Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 2

Continuando a apresentação da norma, iniciada no post Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1, serão apresentados agora os requisitos propriamente ditos.

Seção 4 – Sistema de Gestão de Segurança da Informação

Conforme visto anteriormente, a norma adota o ciclo PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um Sistema de Gestão de Segurança da Informação (SGSI). Cada uma dessas fases será apresentada a seguir.

 

Figura 2 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

 

Estabelecer SGSI (Plan)

Esta fase compreende toda a preparação necessária para a implementação do SGSI na organização, a qual deve:

Definir o escopo (abrangência) do SGSI considerando-se características do negócio, a organização, sua localização, ativos e tecnologia. Exclusões de escopo deverão ser justificadas, se houver;

Definir uma Política de SGSI aprovada pela direção, que contenha princípios para ações relacionadas à Segurança da Informação;

Definir uma metodologia para identificação, análise e avaliação de riscos, bem como a definição de opções de tratamento desses riscos que seja adequada ao SGSI e aos requisitos identificados para o negócio, contendo identificação de ativos, ameaças, vulnerabilidades e impactos desses riscos aos ativos, critérios e níveis para aceitação de riscos, considerando-se os impactos para o negócio, a avaliação da probabilidade real da ocorrência, a estimativa de níveis de riscos e se esses riscos serão aceitos ou se será necessário tratá-los.

Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Esta norma sugere como ponto de partida controles derivados da norma ABNT NBR ISO/IEC 27002, que são apresentados no Anexo A da norma 27001;

Obter aprovação da direção dos riscos residuais propostos, bem como da autorização para implementar e operar o SGSI;

Preparar a Declaração de Aplicabilidade, que fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como quaisquer um deles que tenha sido excluído, devidamente justificado).

Implementar e Operar SGSI (Do)

Esta fase compreende o funcionamento do SGSI na organização, a qual deve:

Elaborar e implementar um plano de tratamento de riscos, identificando ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;

Implementar controles selecionados anteriormente para atender aos objetivos de controle;

Definir a medição da eficácia dos controles, bem como como as medidas que devem ser utilizadas para avaliação da eficácia;

Implementar programas de conscientização e treinamento;

Gerenciar operações e recursos para o SGSI;

Implementar procedimentos e outros controles para detectar e responder prontamente a incidentes de segurança da informação.

Monitorar e Analisar Criticamente SGSI (Check)

É através desta fase que são verificados o desempenho e a eficácia do SGSI na organização, a qual deve:

Executar procedimentos de monitoração e análise crítica para detectar erros, tentativas, violações de segurança e incidentes prontamente; possibilitar à direção verificar se as atividades designadas a pessoas ou implementadas via tecnologia são executadas conforme esperado e verificar se as ações tomadas para solucionar violações foram eficazes;

Realizar regularmente análises críticas da eficácia do SGSI, considerando-se resultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.;

Medir a eficácia dos controles;

Realizar análise crítica periódica das avaliações de riscos para verificar e considerar mudanças ocorridas ao longo do tempo;

Realizar auditorias internas periódicas do SGSI;

Realizar periodicamente a análise crítica do SGSI pela direção;

Atualizar  planos de segurança conforme resultados obtidos na monitoração e análise crítica;

Registrar eventos e ações que possam impactar na eficácia ou no desempenho do SGSI.

Manter e melhorar SGSI (Act)

Esta fase foca na manutenção e no aprimoramento contínuo do SGSI da organização, a qual deve:

Implementar melhorias identificadas no SGSI;

Executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional;

Comunicar ações e melhorias para as partes interessadas;

Garantir que as melhorias realmente estejam atingindo os objetivos pretendidos.

No próximo artigo, serão abordados mais requisitos, tais como documentação, responsabilidades da direção, entre outros.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9

0 comentários:

Postar um comentário

top
Creative Commons License
Este trabalho está licenciado sob Creative Commons Atribuição-Uso não-comercial-Compartilhamento pela mesma licença 3.0 Brasil License.