Portal GSTI
Portal GSTI

PublicarCadastre-seLogin
Menu
Publicação

Sistema de Gestão de Segurança da Informação (SGSI)

foto de
Fernando Palma CONTEÚDO EM DESTAQUE

O que é um Sistema de Gestão de Segurança da Informação (SGSI)

É um sistema de gestão¹ corporativo voltado para a #Segurança da Informação, que inclui toda a abordagem organizacional usada para proteger a informação empresarial e seus critérios de Confidencialidade, Integridade e Disponibilidade.

O SGSI inclui estratégias, planos, políticas, medidas, controles, e diversos instrumentos usados para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. 

¹ - Não necessariamente um sistema automatizado. 

Escopo de um  Sistema de Gestão de Segurança da Informação (SGSI)

A norma ISO 27001 adota o modelo PDCA (Plan-Do-Check-Act) para descrever a estrutura de um SGSI. A imagem a seguir, junto com descrição de cada uma das etapas provavelmente irá ajudá-lo a ganhar um pouco mais de intimidade com o conceito.  


Estabelecer o SGSI

É a etapa que da vida ao SGSI. Suas atividades devem estabelecer políticas, objetivos, processos e procedimentos para a gestão de segurança da informação. São os instrumentos estratégicos fundamentais para que a organização possa integrar suas a segurança da informação às políticas e objetivos globais da organização.

Requisitos da Norma ISO 27001 para esta etapa:
  • Definição do escopo do SGSI (a quais processos organizacionais, departamentos e partes interessadas se aplica).
  • A Política do SGSI (que inclui objetivo, diretrizes, alinhamento ao negócio, critérios de avaliação de riscos, dentre outros aspectos).
  • Abordagem de gestão (a metodologia da organização utilizada para identificação, análise, avaliação e tratamento de riscos).
  • Objetivos de controle e controles selecionados (a empresa deve declarar quais medidas foram selecionadas para tratar a segurança da informação).
  • Declaração de aplicabilidade (com os objetivos de controle selecionados).

Implementar o SGSI

Consiste em implementar e operar a política de segurança, os controles / medidas de segurança, processos e procedimentos. 

Requisitos da Norma ISO 27001 para esta etapa:
  • Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a #Gestão de Riscos.    
  • Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.
  • Implementar os controles selecionados.
  • Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis.
  • Implementar programas de conscientização e treinamento.
  • Gerenciar as operações do SGSI.
  • Gerenciar os recursos para o SGSI.
  • Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação.

Monitorar e analisar criticamente o SGSI

Reúne as práticas necessárias para avaliar a eficiência e eficácia do sistema de gestão e  apresentar os resultados para a análise crítica pela direção. A política de segurança é usada para comparar e desempenho alcançado com as diretrizes definidas. 

Requisitos da Norma ISO 27001 para esta etapa:
  • Executar procedimentos de monitoração e análise crítica
  • Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crí tica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
  • Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.
  • Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados.
  • Conduzir auditorias internas do SGSI a intervalos planejados.
  • Realizar uma análise crítica do SGSI pela direção em b ases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI.
  • Atualizar os planos de segurança da informação para levar em consideração os resultados das ativid ades de monitoramento e análise crítica.
  • Registrar açõ es e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI.

Manter e melhorar continuamente o SGSI

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

Requisitos da Norma ISO 27001 para esta etapa:

  • Implementar as melhorias identificadas no SGSI.    
  • Executar as ações preventivas e corretivas apropriadas.
  • Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.
  • Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.
  • Assegurar -se de que as melhorias atinjam os objetivos pretendidos. 

Continue estudando gestão de segurança da informação:

Comentários