Este processo proposto pela norma ISO/IEC 27001 contém muitos ciclos de PDCA (sigla do inglês para Planejar-Fazer-Verificar-Agir). Os controles de segurança da informação, por exemplo, devem ser criados e implementados, mas também precisam passar por revisões e serem ajustados para refletir todas as novas ameaças, vulnerabilidades e impactos que a segurança da informação possa sofrer.
A idéia desta norma é auxiliar com muitos objetivos. Entre eles o de formular requisitos e objetivos de segurança e garantir que os riscos de segurança estão financeiramente controlados. Para conseguir todos estes objetivos eles propõe a criação de um documento (e possivelmente outros menores que são referenciados deste) chamado de ISMS (Information Security Management System).
O ISMS deve ser criado e analisado na empresa. O processo que deve ser criado deve prever uma revisão no mínimo anual deste documento e também devem ser feitas auditorias internas periódicas para verificar que o ISMS está sendo cumprido.
Na figura (tirada do toolkit da norma ISO27K) dá uma idéia melhor de como este procedimento deveria funcionar e em que momento devem ser geradas evidências de que o ISMS está sendo seguido.
Nenhum comentário:
Postar um comentário