3 de novembro de 2010 Governança de TI, Segurança

Conhecendo a ABNT NBR ISO/IEC 27001 – SGSI – Parte 2

Continuando a apresentação da norma, iniciada no artigo Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1, serão apresentados agora os requisitos propriamente ditos.

Seção 4 – Sistema de Gestão de Segurança da Informação

Conforme visto anteriormente, a norma adota o ciclo PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um Sistema de Gestão de Segurança da Informação (SGSI). Cada uma dessas fases será apresentada a seguir.

Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação

Figura 2 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

Estabelecer SGSI (Plan)

Esta fase compreende toda a preparação necessária para a implementação do SGSI na organização, a qual deve:

  • Definir o escopo (abrangência) do SGSI considerando-se características do negócio, a organização, sua localização, ativos e tecnologia. Exclusões de escopo deverão ser justificadas, se houver;
  • Definir uma Política de SGSI aprovada pela direção, que contenha princípios para ações relacionadas à Segurança da Informação;
  • Definir uma metodologia para identificação, análise e avaliação de riscos, bem como a definição de opções de tratamento desses riscos que seja adequada ao SGSI e aos requisitos identificados para o negócio, contendo identificação de ativos, ameaças, vulnerabilidades e impactos desses riscos aos ativos, critérios e níveis para aceitação de riscos, considerando-se os impactos para o negócio, a avaliação da probabilidade real da ocorrência, a estimativa de níveis de riscos e se esses riscos serão aceitos ou se será necessário tratá-los;
  • Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Esta norma sugere como ponto de partida controles derivados da norma ABNT NBR ISO/IEC 27002, que são apresentados no Anexo A da norma 27001;
  • Obter aprovação da direção dos riscos residuais propostos, bem como da autorização para implementar e operar o SGSI;
  • Preparar a Declaração de Aplicabilidade, que fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como quaisquer um deles que tenha sido excluído, devidamente justificado).

Implementar e Operar SGSI (Do)

Esta fase compreende o funcionamento do SGSI na organização, a qual deve:

  • Elaborar e implementar um plano de tratamento de riscos, identificando ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;
  • Implementar controles selecionados anteriormente para atender aos objetivos de controle;
  • Definir a medição da eficácia dos controles, bem como como as medidas que devem ser utilizadas para avaliação da eficácia;
  • Implementar programas de conscientização e treinamento;
  • Gerenciar operações e recursos para o SGSI;
  • Implementar procedimentos e outros controles para detectar e responder prontamente a incidentes de segurança da informação.

Monitorar e Analisar Criticamente SGSI (Check)

É através desta fase que são verificados o desempenho e a eficácia do SGSI na organização, a qual deve:

Executar procedimentos de monitoração e análise crítica para detectar erros, tentativas, violações de segurança e incidentes prontamente; possibilitar à direção verificar se as atividades designadas a pessoas ou implementadas via tecnologia são executadas conforme esperado e verificar se as ações tomadas para solucionar violações foram eficazes;

  • Realizar regularmente análises críticas da eficácia do SGSI, considerando-se resultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.;
  • Medir a eficácia dos controles;
  • Realizar análise crítica periódica das avaliações de riscos para verificar e considerar mudanças ocorridas ao longo do tempo;
  • Realizar auditorias internas periódicas do SGSI;
  • Realizar periodicamente a análise crítica do SGSI pela direção;
  • Atualizar  planos de segurança conforme resultados obtidos na monitoração e análise crítica;
  • Registrar eventos e ações que possam impactar na eficácia ou no desempenho do SGSI.

Manter e melhorar SGSI (Act)

Esta fase foca na manutenção e no aprimoramento contínuo do SGSI da organização, a qual deve:

  • Implementar melhorias identificadas no SGSI;
  • Executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional;
  • Comunicar ações e melhorias para as partes interessadas;
  • Garantir que as melhorias realmente estejam atingindo os objetivos pretendidos.

No próximo artigo, serão abordados mais requisitos, tais como documentação, responsabilidades da direção, entre outros.

Referência Bibliográfica:

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. ABNT, 2006.

Conhecendo a ABNT NBR ISO/IEC 27001 – SGSI – Parte 1

Conhecendo a ABNT NBR ISO/IEC 27001 – SGSI – Parte 3

Aléxia Lage de Faria

Mais artigos deste autor »

Agile Coach, com experiência nas áreas de Segurança da Informação, Qualidade (ISO 9001) e Qualidade de Software.

CONTEÚDOS RELACIONADOS

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!