A ISO 27001 indica como gerir a segurança da informação por meio de um sistema de gestão da segurança da informação. Esse sistema de gestão, assim como a ISO 9001 ou a ISO 14001, é composto por quatro fases que devem ser implementadas continuamente a fim de minimizar os riscos para a confidencialidade, integridade e disponibilidade das informações.
As fases são as seguintes:
Plan (Planejar) – esta fase serve para planejar a organização básica da segurança da informação, definir objetivos de segurança da informação e escolher os controles de segurança adequados (a norma contém um catálogo com 133 controles possíveis)
Do (Fazer) – esta fase representa a realização de todo o planejado na fase anterior
Check (Verificar) – a finalidade desta fase é monitorar o funcionamento do SGSI por meio de diversos "canais" e verificar se os resultados atendem aos objetivos definidos
Act (Agir) – a finalidade desta fase é aprimorar tudo o que foi identificado como não conforme na fase anterior
O ciclo dessas quatro fases nunca termina e todas as atividades devem ser implementadas em ciclo a fim de manter um SGSI eficaz.
Documentos para a ISO 27001
A ISO 27001 requer os seguintes documentos:
- o objetivo do SGSI
- a política do SGSI
- os procedimentos para controle de documentos, auditorias internas e procedimentos para ações corretivas e preventivas
- todos os outros documentos, dependendo dos controles aplicáveis
- metodologia de avaliação de riscos
- relatório de avaliação de riscos
- declaração de aplicabilidade
- plano de tratamento de riscos
- registros
A quantidade e a precisão da documentação depende do tamanho da organização e os requisitos de segurança. Isso significa que uma dúzia de documentos será suficiente para uma organização de pequeno porte, enquanto que as organizações complexas e de grande porte terão centenas de documentos em seu SGSI.
A fase Plan
A fase Plan é composta pelas seguintes etapas:
- determinação do objetivo do SGSI
- composição de uma Política de SGSI
- identificação da metodologia para a avaliação de risco e determinação dos critérios de aceitação de riscos
- identificação dos ativos, das vulnerabilidades e das ameaças
- avaliação da dimensão dos riscos
- identificação e avaliação das opções de tratamento de riscos
- seleção de controles para o tratamento de riscos
- obtenção de aprovação da gestão para riscos residuais
- obtenção de aprovação da gestão para implementação do SGSI
- composição de uma declaração de aplicabilidade que relaciona todos os controles aplicáveis, declara quais desses controles já foram implementados e declara quais não são aplicáveis
A fase Do
A fase Do é composta pelas seguintes atividades:
- composição de um plano de tratamento de riscos, descrevendo os controles aplicáveis a quem, como, quando e com que orçamento o plano deve ser implementado
- implementação do plano de tratamento de riscos
- implementação dos controles de segurança aplicáveis
- determinação de como medir a eficácia dos controles
- condução de programas de conscientização e treinamento de funcionários
- gestão do funcionamento normal do SGSI
- gestão dos recursos de SGSI
- implementação dos procedimentos para detecção e gestão de incidentes de segurança
A fase Check
Esta fase inclui o seguinte:
- implementação de procedimentos e outros controles para monitoramento e análise a fim de estabelecer qualquer violação, processamento incorreto de dados , se as atividades de segurança estão sendo realizadas conforme o esperado, etc.
- análises periódicas da eficácia do SGSI
- medição da eficácia dos controles
- análise periódica da avaliação de riscos
- auditorias internas a intervalos planejados
- análises críticas da gestão para garantir que o SGSI está funcionando e para identificar oportunidades de melhoria
- atualização dos planos de segurança levando em consideração outras atividades de monitoramento e análise
- manutenção de registros de atividades e incidentes que podem afetar a eficácia do SGSI
A fase Act
Esta fase inclui o seguinte:
- implementação das melhorias identificadas no SGSI
- tomada de ações corretivas e preventivas; aplicação de experiências de segurança próprias e de terceiros
- comunicação das atividades e melhorias a todos os interessados
- garantia de que as melhorias atendem aos objetivos desejados
Além da ISO 27001 (antiga BS 7799-2), a ISO 27002 (antiga ISO 17799) é uma norma "auxiliar" que fornece mais detalhes sobre como implementar os controles de segurança especificados na ISO 27001.
Outras normas que também podem ser úteis são a ISO 27005, que descreve os procedimentos de avaliação de riscos com mais detalhes, e a BS 25999-2, que fornece uma descrição detalhada da gestão de continuidade de negócios.
Fonte: http://www.iso27001standard.com/pt/o-que-e-a-iso-27001
Nenhum comentário:
Postar um comentário