGSI.
5.4. Criar os motivos da implantação e plano do projeto para aprovação de direção;
Apresentar o estudo de caso.
Apresentar a proposta de implantação.
Obter a aprovação do projeto.
A fase será um grande trabalho de convencimento da alta gestão da organização, com os motivos certos alinhados ao plano estratégico da organização, requisitos legais e regulatórios, contratuais. Os entregáveis nessa fase serão a aprovação e o plano final do projeto de implantação do SGSI (Sistema de Gestão de Segurança da Informação).
Para as próximas publicações discorreremos em cada fase e cada atividade que deverá ser cumprida até a definição do plano final do SGSI.
