Diretrizes para implantação de um SGSI ISO 27003
Voltamos a apresentar a norma da ABNT NBR ISO/IEC 27003:2011 que dispõe sobre diretrizes para implantação de um SGSI, como sequencia do post anterior iremos seguir pelo tópico 6 definindo o escopo do SGSI, limites e a política do SGSI.
Para essa atividade teremos como base a ISO/IEC 27001:2013 no item 4, criaremos um escopo detalhado do Sistema de Gestão da Segurança da Informação, então definiremos um escopo levando em consideração 3 limites, organizacionais, de tecnologia da informação e comunicação (TIC) e limites físicos, com base nas características abordadas na ISO 27001.
É possivel definir um escopo do SGSI abrangendo toda a organização ou parte dela, como uma divisão ou delimitando claramente os elementos, por exemplo, pode ser um serviços, um data center, um ativo como um sistema core da organização, entre outros.
O esforço necessário para implementar o SGSI será diretamente dependente da amplitude do escopo a ser aplicado, também será diretamente relacionado com o membro responsável pelo SGSI, que deverá ser a pessoa responsável por todas as áreas afetadas dentro da organização.
Para o caso onde a função responsável pela gestão do SGSI não é um membro da alta gestão da organização, é necessário um patrocinador para representar os interesses da Segurança da Informação e atuar como mediador para SGSI nos mais altos níveis diretivos da organização.
Por fim devemos integrar cada escopo e limites para obter o escopo e limites do SGSI, para isso tomamos como entrada as saídas das atividades:
5.3 – Definir o escopo preliminar do SGSI;
6.2 – Definir o escopo e os limites organizacionais;
6.3 – Definir o escopo e limites da tecnologia da informação e comunicação (TIC);
6.4 – Definir o escopo e os limites físicos.
Por fim teremos como resultado um documento que descreve o escopo e os limites do SGSI, contendo:
as principais características da organização (função, estrutura, serviços, ativos e as possibilidades e limites da responsabilidade de cada ativo);
os processos organizacionais no escopo;
uma lista preliminar dos ativos de informação no escopo;
uma lista dos ativos de TIC (servidores e ativos de redes) no escopo;
mapas dos sites no escopo (limites físicos) no escopo;
descrição dos papeis e responsabilidades dentro do SGSI e suas relações com a estrutura organizacional;
detalhes e justificativas para qualquer exclusão do escopo do SGSI.
Definido o escopo e os limites do SGSI, daremos inicio ao desenvolvimento da política do SGSI para aprovação da direção, assim teremos como dados de entrada as atividades:
6.5 Integrar cada escopo e seus limites para obter o escopo e limites do SGSI;
5.2 Esclarecer as prioridades da organização para desenvolver um SGSI;
5.4 Criar os motivos da implantação e o plano do projeto para aprovação da direção.
Após a criação da política do SGSI, levando os aspectos a seguir como:
- Objetivos com base nos requisitos e nas prioridades de segurança da informação da organização;
- Estabelecer o foco geral e guia de ação para alcançar os objetivos do SGSI;
- Considerar os requisitos organizacionais, legais ou regulamentares e as obrigações contratuais;
- Contexto da gestão de risco dentro da organização;
- estabelecer os critérios para avaliação de risco e uma estrutura de analise/avaliação de risco de acordo com a metodologia escolhida;
- Esclarecer as responsabilidades da alta gestão sobre o SGSI;e,
- Obter aprovação da direção.
Esta fase terá como resultado final um documento que descreve a política do SGSI documentada e aprovada pela alta direção.
Concluímos mais uma fase do projeto de implantação do SGSI, para o próximo post vamos falar sobre a analise dos requisitos de segurança da informação o item 7 da norma.