Sistema de gestão de segurança da informação (SGSI)

Para estabelecer um Sistema de gestão de segurança da informação documentado, baseado no modelo PDCA, e dentro do contexto das atividades de negócio da organização dos riscos que ela enfrenta, a organização deve:

Plan (estabelecer o SGSI):

• O escopo do SGSI alinhado com as características de negócio, da organização, sua localização, ativos e tecnologia;
• A política do SGSI;
• A abordagem de análise/avaliação de risco da organização;
• Identificar os riscos;
• Identificar e avaliar as opções para o tratamento de riscos;
• Obter aprovação da direção para implementar e operar o SGSI;
• Preparar uma declaração de Aplicabilidade

Do (Implementar e operar o SGSI)

• Nesta fase a organização deve implementar e operar a política, controles, processos e procedimentos do SGSI, buscando não burocratizar o funcionamento das áreas. Deve formular e implementar um plano de tratamento de riscos para identificar a ação de gestão apropriada, montar um plano de conscientização e treinamento e gerenciar as ações e os recursos do SGSI

Check (monitorar e analisar criticamente o SGSI)

• A organização deve implementar procedimentos de monitoração e análise crítica para detectar erros nos resultados de processamento, identificar as tentativas e violações de segurança bem-sucedidas, e os incidente de segurança da informação. Os procedimentos de análise crítica da eficácia do SGSI, devem levar em consideração os resultados das auditorias de segurança, dos incidentes de segurança, dos resultados da medições e sugestões. ve ser realizado também a análise crítica as análises/avaliações de risco a intervalos regulares e ainda realizadas auditorias regularmente. Em função dos resultados das atividades de monitoramento e análise crítica os planos de segurança devem ser atualizados.

Act (Manter e melhorar o SGSI)

• A organização deve implementar as melhorias identificadas no SGSI. Deve ainda executar as ações preventivas e corretivas necessárias para o bom funcionamento do SGSI.