Recent Posts
Featured Posts

Implementação e Certificação de um SGSI ISO 27001.Parte 2 - Como Implementar

Ponto de partida

No início da implementação deve ser feito um diagnóstico e um gap-analysis entre a norma e as boas práticas existentes. Esta análise deve ser o ponto de partida para a implementação de um sistema de gestão.

Em regra as empresas quando decidem avançar para a implementação de um sistema de gestão, já possuem um conjunto de boas práticas que devem ser mantidas.

Numa implementação ISO 27001 o ponto de partida é uma avaliação de risco da segurança da informação, identificando ameaças ou cenários de risco e ponderando impacto e probabilidade, tendo em conta os controlos de segurança já existentes e determinando quais os novos controlos necessários para mitigar os riscos identificados.


Papéis e Responsabilidades

Na implementação e no funcionamento do sistema de gestão as diferentes partes interessadas que participam nas atividades da empresa tem que assumir diferentes papéis e responsabilidades. Por exemplo:

Responsável de Segurança da Informação

Donos dos Riscos (Risk Owners)

Responsáveis pelos ativos

Administrador de Sistemas

Administrador Redes

Responsáveis Infraestruturas

Em organizações mais pequenas é natural que alguns destes papéis e responsabilidades sejam acumulados pelo mesmo responsável.


Implementação

• Planeamento

O estabelecimento de um plano do projeto de implementação do sistema de gestão permite gerir o projeto e o trabalho da equipa, constituindo em si uma evidência de cumprimento dos requisitos de planeamento destas normas.

• Formação

A formação numa fase inicial fornecerá o conhecimento necessário aos gestores, com responsabilidades atribuídas no sistema de gestão. Numa fase mais avançada da implementação sensibilizará todos os colaboradores para os novos aspetos, para o papel de cada um no sistema de gestão e para a sua contribuição no alcançar dos objetivos.

• Auditoria interna

Ao longo da implementação do projeto poderão ser efetuadas uma ou mais auditorias internas, para avaliar o grau de conformidade com os requisitos das normas e reportar essa informação aos responsáveis da empresa e à equipa de implementação. Estas auditorias são também o cumprimento de requisitos das normas, deve ser realizada pelo menos uma, permitindo a preparação da empresa para a auditoria de certificação realizada pela entidade certificadora.


ISO 27001

Follow Us
Search By Tags
Archive
  • Facebook Basic Square
  • Twitter Basic Square
  • Google+ Social Icon