Arquivos

Categorias

Home » Áreas do Direito, Destaques, Direito Eletrônico

Certificação de Sistemas de Segurança da Informação (SGSI) segundo a Norma ISO 27001

21 março 2010 No Comment

Primeiro é importante citar o título das Devidas normas.
ISO 17799: Código de Prática para uma Gestão da Segurança da Informação
ISO 27001: Information Security Management Systems – Requirements

Então uma primeira é um “Códico de práticas” ea segunda é requerimento para Sistema de Gestão de Segurança da Informação.

É comum o erro, é uma certificação; Não é Possível certificar ISO 17799, apenas ISO 27001.

Há uma certificação BS 7799 que é uma versão Standart inglesa (Britanish) e progenitora da norma ISO 17,799.

No entanto, não há certificação BS 7799, mas há a certificação ISO 27001.

O que é o Sistema de Gestão de Segurança da Informação?

Um Sistema de Gestão de Segurança da Informação baseia-se numa análise de riscos para ESTABELECER, programar, Operar, Monitorizar, rever, manter e Melhorar a Segurança da Informação.

Segurança da Informação é a preservação da:
Confidencialidade: Só quem está autorizado pode Aceder à informação;
Integridade: Salvaguarda-se a exatidão ea Totalidade da informação e dos seus métodos;

Disponibilidade: A informação e os seus recursos estão acessíveis quando se requeiram.

Por que programar e certificar um SGSI?

– Para conseguir um Reconhecimento oficialmente aceite numa matéria de Importância cada vez maior.

– Para aumentar a confiança de clientes, em Função que fazer serviço onde se realiza aos mesmos pode chegar a ser a chave da segurança da informação.
– Proteger Para uma informação do seu negócio, técnica e Segurança de Processos da mesma mão, numa solução à medida da sua empresa, focalizada nas pessoas e nos riscos da sua organização.
– No aspecto organizativo, para aumentar o compromisso interno dado que o sistema Permite Garantir um Eficácia dos Esforços Desenvolvidos em todos os Níveis da sua organização.
– Para salvaguardar as suas Vantagens competitivas sobre Técnicas Avançadas de Gestão, Melhoria de Processos, novos desenvolvimentos de software, etc
– Obter Para possíveis Reduções nos prêmios de seguro, uma vinculadas uma Possível Diminuição dos incidentes em segurança da informação.
– Para Evitar perdas, roubos, erros nos ativos de informação da sua organização.
– Para Garantir o Cumprimento legal em matéria de novas tecnologias e clientes com contratual e empresas colaboradoras.

Panorama atual

Em termos de segurança operacional da Informação, Riscos e um Vulnerabilidade crescem, são cada vez mais diversos e menos visíveis.

A segurança nos sistemas e falha, também em muitos casos, não por falta de soluções técnicas, para além de estar Dividida: Nem sempre depende de nós, mas de fornecedores, utilizadores, pelo que temos maior Necessidade de Confiança e Segurança.

As considerações econômicas da Segurança Tornam-se tão importantes quanto as técnicas.

Marco normativo

ISO / IEC 27001:2005

Definir um Sistema de Gestão da Segurança da Informação:
– Determina o que é obrigatório para o Sistema de Gestão;
– Ser Norma pela qual o Sistema de Gestão pode de Segurança da Informação auditado e certificado.

A norma ISO 27001, ao ser uma especificação, determina o que é obrigatório para o Sistema de Gestão. A norma foi desenvolvida para poder fazer parte de um Sistema de Gestão Integrado (SGI), abarcando outras normas ISO (ex: ISO 9001, ISO 14001).

Esta norma possibilita que todo o tipo de Organizações Obter POSSA uma certificação que Ateste o seu saber fazer em matéria de Segurança da Informação.

ISO / IEC 17799:2005 (FDIS 27002)

Boas práticas ou recomendações Para alcançar Níveis mínimos, objetivo e de Excelência em Segurança da Informação: Apresenta linhas de orientação, obrigatórias sem que estas Sejam.

A Norma ISO / IEC 27001:2005

A Segurança da Informação Requer investimento tanto em capital humano, tecnologia em Como.

A norma ISO / IEC 27001:2005 Cobre:

1. Política de Segurança
2. Aspectos organizativos da Segurança
3. Classificação de activos
4. Segurança dos recursos humanos
5. Segurança Física e Ambiental
6. Gestão das Comunicações e Operações
7. Controlo de Acesso
8. Sistemas de informação; aquisição, desenvolvimento e manutenção
9. Gestão da Continuidade de Negócio
10. Gestão de Incidentes de Segurança da Informação
11. Contratual e Conformidade legal

Destes onze pontos, derivam 39 objetivo de Controlo (resultados que se esperam Alcançar mediante uma Implementação de controles) e 133 controles (práticas, procedimentos ou Mecanismos que reduzem o nível de risco).

Implementação de um SGSI

– Definição do Âmbito do SGSI
– Avaliação dos riscos
– Declaração de Aplicabilidade
– ESTABELECER e definir o SGSI
– Implementar e Operar o SGSI
– Formação e Sensibilização
– Implementação de Procedimentos, Controles
– Análise e Monitorizarão
– Melhoria contínua
– Documentar o SGSI
– Integração com outros Sistemas de Gestão

Fatores de Êxito de um SGSI

Na fase inicial DEVE ter-se em conta:

– A segurança em TI é um processo que Afeta toda uma organização, deste modo, è necessario envolver todos os departamentos da empresa.

– Deve-se definir uma Estratégia de Segurança Baseada Não tem negócio e não na tecnologia.
– A segurança da informação não é um produto, é um processo contínuo.
– A segurança proporcionada por um SGSI é permanente e não se baseia em ações pontuais.
– A implementação de um SGSI Requer inicial e um compromisso visível da gestão de topo.

Na Implementação do SGSI:
– Uma das chaves do sucesso de um SGSI é Determinar O âmbito do mesmo, adequado ao objetivo do negócio e pensando na certificação do sistema.
– A segurança da informação baseia-se nas pessoas: é essencial uma formação do pessoal ea distribuição da Política de Segurança da Informação um todos os Colaboradores.
– Implementar um SGSI implica não só Controlar os aspectos técnicos, mas também os legais (Lei de Proteção de Dados Pessoais, de proteção intelectual, de segurança informática, etc)
– Um SGSI o motor pode ser de gestão e direção de um departamento de informática, como ITIL, COBIT, etc
– Um Integrar SGSI pode-se num Sistema de Gestão, pelo que uma empresa que tenha um ISO 9001 ou ISO 14001 pode facilmente Integrar um SGSI.

Na Certificação:
– Adequar o Âmbito inicial do SGSI com o objetivo de certifi-lo posteriormente.
– Adaptar o plano de auditoria e as auditorias de acompanhamento ao objetivo de negócio.
– Contar com um Organismo de Certificação com experiência e conhecimento e que conheça o seu sector.
Publicado pela Mantenedora deste site Dra. Valéria Reani

Comments are closed.