Sgsi
Senhores,
difícil resumir algo tão genérico como uma norma, afinal de contas as normas tratam de aspectos gerais, geralmente vistos, geralmente aceitos, enfim, representando o consenso de um grupo ou órgão normatizador. Têm como objetivo orientar os profissionais nas suas atividades específicas, por exemplo o desenvolvimento de um sistema de segurança da informação para a empresa, a definição de políticas de segurança específica, enfim tornando específico e aplicável à sua realidade o aspecto geral apresentado na norma.
A NBR ISO 27001 é aplicável a todas as organizações, especificando requisitos para: estabelecer, implementar e operar; monitorar e analisar criticamente; manter e melhorar um Sistema de Gerenciamento de Segurança da Informação (SGSI).
Segue a implementação considerando a abordagem por processo, adotando o PDCA (Plan - Do - Check - Act), que traduzindo para a norma temos:
Plan - Estabelecer
Do - Implementar e operar
Check - Monitorar e analisar criticamente
Como processo, vamos então identificar as atividades inerentes ao processo de planejamento ou estabelecimento do SGSI:
- Definição do escopo;
- Definição da política;
- Definição da forma de tratamento com a análise e avaliação de riscos;
- Identificação dos riscos;
- Análise e avaliação de riscos;
- Opções de tratamento dos riscos identificados, analisados e avaliados;
- Especificação dos controles e objetivos de controles para o tratamento dos riscos;
- Avaliação da direção quanto aos riscos residuais;
- Autorização da direção para a devida implementação e operação do SGSI;
- Elaborar uma declaração de aplicabilidade.
Atividades inerentes ao fazer (DO), ou seja, implementar e operar:
- Definição de um plano de tratamento de riscos;
- Implementação do plano de tratamento de riscos com vistas a alcançar os objetivos de controle identificados;
- Implementação de controles para atingir os objetivos de controle;
- Identificar parâmetros