2006-11-11

 

Informática: ISO 27001 - processo de gestão de segurança da informação -





As redes informáticas desempenham papéis cada vez mais vitais nas organizações públicas e privadas, exigindo normas de segurança, controlo e auditoria cada vez mais exigentes e «normalizadas».




Os riscos que ameaçam os sistemas informáticos exigem, cada vez mais, o conhecimento das normas internacionais que asseguram a necessária qualidade da sua segurança.



Há cerca de um ano, foi publicada pelo I.O.S (International Organization for Standardization) a norma internacional que serve de referência para a concretização de processos de gestão de segurança da informação:



A ISO 27001 (Information Technology - Information Security Management Systems - Requirements).


A conjugação desta norma com a ISO 17799 (Código de Boas Práticas da Gestão de Segurança da Informação) constituem os actuais padrões internacionais para o tratamento das questões da segurança da informação.

R
ecomenda-se, desde logo, o estudo daquela norma (ISO 27001), que trata dos seguintes aspectos:

  1. S.G.S.I. (Sistema de Gestão da Segurança da Informação);
  2. Valoração de Riscos;
  3. Controlos

Segundo essa norma, todo o sistema de informação deve merecer uma planificação rigorosa nos seguintes aspectos relacionados com o controlo da informação:


  1. Organização da Informação de Segurança;
  2. Administração de recursos;
  3. Segurança dos recursos humanos;
  4. Segurança física do ambiente da rede;
  5. Administração das comunicações e das operações;
  6. Controlo de acessos;
  7. Aquisição de sistemas de informação, desenvolvimento e manutenção;
  8. Administração dos incidentes de segurança;
  9. Administração da evolução;
  10. Cumprimento de regras legais, de qualidade e técnicas;
  11. Auditorias;

Todos os profissionais que trabalham com redes informáticas deveriam preocupar-se com essas matérias e colaborar no sentido de desenvolver o trabalho de uma forma enquadrada numa estrutura organizacional gerada segundo aqueles padrões de qualidade.

A não ser que não exista.

As implicações desse desleixe - ou falta de profissionalismo - são bem conhecidas.

Estarão os responsáveis dispostos a pagar esse preço?
Melhor: estará alguém disposto a pagar esse preço?

Não.

Então... de que estão à espera?...

Para reflectir.

Comments:
ÓTIMO POST

Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/
 
Enviar um comentário

Links to this post:

Criar uma hiperligação



<< Home

This page is powered by Blogger. Isn't yours?

eXTReMe Tracker Free counter and web stats
Contador grátis e estatísticas para seu site em www.motigo.com

RSS: Tenha acesso às actualizações do Blog de Informação, clicando aqui ou no í­cone anterior.