A ISO 27001 \u00e9 a irm\u00e3 da 27000. <\/p>\n\n\n\n
A 27001 detalha como um SGSI(Sistema de Gerenciamento de Seguran\u00e7a da Informa\u00e7\u00e3o) que funcione bem deve ser configurado e mantido, A 27002 entra em detalhes com exemplos de controles de seguran\u00e7a da ISO 27001.<\/p>\n\n\n\n
5.1.1 Pol\u00edticas para seguran\u00e7a da informa\u00e7\u00e3o<\/strong><\/p>\n\n\n\n Um documento precisa ser criado, contendo como a organiza\u00e7\u00e3o gerencia os objetivos de seguran\u00e7a da informa\u00e7\u00e3o. Este documento precisa ser aprovado pela administra\u00e7\u00e3o e precisa conter pol\u00edticas de alto e baixo n\u00edvel. Uma vez que as pol\u00edticas estejam em vigor, elas precisam ser revisadas regularmente. A melhor abordagem para isso \u00e9 marcar uma reuni\u00e3o regular e planejar uma reuni\u00e3o extra entre elas, caso a situa\u00e7\u00e3o o exija. Se alguma mudan\u00e7a for feita, a administra\u00e7\u00e3o precisa dar sua aprova\u00e7\u00e3o. As pol\u00edticas devem ser compartilhadas com as partes interessadas internas e externas.<\/p>\n\n\n\n 5.1.2 An\u00e1lise cr\u00edtica das pol\u00edticas para seguran\u00e7a da informa\u00e7\u00e3o<\/strong><\/p>\n\n\n\n A pol\u00edtica precisa definir quem \u00e9 respons\u00e1vel por qual ativo, processo ou atividade de risco \u00e0 seguran\u00e7a da informa\u00e7\u00e3o. \u00c9 importante que a tarefa seja feita de forma clara e para todas as tarefas. Certifique-se de que as fun\u00e7\u00f5es e responsabilidades sejam adequadas \u00e0 sua organiza\u00e7\u00e3o; uma pequena equipe de cinco provavelmente n\u00e3o precisa de um oficial de seguran\u00e7a em tempo integral.<\/p>\n\n\n\n 6.1.1 Responsabilidades e pap\u00e9is pela seguran\u00e7a da informa\u00e7\u00e3o<\/strong><\/p>\n\n\n\n A pol\u00edtica precisa definir quem \u00e9 respons\u00e1vel por qual ativo, processo ou atividade de risco \u00e0 seguran\u00e7a da informa\u00e7\u00e3o. \u00c9 importante que a tarefa seja feita de forma clara e para todas as tarefas. Certifique-se de que as fun\u00e7\u00f5es e responsabilidades sejam adequadas \u00e0 sua organiza\u00e7\u00e3o; uma pequena equipe de cinco provavelmente n\u00e3o precisa de um oficial de seguran\u00e7a em tempo integral.<\/p>\n\n\n\n 6.1.2 Segrega\u00e7\u00e3o de fun\u00e7\u00f5es<\/strong><\/p>\n\n\n\n Para evitar qualquer uso indevido dos ativos da empresa, o \u201cpoder\u201d de controlar totalmente uma atividade delicada n\u00e3o deve estar nas m\u00e3os da mesma pessoa. A melhor maneira de implementar isso \u00e9 registrar todas as atividades e dividir tarefas importantes em fazer e verificar ou aprovar e iniciar. Isso evita fraudes e erros, por ex. no caso de uma pessoa criar e assinar todos os cheques da empresa.<\/p>\n\n\n\n 6.1.3 Contato com autoridades<\/strong><\/p>\n\n\n\n Deve ficar claro quem \u00e9 respons\u00e1vel por contatar as autoridades (por exemplo, aplica\u00e7\u00e3o da lei, \u00f3rg\u00e3os reguladores, autoridades de supervis\u00e3o), quais autoridades devem ser contatadas (por exemplo, obriga\u00e7\u00f5es legais, autoridades fiscalizadoras, organismos regulat\u00f3rios, servi\u00e7os de infraestrutura, servi\u00e7os de emerg\u00eancia, fornecedores de energia, sa\u00fade e seguran\u00e7a, por exemplo, corpo de bombeiros(juntamente com continuidade de neg\u00f3cios), fornecedores de telecomunica\u00e7\u00f5es (juntamente com rotas de linha e disponibilidade) e fornecedores de \u00e1gua (juntamente com instala\u00e7\u00e3o de refrigera\u00e7\u00e3o para os equipamentos). e em quais casos isso precisa acontecer. Uma resposta r\u00e1pida e adequada a incidentes pode diminuir muito o impacto, podendo at\u00e9 ser obrigat\u00f3rio por lei.<\/p>\n\n\n\n