Continuando a apresentação da norma, iniciada no post Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1, serão apresentados agora os requisitos propriamente ditos.
Seção 4 – Sistema de Gestão de Segurança da Informação
Conforme visto anteriormente, a norma adota o ciclo PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um Sistema de Gestão de Segurança da Informação (SGSI). Cada uma dessas fases será apresentada a seguir.
Figura 2 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.
Estabelecer SGSI (Plan)
Esta fase compreende toda a preparação necessária para a implementação do SGSI na organização, a qual deve:
Definir o escopo (abrangência) do SGSI considerando-se características do negócio, a organização, sua localização, ativos e tecnologia. Exclusões de escopo deverão ser justificadas, se houver;
Definir uma Política de SGSI aprovada pela direção, que contenha princípios para ações relacionadas à Segurança da Informação;
Definir uma metodologia para identificação, análise e avaliação de riscos, bem como a definição de opções de tratamento desses riscos que seja adequada ao SGSI e aos requisitos identificados para o negócio, contendo identificação de ativos, ameaças, vulnerabilidades e impactos desses riscos aos ativos, critérios e níveis para aceitação de riscos, considerando-se os impactos para o negócio, a avaliação da probabilidade real da ocorrência, a estimativa de níveis de riscos e se esses riscos serão aceitos ou se será necessário tratá-los.
Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Esta norma sugere como ponto de partida controles derivados da norma ABNT NBR ISO/IEC 27002, que são apresentados no Anexo A da norma 27001;
Obter aprovação da direção dos riscos residuais propostos, bem como da autorização para implementar e operar o SGSI;
Preparar a Declaração de Aplicabilidade, que fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como quaisquer um deles que tenha sido excluído, devidamente justificado).
Implementar e Operar SGSI (Do)
Esta fase compreende o funcionamento do SGSI na organização, a qual deve:
Elaborar e implementar um plano de tratamento de riscos, identificando ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;
Implementar controles selecionados anteriormente para atender aos objetivos de controle;
Definir a medição da eficácia dos controles, bem como como as medidas que devem ser utilizadas para avaliação da eficácia;
Implementar programas de conscientização e treinamento;
Gerenciar operações e recursos para o SGSI;
Implementar procedimentos e outros controles para detectar e responder prontamente a incidentes de segurança da informação.
Monitorar e Analisar Criticamente SGSI (Check)
É através desta fase que são verificados o desempenho e a eficácia do SGSI na organização, a qual deve:
Executar procedimentos de monitoração e análise crítica para detectar erros, tentativas, violações de segurança e incidentes prontamente; possibilitar à direção verificar se as atividades designadas a pessoas ou implementadas via tecnologia são executadas conforme esperado e verificar se as ações tomadas para solucionar violações foram eficazes;
Realizar regularmente análises críticas da eficácia do SGSI, considerando-se resultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.;
Medir a eficácia dos controles;
Realizar análise crítica periódica das avaliações de riscos para verificar e considerar mudanças ocorridas ao longo do tempo;
Realizar auditorias internas periódicas do SGSI;
Realizar periodicamente a análise crítica do SGSI pela direção;
Atualizar planos de segurança conforme resultados obtidos na monitoração e análise crítica;
Registrar eventos e ações que possam impactar na eficácia ou no desempenho do SGSI.
Manter e melhorar SGSI (Act)
Esta fase foca na manutenção e no aprimoramento contínuo do SGSI da organização, a qual deve:
Implementar melhorias identificadas no SGSI;
Executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional;
Comunicar ações e melhorias para as partes interessadas;
Garantir que as melhorias realmente estejam atingindo os objetivos pretendidos.
No próximo artigo, serão abordados mais requisitos, tais como documentação, responsabilidades da direção, entre outros.
Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.
Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9
0 $type={blogger}:
Postar um comentário