Norma 27002

Seções 4 e 5

Charles Pereira Jaínaldo Silva

4. Análise/Avaliação e tratamento de riscos

4.1 Analisando/Avaliando os riscos de Segurança da Informação

• _{Convém que as análises de riscos identifiquem,}

qualifiquem e priorizem os riscos com base em critérios para aceitação dos riscos e dos objetivos para a

organização. Convém que os resultados orientem e determinem as ações de gestão apropriadas e as prioridades para o gerenciamento dos riscos de

4. Análise/Avaliação e tratamento de riscos

4.1 Analisando/Avaliando os riscos de Segurança da Informação

Convém que a análise/avaliação de riscos:

• _{Inclua um enfoque sistemático de estimar a magnitude}

do risco;

• _{Compare os riscos estimados contra os critérios de risco}

para determinar a significância do risco.

• _{Periodicamente verificar os riscos que podem e devem}

4. Análise/Avaliação e tratamento de riscos

4.2 Tratando os riscos de Segurança da Informação

Convém que, antes de considerar o tratamento de um risco, a organização defina os critérios para determinar se os riscos podem  ou ser aceitos.

Possíveis opções para o tratamento do risco, incluem:

• _{Aplicar controles para reduzir os riscos;} • _{Conhecer e aceitar os riscos;}

• _{Transferir os riscos associados para outra partes, por exemplo,}

4. Análise/Avaliação e tratamento de riscos

4.2 Tratando os riscos de Segurança da Informação

A decisão de tratamento do risco serve para aplicar os controles apropriados

Convém que os controles assegurem que os riscos sejam reduzidos a um nível aceitável, levando-se em conta:

• Os requisitos e restrições de legislações e regulamentações nacionais e internacionais;

• Os objetivos organizacionais;

• Os requisitos e restrições operacionais;

• Custo de implementação;

4. Análise/Avaliação e tratamento de riscos

4.2 Tratando os riscos de Segurança da Informação

É importante reconhecer que alguns controles podem ou não ser aplicáveis a todos os sistemas de informação, e podem não ser praticáveis por todas as organizações.

Convém que os controles da segurança da informação sejam considerados na especificação de requisitos e nos estágios iniciais dos projetos e sistemas.

5. Política de Segurança da Informação

5.1 Política de Segurança da Informação

Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações pertinentes. Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e

5. Política de Segurança da Informação

5.1.1 Documento da política de Segurança da Informação

Controle:

Um documento da política de segurança da informação seja necessário a aprovação pela direção, publicado e

comunicado para todos os funcionários e partes externas relevantes.

Diretrizes para implementação:

5. Política de Segurança da Informação

5.1.1 Documento da política de Segurança da Informação

Convém que o documento da política contenha declarações relativas a:

• Definição da segurança da informação, suas metas globais, escopo e importância;

• Estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco;

• Breve explanação das políticas, princípios, normas e requisitos específicos para a organização, entre eles:

• Conformidade com a legislação e com requisitos regulamentares e contratuais;

• Requisitos de conscientização, treinamento e educação em segurança da informação.

• Gestão de continuidade do negócio

• Consequências das violações da politica de segurança da informação

• Definição das responsabilidades gerais e específicas na gestão da segurança da informação;

5. Política de Segurança da Informação

5.1.2 Análise crítica da política de Segurança da Informação

Controle:

Convém que política de segurança da informação seja analisada a intervalos planejados ou quando mudanças significativas ocorrerem.

Diretrizes para implementação:

Convém que a política tenha um gestor com

5. Política de Segurança da Informação

5.1.2 Análise crítica da política de Segurança da Informação

• _{Convém que as entradas para a análise crítica pela direção incluam}

informações como:

• Realimentação das partes interessadas;

• Resultados de análises críticas independentes;

• Situação de ações preventivas e corretivas;

• Desempenho do processo e conformidade com a política de segurança da informação;

5. Política de Segurança da Informação

5.1.2 Análise crítica da política de Segurança da Informação

Convém que as saídas da análise crítica pela direção incluam quaisquer decisões e ações relacionadas a:

• _{Melhoria do enfoque da organização para gerenciar a}

segurança da informação e seus processos;

• _{Melhoria dos controles e dos objetivos de controle;}

• _{Melhoria na alocação de recursos e/ou de responsabilidade;}

Convém que um registro da análise crítica pela direção seja mantido.

Fonte