Faça parte do grupo no Telegram: https://t.me/+-OC7kD-3OA43YWMx
Com base na ISO 27001, uma política de segurança da informação é fundamental para garantir a proteção de dados confidenciais e a privacidade de clientes, funcionários e parceiros de negócios. Aqui está uma política de segurança da informação bem resumida e baseada na ISO 27001 que pode ser adaptada e personalizada para atender às necessidades específicas da sua organização. pode haver mais de um documento contendo políticas(regras ou normas) da empresa ou instituição que implanta a o sistema de segurança da informação. Cada documento pode conter de dezenas a centenas de páginas e isso depende da complexidade da instituição. É bom saber que, algumas vezes, por ser de conteúdo extenso, algumas práticas podem tornar fácil a leitura da Política; como, por exemplo, fazer um segundo documento contendo sobre resumo da versão completa. Esse resumo é então repassado para as partes interessadas, seja colaborador interno ou não, e um link na intranet apontar para a versão completa. Infelizmente, nem todos tem o hábito da leitura ou absorção de textos grandes.
A política de segurança da informação inclui documentos de política, procedimentos e orientações que visam um determinado aspecto de segurança da informação e que fornecem expectativas detalhadas. Esses documentos são uma parte importante do Sistema de Gerenciamento da Segurança da Informação (Information Security Management System – ISMS). lembrando que ISMS é a mesma coisa que SGSI. Um está em inglês(ISMS) e o outro em português(SGSI).
Exemplo de Política de Segurança da Informação
- Objetivo O objetivo desta política é garantir a confidencialidade, integridade e disponibilidade de informações e sistemas críticos para as operações da organização.
- Escopo Esta política se aplica a todos os funcionários, contratados, fornecedores e outros terceiros que têm acesso a informações e sistemas da organização.
- Responsabilidades A gestão de segurança da informação é responsabilidade de todos os funcionários da organização. Os gerentes são responsáveis por garantir que suas equipes cumpram esta política e tomem medidas adequadas para proteger informações e sistemas.
- Gerenciamento de Ativos Os ativos de informação devem ser identificados e documentados, incluindo hardware, software, dados e informações confidenciais. A organização deve implementar medidas para proteger esses ativos contra ameaças internas e externas.
- Gerenciamento de Acesso O acesso a informações e sistemas deve ser limitado a indivíduos autorizados, com base nas necessidades de trabalho. A organização deve implementar controles de acesso, como senhas fortes e autenticação de dois fatores, para garantir a autenticidade do usuário.
- Gerenciamento de Operações A organização deve implementar medidas para garantir a continuidade dos negócios em caso de falha de sistemas críticos. Os backups devem ser feitos regularmente e testados para garantir sua integridade e disponibilidade.
- Gerenciamento de Incidentes A organização deve ter um plano de resposta a incidentes para lidar com ameaças à segurança da informação. A equipe de segurança deve ser treinada para lidar com incidentes e comunicar de forma eficaz com outras partes interessadas.
- Conformidade Legal A organização deve cumprir todas as leis e regulamentações relevantes relacionadas à segurança da informação, como a Lei Geral de Proteção de Dados (LGPD).
- Revisão e Melhoria A política de segurança da informação deve ser revisada regularmente para garantir que permaneça atualizada e eficaz. A organização deve realizar avaliações periódicas de risco e implementar medidas para mitigar novas ameaças.
Esta política de segurança da informação é apenas uma base para a criação de uma política personalizada que atenda às necessidades específicas da sua organização. É importante lembrar que a segurança da informação é um processo contínuo que requer o envolvimento de toda a organização.
Mais uma vez! O documento da Política pode conter de dezenas a centenas de páginas. isso depende do alvo que irá usar e dos ativos referenciados.
Comments on “ISO 27001: Exemplo de Política da Segurança da Informação”