SUGESTÃO DE ESTRATÉGIA – ADOÇÃO DAS RECOMENDAÇÕES DA NORMA ISO-IEC-27.002 – SEGURANÇA DA INFORMAÇÃO
Sugestão de estratégia – adoção das recomendações da norma ISO-IEC-27.002 – Segurança da Informação
Uma estratégia vencedora pra implementação de melhores práticas é adotar os frameworks através de níveis organizacionais, ou seja:
Politicas: Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuída pelo nível diretivo das organizações e estabelece as diretrizes gerais a serem observadas por todos.
Normas: Estabelecer o nível tático e estabelece as regras a que as áreas operacionais deverão observar para o cumprimento das diretrizes ditadas pelas políticas. É atribuída aos gerentes e gestores das áreas envolvidas em cada framework a ser adotado.
Procedimentos: Estabelecer o nível operacional e estabelece o “como será feito!”, descrevendo passo a passo as atividades, responsáveis, evidências a serem produzidas, e ainda em um segundo momento, poderão ser adotadas métricas que possibilitem a medida de eficiência e de nível de serviço auferido pelo processo.
Adotar a implantação dos modelos através destes três níveis possibilita a formalização dos processos recomendados pelas melhores práticas, e distribui o escopo de cada recomendação nos diversos níveis da organização.
SUGESTÃO DE APLICAÇÃO DAS RECOMENDAÇÕES DA NORMA NOS ATRAVÉS DOS NÍVEIS DE DOCUMENTOS.
– Politicas:
Confeccionar uma ou mais políticas, adotando formalmente as recomendações estabelecidas pela Norma.
– Normas:
Cada Capítulo da Norma ISO-IEC-27.002, possui definido um objetivo e controles a serem implementados. Normalmente isto pode ser adotado criando uma norma para cada item, ou seja, devem-se definir as regras de aplicação do conteúdo de cada capítulo.
Um fato interessante é que a ISO-27002 tem recomendações genéricas (O Que fazer?), mas não detalha o (Como Fazer?). Para que o escopo do projeto de adoção fique adaptável à realidade de cada organização, é necessário estabelecer através de regras, o que será feito e quais os critérios deverão ser adotados para cada capítulo da norma.
– Procedimentos:
Cada capítulo estabelece os controles que devem ser adotados, estes, uma vez delimitados pelas Regras de como a empresa adotará ou não alguma recomendação, acabam por estabelecer quantos controles deverão ser criados e consequentemente quantos processos devem ser organizados.
Cada controle é lastreado por um processo, o qual tem como escopo definir as atividades e responsáveis pela execução do controle, e qual artefato será produzido durante a realização de cada ação ou atividade. Finalizado o processo devemos ter em mãos uma evidencia de que a atividade foi realizada.
DICAS:
Os processos devem ser construídos e relacionados seguindo uma ordem de baixo para cima, ou seja:
– Controle de Riscos – Sec 4.
– Controles de Politicas e Organização da Segurança – Sec 5, 6 e 15.
– Controle de Ativos – Sec 7.
– Controle de RH – Sec 8.
– Controle de Segurança Fisica – Sec 9.
– Controle de Operações e Comunicações – Sec 10.
– Controle de Acessos Lógicos – Sec 11.
– Controle de Aquisição e Desenvolvimento de Sistemas – Sec 12.
– Controle dos Incidentes de segurança – Sec, 13
– Controle de Continuidade do Negócio. Sec 14,
Recomendamos implementar esta seção em uma etapa seguinte a implementação das seções anteriores, pois para que um plano de continuidade de negócio possa ser estruturado e testado de forma eficiente, devem estar implementados os controles de ativos, acessos, operações e comunicações e devidamente gerenciados em relação a gestão de mudanças, convém adotar também os requisitos estabelecidos pela Norma ISO-IEC-20.000 – Gerenciamento de Serviços de TI.
Outros Artigos Relacionados:
- Veja Artigo sobre como Formatar, Organizar Documentação de Processos em TI para implementar boas práticas em:
https://aghatha.wordpress.com/2011/06/18/como_formatar_e_organizar_a_documentacao_de_processos_ti/
- Veja Artigo sobre como desenhar fluxogramas de processos de negócio em: https://aghatha.wordpress.com/2011/07/03/como-desenhar-fluxogramas-de-processos-de-negocio-1-parte-introducao-conceitos-e-modelos/—-
Este artigo está disponível para download no formato de Documento (PDF) na pagina de Download do Site da AGHATHA em : Http://www.aghatha.com.br
—- Fim Conteúdo Artigo —-
Agradecimentos e Convites:
As informações e comentários existentes neste artigo são o fruto de observações e experiências adquiridas pelo autor durante a execução de projetos ao longo de 30 anos de atuação no mercado. Utilizamos este espaço para a divulgação e intercâmbio destes conhecimentos junto aos nossos leitores, clientes e amigos.
Caso você tenha alguma dúvida ou necessidade de informações adicionais para o seu entendimento ou aplicação, entre em contato conosco através do e-mail abaixo.
Abraço e Felicidades a Todos,
Eurico Haan de Oliveira
- Siga-nos pelo Twiter, e receba comunicados de novos artigos e/ou revisões deste texto.
- Convidamos a participar de nossos Grupos de Discussão no Linkedin: https://aghatha.wordpress.com/aghatha_grupo_de_usuarios_ti/
———
———
Apresentação AGHATHA Framework – Norma ISO-27001:2/2005.
———
Declaração e Preservação de Direitos:
Todas as demais marcas, modelos, desenhos, nomes, incluindo o conteúdo integral deste artigo, são de propriedade de seus respectivos fabricantes, autores ou publicadores.
O leitor está autorizado a fazer o uso interno e não comercial do conteúdo deste artigo, desde que mantidas as observações de direitos autorais e mantidas as referencias a suas origens e identificação dos respectivos autores e proprietários.
Direitos de uso comerciais deste artigo são preservados e mantidos em nome exclusivo do autor e o leitor não está autorizado a utiliza-los, de forma integral ou parcial para usos e fins comercias e/ou em atividades que visem à obtenção de lucro ou benefício comercial próprio ou a terceiros.
This work is licensed under a Creative Commons Atribuição-Uso não-comercial-Vedada a criação de obras derivadas 3.0 Unported License.
Para a confecção deste artigo foram citadas e/ou utilizados os seguintes nomes, marcas e publicações:
- COBIT ® 4.1, que é de propriedade exclusiva ISACA – Information Systems Audit and Control Association (www.isaca.org ) e IT Governance Institute™ (www.itgi.org), sendo Todos os direitos autorais reservados.
- Conteúdo Artigo – é de propriedade exclusiva do Autor e de AGHATHA (http://www.aghatha.com.br / Http://www.aghatha.com ), sendo os direitos preservados todos os direitos autorais e exploração comercial.
- COSO®, que é de propriedade exclusiva Committee of Sponsoring Organizations of the Treadway Commission (COSO)™ (www.coso.org/), sendo Todos os direitos autorais reservados.
- ISO-IEC® Standard – São de propriedade exclusiva do International Organization for Standardization (ISO®) e International Electrotechnical Commission (IEC®) (www.iso.org), sendo Todos os direitos autorais reservados.
- ITIL V-3 ® – IT Infrastructure Library® (www.itil-officialsite.com) que é de propriedade e proteção exclusiva da Coroa Britanica (www.ogc.gov.uk) – Office of Government Commerce (OGC) – UK, sendo Todos os direitos autorais reservados.
- PCAOB ® é propriedade exclusiva do Public Company Accounting Oversight Board – (http://pcaobus.org/), sendo Todos os direitos autorais reservados.
- PMI ® / PMBOK ® propriedade exclusiva do Project Management Institute ( www.pmi.org/), sendo Todos os direitos autorais reservados
– Fim Declarações de Direitos de Copyright —
— Fim Artigo
[…] Comentários « Compliance de Processos – Norma ISO/IEC-27.002 – Gerenciamento de Segurança Inform… […]
[…] https://aghatha.wordpress.com/2011/05/22/compliance-de-processos-norma-isoiec-27-002-gerenciamento-de… […]
[…] Compliance de Processos – Norma ISO/IEC-27.002 – Gerenciamento de Segurança Informação (via Aghatha Maxi Consulting – Serviços Gerenciados de Segurança e Governança de TI) Posted: 20 20UTC julho 20UTC 2011 by Gustavo Henrique in Uncategorized Tags:aghatha, bs7799, documentacao-processos-ti, eurico-haan-de-oliveira, framework, framework-processos, gap, gap-analisys, gerenciamento-de-seguranca-informacao, Gestão, governanca-ti, iso-17799, iso-27001, iso-27002, it-governance, itil-v2, itil-v3, mss, mssp, norma, norma-seguranca, normas-ti, politica-seguranca-informacao, processo-seguranca, Segurança, seguranca-informacao 0 SUGESTÃO DE ESTRATÉGIA – ADOÇÃO DAS RECOMENDAÇÕES DA NORMA ISO-IEC-27.002 – SEGURANÇA DA INFORMAÇÃO Sugestão de estratégia – adoção das recomendações da norma ISO-IEC-27.002 – Segurança da Informação Uma estratégia vencedora pra implementação de melhores práticas é adotar os frameworks através de níveis organizacionais, ou seja: Politicas: Estabelecer o nível estratégico a ser cumprido na adoção das melhores práticas. É atribuída … Read More […]
excellent internet project! good luck and prosperity! thanks.
great it’s a cool stuff
[…] mais informações em: https://aghatha.wordpress.com/2011/05/22/compliance-de-processos-norma-isoiec-27-002-gerenciamento-de… – SUGESTÃO DE ESTRATÉGIA – ADOÇÃO DAS RECOMENDAÇÕES DA NORMA ISO-27.002 – […]