Requisitos de um SGSI – Sistema de Gestão de Segurança da Informação
A norma BS ISO/IEC 27001:2005 (antiga BS 7799-2), tal como a ISO/IEC 9000 e ISO/IEC 14000, tem como propósito o desenvolvimento de um sistema de gestão nas organizações. No caso da ISO/IEC 27001, o sistema de gestão é orientado para a protecção dos recursos informativos da organização, sendo por isso designado de sistema de gestão de segurança da informação ou SGSI, a que corresponde em Inglês o acrónimo de ISMS. Um SGSI é definido pela ISO como “that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security” [ISO05:p.4].
2. Quais os requisitos de um SGSI?
Um SGSI para ser passível de ser certificado tem de obedecer a um conjunto de requisitos definidos pela norma ISO/IEC 27001. Estes requisitos podem ser classificados como obrigatórios e selectivos. Vamos começar pelos primeiros.
3. Requisitos obrigatórios
A norma de segurança da informação herda os mecanismos de controlo de gestão dos sistemas de qualidade (ISO/IEC 9001) e de gestão ambiental (ISO/IEC 14000). Desta forma um SGSI deverá possuir um conjunto de actividades documentadas, as quais deverão estar estruturadas em processos. Assumindo a óptica de processos, num hipotético SGSI poderão coexistir os seguintes processos:
- (a) gestão do âmbito,
- (b) gestão de inventário,
- (c) gestão do risco,
- (d) gestão da formação e de acções de sensibilização de segurança,
- (e) gestão de registos de incidentes e eventos de segurança,
- (f) auditorias internas,
- (g) acções preventivas e correctivas.
Todos estes processos são suportados pelo:
- (h) processo planeamento e revisão de segurança (designado como revisão de gestão), bem como o
- (i) processo de definição, aprovação, publicação e comunicação de documentos e registos do SGSI e finalmente
- (j) deverão existir mecanismos de monitorização continua dos vários processos de segurança.
Os 10 processos mencionados resultam da aplicação das cláusulas obrigatórias (do capítulo 4 ao 7) da norma ISO/IEC 27001:2005. Registe-se que esta lista não é exaustiva e que, em organizações específicas, os processos citados podem ser surgir agrupados ou decompostos em outros.
4. Requisitos selectivos
O que distingue um SGSI de um outro sistema de gestão são os controlos do Anexo A do ISO/IEC 27001:2005. Neste Anexo foram reproduzidas as 136 medidas de protecção do ISO/IEC 17799:2005.
Cabe à organização, com base nos objectivos de negócio, avaliação do risco que executou e nos requisitos legais aplicáveis, ajuizar da aplicabilidade ou não do controlo à organização. Dado o carácter discricionário destes requisitos, o número de medidas implementadas numa organização depende do nível de conforto face ao risco que esta tenha adoptado.
Neste conjunto de 136 controlos, 10 medidas concretas relacionadas com aspectos legais ou de gestão de segurança da informação são caracterizadas como aplicáveis na maior parte das organizações. Por conseguinte, estes 10 controlos definidos pela ISO/IEC 17799:2005 constituem requisitos selectivos, mas com um grau de aplicabilidade reforçado. E, podemos, inferir que efectivamente, os controlos onde a discricionariedade se aplica são realmente apenas 126.
5. Conclusão
A gestão de segurança para ter sucesso numa organização não se pode limitar a seguir modelos, mas terá que com base nestes, desenvolver processos adaptados aos seus objectivos e constrangimentos de negócio. Não existe, por isso, um receituário universal de desenvolvimento de processos de gestão de segurança. Todavia, as organizações para alcançarem o reconhecimento público da sua gestão de segurança por uma certificação externa deverão provar a sua conformidade face a um núcleo essencial de mecanismos de controlo de gestão (requisitos obrigatórios) e aplicar as medidas de salvaguarda (requisitos selectivos) necessárias para proteger a sua informação crítica de negócio.
Requirements of ISO 27001:2005
Labels: Segurança da Informação
Data 29.9.06
