Juliana Jenny Kolb
Home > Redes de Computadores > NBR ISO/IEC 27002:2013
Materiais Complementares
Versão 2005 – Documento em PDF |
Versão 2013 – Documento em PDF |
NBR ISO/IEC 27002:2013 – Políticas para segurança da informação
Convém que um conjunto de políticas de segurança da informação seja definido, aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
Convém que no mais alto nível a organização defina uma política de segurança da informação, que seja aprovada pela direção e estabeleça a abordagem da organização para gerenciar os objetivos de segurança da informação.
Convém que as políticas de segurança da informação contemplem requisitos oriundos da:
a) estratégia do negócio;
b) de regulamentações, legislação e contratos;
c) do ambiente de ameaça da segurança da informação, atual e futuro.
Convém que a política de segurança da informação contenha declarações relativas a:
a) definição da segurança da informação, objetivos e princípios para orientar todas as atividades relativas à segurança da informação;
b) atribuição de responsabilidades, gerais e específicas, para o gerenciamento da segurança da informação para os papéis definidos;
c) processos para o tratamento dos desvios e exceções.
No nível mais baixo, convém que a política de segurança da informação seja apoiada por políticas de tópicos específicos, que exigem a implementação de controles de segurança e que sejam estruturadas para considerar as necessidades de certos grupos de interesse dentro da organização ou para cobrir tópicos específicos.
São exemplos de políticas com tópicos específicos:
a) controle de acesso (ver 9);
b) classificação e tratamento da informação (ver 8.2);
c) segurança física e do ambiente (ver 11);
d) tópicos orientados aos usuários finais:
1) uso aceitável dos ativos (ver 8.1.3);
2) mesa Limpa e Tela Limpa (ver11.2.9);
3) transferência de informações (ver 13.2.1);
4) dispositivos móveis e trabalho remoto (ver 6.2);
5) restrições sobre o uso e instalação de software (ver 12.6.2);
e) backup (ver 12.3);
f) transferência da informação (ver 13.2);
g) proteção contra códigos maliciosos (ver 12.2);
h) gerenciamento de vulnerabilidades técnicas (ver 12.6.1);
i) Controles criptográficos (ver 10);
j) segurança nas comunicações (ver 13);
k) proteção e privacidade da informação de identificação pessoal (ver 18.1.4);
l) relacionamento na cadeia de suprimento (ver 15).
Convém que estas políticas sejam comunicadas aos funcionários e partes externas relevantes de forma que sejam entendidas, acessíveis e relevantes aos usuários pertinentes, por exemplo, no contexto de um programa de conscientização, educação e treinamento em segurança da informação.