Diretrizes para implantação de um SGSI ISO 27003

A ABNT ISO/IEC 27003:2011 possui as diretrizes para a implantação de um SGSI (Sistema de Gestão de Segurança da Informação), essa norma explica a implantação de um SGSI com foco na elaboração, planejamento e definição do projeto, este possui 5 fases sendo cada fase separado por uma seção da norma.

ISO 27003_3
Figura 1: Fases do projeto do SGSI

A organização deve criar motivos que justifique a implantação de um SGSI, e devem incluir os objetivos e as prioridades para implantação, um plano inicial do projeto também seja criado.

Dessa forma a organização poderá entender a relevância de um SGSI e esclarecer os papeis e responsabilidades pela segurança da informação dentro da organização.

Para isso trataremos de algumas atividades da primeira fase 5. Obtendo aprovação da direção para iniciar o projeto do SGSI, como segue:

5.2. Esclarecer as prioridades da organização para implementar o SGSI;

Elaborar os objetivos do SGSI.

Listar os requisitos contratuais e regulamentares pertinentes às atividades da organização, que são relevantes para segurança da informação.

Definir as características do negócio.

5.3. Definir o escopo primário do SGSI;

5.3.1. Desenvolver o escopo do SGSI;

Definir as características do negócio.

5.3.2. Definir os papéis e responsabilidades dentro do escopo;

Descrever os papéis e responsabilidades para a implementação do SGSI.

5.4. Criar os motivos da implantação e plano do projeto para aprovação de direção;

Apresentar o estudo de caso.

Apresentar a proposta de implantação.

Obter a aprovação do projeto.

A fase será um grande trabalho de convencimento da alta gestão da organização, com os motivos certos alinhados ao plano estratégico da organização, requisitos legais e regulatórios, contratuais. Os entregáveis nessa fase serão a aprovação e o plano final do projeto de implantação do SGSI (Sistema de Gestão de Segurança da Informação).

Para as próximas publicações discorreremos em cada fase e cada atividade que deverá ser cumprida até a definição do plano final do SGSI.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.