Implementação e Certificação de um SGSI ISO 27001.Parte 2 - Como Implementar
Ponto de partida
No início da implementação deve ser feito um diagnóstico e um gap-analysis entre a norma e as boas práticas existentes. Esta análise deve ser o ponto de partida para a implementação de um sistema de gestão.
Em regra as empresas quando decidem avançar para a implementação de um sistema de gestão, já possuem um conjunto de boas práticas que devem ser mantidas.
Numa implementação ISO 27001 o ponto de partida é uma avaliação de risco da segurança da informação, identificando ameaças ou cenários de risco e ponderando impacto e probabilidade, tendo em conta os controlos de segurança já existentes e determinando quais os novos controlos necessários para mitigar os riscos identificados.
Papéis e Responsabilidades
Na implementação e no funcionamento do sistema de gestão as diferentes partes interessadas que participam nas atividades da empresa tem que assumir diferentes papéis e responsabilidades. Por exemplo:
Responsável de Segurança da Informação
Donos dos Riscos (Risk Owners)
Responsáveis pelos ativos
Administrador de Sistemas
Administrador Redes
Responsáveis Infraestruturas
Em organizações mais pequenas é natural que alguns destes papéis e responsabilidades sejam acumulados pelo mesmo responsável.
Implementação
• Planeamento
O estabelecimento de um plano do projeto de implementação do sistema de gestão permite gerir o projeto e o trabalho da equipa, constituindo em si uma evidência de cumprimento dos requisitos de planeamento destas normas.
• Formação
A formação numa fase inicial fornecerá o conhecimento necessário aos gestores, com responsabilidades atribuídas no sistema de gestão. Numa fase mais avançada da implementação sensibilizará todos os colaboradores para os novos aspetos, para o papel de cada um no sistema de gestão e para a sua contribuição no alcançar dos objetivos.
• Auditoria interna
Ao longo da implementação do projeto poderão ser efetuadas uma ou mais auditorias internas, para avaliar o grau de conformidade com os requisitos das normas e reportar essa informação aos responsáveis da empresa e à equipa de implementação. Estas auditorias são também o cumprimento de requisitos das normas, deve ser realizada pelo menos uma, permitindo a preparação da empresa para a auditoria de certificação realizada pela entidade certificadora.