Processo de Implantação de um SGSI
Mediante uma análise feita sobre normas e padrões de segurança da informação, conseguimos identificar quais itens devemos implementar em nossa gestão de segurança de acordo com as características da organização. Primeiramente é importante utilizar a ISSO 13335-2 para que haja um comprometimento de todos os setores da organização em relação as políticas de segurança que serão implantados para isso é interessante criar um comitê ou fórum de segurança para definir níveis de riscos.
Para se obter uma boa gestão e implantação de segurança é interessante utilizar a norma BS 7799-2 pois ela é responsável por fornecer ferramentas para melhor gestão e implantação através de um modelo Plan-Do-Check-Act, onde a utilizamos essas etapas para elaboração da política de segurança, definição do escopo, desenvolvimento de análise de riscos, formalização da estratégia de gestão de riscos, documentação e seleção dos controles aplicáveis para reduzir riscos quando necessário.
A metodologia é a parte do projeto é complexa pelo nível de detalhamentos dos tópicos, itens e aspectos, porem a metodologia pode se tornar um exemplo para a implantação e o acompanhamento de sistemas de gestão de segurança.
Detalhamento da metodologia PDAC:
- Plan: Política de segurança da informação, definição de escopo, análise de risco e gerenciamento das áreas de risco.
- Do: Seleção dos controles, implementação e acompanhamento dos indicadores.
- Act e Check: Auditoria do sistema e plano de melhoria.

Para se construir uma política de segurança é preciso levar em consideração os itens que vimos na metodologia PDAC, para isso é preciso redigirmos um documento contendo as regras, responsabilidade e práticas de segurança, porém não há um modelo a se seguir porque cada organização possui uma regra de negócio diferente, por isso a criação da política de segurança é algo muito complexo. Baseado nesta política de segurança que os funcionários irão se referenciar isso