English | Sobre nós | Eventos | Downloads

 

Comunidade Portuguesa de Segurança da Informação
Information Security Community Portugal




Etapa I: Determinação do âmbito do SGSI

Iniciamos hoje uma série de artigos sobre as principais fases de um processo de implementação de um Sistema de Gestão de Segurança da Informação.

A BSI (British Standards Intitution), é a entidade responsável pelo desenvolvimento das normas BS 7799-1 (actualmente ISO/IEC 17799:2005), referencial de excelência no que concerne às práticas de gestão da segurança da informação) e BS 7799-2:2005 (actual ISO/IEC 27001), norma que especifica os requisitos para o estabelecimento, implementação, revisão, manutenção e melhoria continua de um ISMS (Information Security Management System - Sistema de Gestão de Segurança da Informação).

Adicionalmente a BSI desenvolveu uma metodologia para possibilitar a implementação efectiva de um sistema desta natureza, por parte de qualquer organização. Esta metodologia, composta por dez fases distintas inicia-se precisamente pela determinação do âmbito do sistema de gestão de segurança da informação.

Quando uma organização considera ou dá início ao processo de implementação dos controlos da ISO/IEC 17799:2005 e/ou de um ISMS, tem por objectivo a garantia da confidencialidade, integridade e disponibilidade da informação crítica de negócio da organização, mas também a segurança das infra-estruturas que a suportam, no sentido de assegurar a continuidade do seu próprio negócio na eventualidade de um conjunto de ocorrências que o possam colocar em causa. Indispensáveis à continuidade do negócio são sem dúvida, os seus processos críticos e os recursos que lhes estão alocados ou associados, pelo que a definição do âmbito de um ISMS deve começar precisamente por determinar quais são estes processos e recursos e cingir-se o mais possível a estes pelo menos na fase inicial do ISMS.

Este facto não significa que de futuro e uma vez implementado e certificado o ISMS, a organização não alargue ou estenda o seu âmbito a outros processos de negócio cuja criticidade é também ela significativa, contudo, uma abordagem desta natureza permite um maior controlo sobre as actividades associadas à gestão do ISMS que numa primeira fase podem requerer um maior esforço por parte de gestão e demais colaboradores da organização, atendendo à necessidade de definir as políticas e procedimentos pioneiros a este nível.

É extremamente importante salientar que o âmbito definido para um determinado ISMS condiciona todas as etapas que se seguem no processo de implementação, pelo que a decisão sobre o perímetro efectivo de aplicação de um ISMS deve ser gravemente ponderada e estudada, não devendo ser tomada de ânimo leve. Outro aspecto a ter em consideração é o facto de o âmbito de um ISMS não ser ‘forçado’ a cumprir ou respeitar as barreiras organizacionais, ao nível de departamentos, unidades, direcções ou mesmo hierarquia, facto que leva muitas das vezes as organizações a incluir recursos alocados a diferentes unidades, departamentos ou direcções, no âmbito do seu ISMS.


Texto de Maria Manuela Gaivéo
Consultora de Segurança da Informação
Sinfic

Labels:

Data 29.11.05

<< Início