O Sistema de Gestão da Segurança da Informação (ISMS)

teste

 

Juliana Jenny Kolb

Home > Segurança da Informação > ABNT NBR ISO/IEC 27001:2006

O Sistema de Gestão da Segurança da Informação (ISMS)

Para o estabelecimento do ISMS, a norma diz que a organização deve:

  • definir o escopo e os limites do ISMS;
  • definir a política de ISMS;
  • definir a abordagem para a avaliação de riscos da organização;
  • identificar os riscos;
  • analisar e avaliar os riscos;
  • identificar e avaliar opções para o tratamento dos riscos;
  • selecionar os objetivos de controle e os controles para o tratamento dos riscos;
  • obter a aprovação da administração para implementar e operar o ISMS;
  • preparar uma Declaração de Aplicabilidade que compreenda os objetivos de controle, os controles e a justificativa de sua seleção, os controles atualmente implantados e a exclusão de quaisquer objetivos e controles (com as respectivas justificativas de exclusão).

Para a implementação e operação do ISMS, a organização deve executar as seguintes atividades:

  • formular um plano de tratamento de riscos que identifique ações gerenciais, recursos, responsabilidade e prioridades;
  • implementar o plano de tratamento de riscos;
  • implementar os controles selecionados;
  • definir como medir a eficácia dos controles ou grupos de controle;
  • implementar programas de treinamento e de conscientização;
  • gerenciar a operação do ISMS;
  • gerenciar os recursos do ISMS.

A monitoração e revisão do ISMS deve ser conduzida pela organização de acordo com as seguintes orientações:

  • executar os procedimentos de monitoramento e controle;
  • realizar revisões periódicas da eficácia do ISMS;
  • medir a eficácia dos controles para verificar se os requisitos de segurança têm sido atendidos;
  • rever a metodologia de risco em intervalos planejados e rever os riscos residuais;
  • conduzir auditorias internas do ISMS em intervalos planejados;
  • realizar uma revisão gerencial do ISMS em bases regulares;
  • atualizar os planos de segurança, levando em consideração os resultados do monitoramento;
  • registrar ações e eventos que podem ter um impacto na eficácia do desempenho do ISMS.

Em relação à manutenção e melhoria do ISMS, a organização deve:

  • implementar as melhorias identificadas no ISMS;
  • tomar ações corretivas e preventivas apropriadas;
  • aplicar lições aprendidas;
  • comunicar as ações de melhoria aos interessados;
  • assegurar que as melhorias atendam a seus objetivos intencionados.

Em relação aos requisitos de documentação, a norma diz que a organização deve conter documentação contendo:

  • políticas para o ISMS;
  • escopo do ISMS;
  • procedimentos e controles de avaliação de riscos;
  • descrição da metodologia de avaliação de riscos;
  • plano de tratamento de riscos;
  • procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles;
  • registros requeridos por esta Norma;
  • a Declaração de Aplicabilidade.

Referência Bibliográfica

FERNANDES, Aguinaldo Aragon; ABREU, Vladimir Ferraz. Implantando a Governança de TI da Estratégia à Gestão dos Processos e Serviços – 2. Ed. – Rio de Janeiro: Brasport, 2008.

Deixe uma resposta