ISO 27003
1. Escopo
O Propósito da ISO 27003 é providenciar um guia prático para a implementação de um Sistema de Gestão de Segurança da Informação(SGSI) em uma organização baseado na ISO 27001.
Esse método possibilita desenvolver um processo, dando aos responsáveis a segurança de que os riscos aos recursos de informação serão continuamente mantidos dentro das limitações de segurança impostas pela organização.
2. Estrutura desse padrão internacional
A implementação de uma SGSI é um processo importante e normalmente é feito em uma organização na forma de um projeto, possuindo uma inicialização, fase de planejamento, e definição do projeto.
O processo de planejamento conta com 5 fases:
a) Obter aprovação gerencial para a inicialização do projeto.
b) Definição do escopo e da politica.
c) Conduzir analise da organização.
d) Conduzir avaliação de riscos e planejar o tratamento dos riscos encontrados.
e) Design(Modelagem)
Cada fase é representada por um clausula que contém:
a) A definição dos objetivos a serem alcançados naquela fase.
b) As atividades necessárias para alcançar os objetivos definidos.
As atividades por sua vez são definidas em uma sub clausula e define o que deve ser feito.
São elas:
Entrada: Possui os dados necessários, como documentos, até mesmo documentos de saídas resultantes de outras atividades.
Guia: Informações detalhadas para possibilitar a entrega da atividade.
Saída: Resultados entregáveis ao termino de uma atividade.
Outras informações: Qualquer informação válida que auxilie na tarefa, como outros padrões.
Em projetos, diagramas são sempre bem vindos para uma ilustração de uma ideia, o que resulta em uma fácil compreensão.

3. Obtendo aprovação gerencial para iniciar a implementação de um projeto SGSI

Existem vários fatores a serem levados em consideração ao se implementar uma SGSI, sendo assim um modelo de negócios deve ser implementado e exposto à gerencia para aprovação.
Esse modelo de negócios deve incluir as