2009-03-08
I - SGSI (Sistema de Gestão de Segurança da Informação) : em que consiste?
Em sequência do estudo publicado aqui - no qual identifiquei as normas técnicas que devem presidir à avaliação qualitativa e quantitativa dos sistemas informáticos judiciais e judiciários, - complemento essa informação com o elenco dos requisitos para a implementação de um sistema de gestão de segurança da informação (SGSI) que sirva os tribunais.
Em primeiro lugar, importa esclarecer que a segurança da informação é, essencialmente, uma questão organizacional e não meramente tecnológica.
Para implementar a segurança deverá identificar-se, primeiramente:
a) os riscos;
b) o(s) grau(s) de protecção desejado(s);
c) o(s) custo(s) associados;
No fundo, essa implementação implica uma «gestão do risco», através de uma combinação adequada da gestão com a tecnologia (v.g. organização).
Um SGSI implica uma abordagem sistemática - estática e dinâmica - dessa gestão, acompanhando as seguintes etapas:
a) concepção;
b) implementação;
c) operação;
d) monitorização;
e) revisão;
f) manutenção; e
g) aperfeiçoamento da segurança da informação;
Para aferir o grau de segurança de um SGSI, assume carácter vital a aplicação de modelos de avaliação quantitativa e qualitativa de segurança (da informação e da organização), que permita a sua certificação segundo as normas ISO em vigor.
Só a sua aplicação permitirá esclarecer, devidamente, o grau de segurança do sistema.
Em primeiro lugar, importa esclarecer que a segurança da informação é, essencialmente, uma questão organizacional e não meramente tecnológica.
Para implementar a segurança deverá identificar-se, primeiramente:
a) os riscos;
b) o(s) grau(s) de protecção desejado(s);
c) o(s) custo(s) associados;
No fundo, essa implementação implica uma «gestão do risco», através de uma combinação adequada da gestão com a tecnologia (v.g. organização).
Um SGSI implica uma abordagem sistemática - estática e dinâmica - dessa gestão, acompanhando as seguintes etapas:
a) concepção;
b) implementação;
c) operação;
d) monitorização;
e) revisão;
f) manutenção; e
g) aperfeiçoamento da segurança da informação;
Para aferir o grau de segurança de um SGSI, assume carácter vital a aplicação de modelos de avaliação quantitativa e qualitativa de segurança (da informação e da organização), que permita a sua certificação segundo as normas ISO em vigor.
Só a sua aplicação permitirá esclarecer, devidamente, o grau de segurança do sistema.
Etiquetas: citius, Citius-MP, segurança informática, SGSI, sistema informático
