Estrutura Nacional de Segurança da Informação (ENSI)
Comité formado por várias instituições públicas, a qual foi atribuído a responsabilidade de definir os objectivos de segurança e estabelecer uma política de topo para a Segurança da Informação em Portugal. As directrizes da ENSI são obrigatórias para os organismos da Administração Pública e recomendadas para o sector privado. “A ENSI tem como objectivo facilitar a coordenação de todos os esforços de Segurança da Informação, dinamizando a implementação de uma cultura nacional de segurança e minimizando a duplicação de recursos e competências” (in ENSI, Carta de Segurança a da Informação, 2005).
2. Que instituições formam a ENSI?
A ENSI reúne as seguintes instituições:
a) UMIC – Agência para a Sociedade do Conhecimento, IP
b) ANACOM
c) FCCN – Fundação para Computação Científica Nacional
d) GNS – Gabinete Nacional de Segurança
A liderança do comité foi atribuída à UMIC.
3. O que foi publicado pela ENSI?
3.1 Carta de Segurança da Informação
Este documento político define as finalidades e limites globais da ENSI, reflectindo-se nos outros documentos subordinados (como a Política Nacional da Segurança da Informação).
A carta é constituída pelos seguintes elementos:
• Declaração da Missão (objectivo da ENSI);
• Estratégia (como forma será realizada);
• Objectivos de Segurança (objectivos principais que orientam e
enquadram o desenvolvimento da ENSI);
• Estrutura (identifica os componentes da ENSI e a sua inter-relação);
• Responsabilidades (entidades responsáveis pelos vários
aspectos ao nível da ENSI);
• Liderança e Supervisão (garante a conformidade e a actualização contínua);
• Plano de Acção (a aproximação de alto nível para implementar a
ENSI);
3.2 Política Nacional de Segurança da Informação (PNSI)
Define os objectivos de segurança da política nacional para a Segurança da Informação (“para garantir que todos os recursos de informação em Portugal se encontram protegidos de forma adequada”). Esta política servirá de base para a formulação dos documentos subordinados de segurança.
3.3 Política de Segurança da Informação da Entidade (PSIE)
Cada entidade da Administração Pública terá este tipo de documento que definirá os objectivos de Segurança da Informação específicos para esse organismo. Estes objectivos devem estar em conformidade com a PNSI.
3.4 Política de Segurança da Informação Detalhada da Entidade
Este documento detalha os “objectivos de controlo da PSIE”. Estes objectivos de controlo são baseados no articulado da ISO/IEC 17799:2000 e percorrem vários domínios de segurança numa organização. Este documento corresponde ao Statement of Applicability da certificação ISO/IEC 27001 (antiga BS 7799-2). O Statement of Applicability é a lista dos controlos aplicados numa organização, extraídos do total de 127 controlos da ISO/IEC 17799:2000.
3.5 Normas e Procedimentos
As Normas e Procedimentos aplicam-se a pessoas, processos e tecnologias. “Estes documentos são específicos para cada implementação tecnológica e temporal e necessitam de rigor no seu desenvolvimento.” Este tipo de documentos pode seguir a seguinte estrutura:
• Assunto: Antivírus
• Objectivo
• Âmbito
• Política
• Responsabilidades
• Palavras-chave
• Contactos
• Glossário
• Controlo de Versão
Para fazer downlod destes documentos clique aqui.
Texto de Paulo Coelho
Consultor de Segurança da Informação
Sinfic, SA
Labels: Segurança da Informação
Data 4.3.06
