Estabelecimento e Manutenção de um Sistema de Gestão da Segurança da Informação – parte 1
O primeiro dos quatro capítulos mencionados dedica os seus primeiro e segundo sub-capítulos aos requisitos para a definição e estabelecimento de um ISMS, numa abordagem baseada no modelo PDCA (Plan-Do-Check-Act), especificando ainda requisitos mínimos que uma organização deve cumprir para implantar, operar, monitorizar, rever, manter e melhorar continuamente o seu ISMS. No que concerne ao estabelecimento do ISMS, a norma internacional ISO/IEC 27001:2005 identifica como necessário:
- a determinação do âmbito e delimitação do ISMS, de acordo com as características do negócio da organização;
- a definição de uma politica de topo ao nível da segurança da informação;
- a definição de uma abordagem para a sistematização e realização da análise do risco que pende sobre os recursos e informação crítica de negócio da organização;
- o desenvolvimento de uma metodologia para a identificação dos riscos, bem como para a sua avaliação;
- a identificação e avaliação das opções para a gestão ou tratamento dos riscos previamente determinados;
- a selecção dos objectivos de controlo e dos controlos ou medidas de segurança a constar do plano de tratamento dos riscos identificados pela organização;
- a obtenção da aprovação, por parte da gestão da organização, do nível de risco residual que permanecerá sobre os seus recursos críticos de negócio;
- a obtenção da autorização e compromisso, também por parte da gestão de topo da organização, no que diz respeito à implantação e operação do ISMS;
- por fim, a preparação e desenvolvimento de um Statement Of Applicability (declaração de aplicabilidade).
Relativamente à implantação e operação do ISMS, a norma ISO/IEC 27001:2005 estabelece a necessidade de: desenvolver um plano de tratamento do risco, definindo igualmente as responsabilidades e o calendário para a sua implementação; a determinação de meios para medir a eficiência dos controlos implementados, incluindo indicadores de desempenho; de definir e implantar programas de formação e sensibilização no que diz respeito à devida utilização e manutenção dos controlos implementados; gerir as operações e os recursos afectos ao ISMS e implementar procedimentos e outros controlos que possibilitem a detecção atempada de eventos e incidentes de segurança com potencial danoso para a actividade da organização.
Ao nível da monitorização e revisão do ISMS, a ISO/IEC 27001:2005 determina por outro lado, a obrigatoriedade, por parte da organização, de: levar a cabo actividades no sentido identificar pronta e atempadamente potenciais quebras de segurança, no sentido de implementar as medidas adequadas à mitigação das suas consequências para a continuidade do negócio da organização; realizar revisões periódicas da eficiência do seu ISMS, tendo em consideração incidentes verificados e resultados de auditorias, entre outros aspectos; medir a eficiência dos controlos e medidas de segurança implementados, no sentido de verificar se os requisitos de segurança foram cumpridos; rever análises e avaliações de risco realizadas anteriormente; realizar auditorias internas e regulares ao seu ISMS; rever formalmente o ISMS, nomeadamente ao nível da adequação do seu âmbito à realidade do negócio da organização; actualizar os planos de segurança determinados, face às constatações efectuadas previamente; e por fim, registar as acções e eventos que uma vez verificados, possam, directa ou indirectamente, ter impacto na eficiência do ISMS.
No que diz respeito à manutenção e melhoria do ISMS, a organização deverá: implementar mecanismos que lhes permita tirar partido das oportunidades de melhoria identificadas no decorrer de auditorias e revisões do ISMS; implementar as medidas correctivas e preventivas no sentido de fazer face a potenciais não-conformidades; comunicar as acções e melhorias implementadas a colaboradores internos e externos, parceiros e fornecedores, de acordo com as suas necessidades de informação; e ainda incorrer nos esforços necessários para garantir que as melhorias implementadas atingem os seus objectivos.
Texto de Maria Manuela Gaivéo
Information Security Consultant,
Sinfic
Labels: Segurança da Informação
Data 7.4.06
