Sistemas de Gestão de Segurança da Informação (SGSI)

Requisitos de um Sistema de Gestão de Segurança da Informação (SGSI)

Com o objetivo de estabelecer , Implementar, Manter e Melhorar Continuamente um SGSI, criou-se a norma internacional ISO 27001. A norma está dividia nos seguintes tópicos:

1. Escopo
2. Referência normativa
3. Termos e Definições
4. Contexto da organização
5. Liderança
6. Planejamento
7. Apoio
8. Operação
9. Avaliação do Desempenho
10. Melhoria

Escopo

Nessa parte da norma é definido os requisitos para avaliação, tratamento de riscos e outros pontos que um (SGSI) deverá abordar como:

• estabelecer
• implementar
• operar
• monitorar
• revisar
• manter
• melhorar

No escopo também se encontra itens obrigatórios, ou seja, para uma organização dizer que segue a ISO 27001 ela deverá esta cumprir os itens de 4 a 10 da norma.

• Referência Normativa

• Termos e definições

• Contexto da Organização

O SGSI não pode ser um documento avulso na organização. Para a sua construção, deve-se levar em conta a realidade da organização.

Liderança

A liderança deverá atuar na construção da política de Segurança da Informação (POSIC), deverá participar no processo de decisão das autoridades, responsabilidades e papéis organizacionais que serão os atores diretos relacionados e assuntos de segurança da informação.

A alta Direção deve estabelecer uma política que:

1. Seja apropriada ao propósito da organização
2. Inclua os objetivos de segurança da informação ou forneça a estrutura para estabelecer os objetivos de segurança da informação
3. Inclua o comprometimento em satisfazer os requisitos aplicáveis, relacionados com a SI
4. Inclua o comprometimento com a melhoria contínua do sistema de gestão da SI

Em relação á POSIC, que é o principal instrumento de uma instituição no contexto de segurança da informação, ela deve:

• Estar disponível como informação documentada
• ser comunicada dentro da organização
• Estar disponível para as partes interessadas, conforme apropriado.

ISO/IEC 27002

Escopo

1. Políticas de Segurança da Informação;
2. Organização da Segurança da Informação;
3. Segurança em Recursos Humanos;
4. Gestão de Ativos;
5. Controle de Acesso;
6. Criptografia;
7. Segurança Física e do Ambiente;
8. Segurança nas Operações;
9. Segurança nas Comunicações;
10. Aquisição, Desenvolvimento e Manutenção de Sistemas;
11. Relacionamento na Cadeia de Suprimentos;
12. Gestão de Incidentes de Segurança da Informação;
13. Aspectos de Segurança da Informação na Gestão da Continuidade do Negócio;
14. Conformidade

segregação de funções

A segregação de funções é um princípio essencial para garantir que nenhuma pessoa ou equipe tenha controle total sobre todos os aspectos críticos de um processo ou sistema. Isso é feito para reduzir o risco de fraudes, erros e desvios nos controles de segurança.