a) Definir o escopo e limites do SGSI nos termos das características do
negócio, a organização, sua localização, recursos, tecnologia, e incluindo
detalhes ou justificativas para qualquer exclusão do escopo (ver 1.2);
b) Definir uma política de SGSI nos termos das características do negócio, a
organização, sua localização, recursos e tecnologia que:
1) inclua uma estrutura de implementação para definir objetivos e estabelecer um
senso de direção global e princípios para ações relacionadas a segurança de
informação; 2) considere requisitos de negócio, legais e/ou regulatórios, e obrigações
de segurança contratuais; 3) esteja alinhada com o contexto de gestão de risco
estratégico da organização no qual o estabelecimento e manutenção do SGSI irão
ocorrer; 4) estabeleça critérios contra os quais os riscos serão avaliados (ver 4.2.1c));
e 5) seja aprovada pela direção NOTA: Com a finalidade desta Norma, a política do
SGSI é considerada um documento maior da política de segurança de informação.
Esta política pode ser descrita em um documento.
c) Definir a estratégia de avaliação de risco da organização; 1) identificar uma metodologia
de avaliação de risco adequada ao SGSI, e aos requisitos de negócio, legais e regulatórios
identificados para a segurança da informação; e 2) desenvolver critérios para a aceitação
de riscos e identificação dos níveis aceitáveis de risco (ver 5.1f)). A metodologia de
avaliação de risco selecionada deverá assegurar que as avaliações de risco produzam
resultados comparáveis e reproduzíveis. NOTA: Existem diferentes metodologias para
avaliação de risco. São discutidos exemplos de metodologias de avaliação de risco na
ISO/IEC TR 13335-3, Tecnologia da Informação – Diretrizes para a Gestão de Segurança em
TI – Técnicas para a Gestão de Segurança em TI.
d) Identificar os riscos; 1) Identificar os ativos dentro do escopo do SGSI, e os proprietários2)
destes ativos; 2) Identificar as ameaças para esses ativos; 3) Identificar as vulnerabilidades
que poderiam ser exploradas pelas ameaças; e 4) Identificar os impactos que perdas de
confidencialidade integridade e disponibilidade podem causar aos ativos.
e) Analisar e avaliar os riscos; 1) Avaliar o impacto para o negócio da organização
que poderia resultar de uma falha de segurança, considerando as conseqüências
de uma perda de confidencialidade, integridade ou disponibilidade dos ativos; 2)
Avaliar a probabilidade realista de como uma falha de segurança acontece à luz
de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes
ativos, e os controles implementados atualmente; 3) Estimar os níveis de riscos;
e 4) Determinar se o risco é aceitável ou requer tratamento que use o critério de
aceitação de risco estabelecido em 4.2.1c)2).
f) Identificar e avaliar as opções para o tratamento de riscos; Possíveis ações
incluem: 1) Aplicar os controles apropriados; 2) Aceitar os riscos conscientemente e
objetivamente, provendo a satisfação clara às políticas da organização e aos
critérios para aceitação de risco (ver 4.2.1c)2); 3) Evitar riscos; e 4) Transferir os
riscos de negócio associados a outras partes, por exemplo, corretores de seguro,
provedores de serviço.
g) Selecionar objetivos de controle e controles para o tratamento de riscos; Serão
selecionados e implementados objetivos de controles e controles para satisfazer os
requisitos identificados pela avaliação de risco e o processo de tratamento de risco. Esta
seleção deve considerar o critério para aceitação de riscos (ver 4.2.1c) como também
requisitos legais e regulatórios, e exigências contratuais. Os objetivos de controle e controles
do Anexo A deverão ser selecionados como parte deste processo, como satisfatórios, para
cobrir estes requisitos. Os objetivos de controle e controles listados no Anexo A não são
completos, podendo ser selecionados objetivos de controle e controles adicionais. NOTA: O
Anexo A contém uma lista geral de objetivos de controle e controles que foram comumente
considerados relevantes para as organizações. Os usuários desta Norma são direcionados
para o Anexo A como um ponto de partida para a seleção de controles para assegurar que
nenhuma opção de controle impor
h) Obter aprovação da Gerência dos riscos residuais propostos;
i) Obter autorização da Gerência para implementar e operar o SGSI;
j) Preparar uma Declaração de Aplicabilidade. Uma Declaração de Aplicabilidade deverá ser preparada
incluindo seguinte: 1) Os objetivos de controle e controles, selecionados em 4.2.1g) e as razões para sua
seleção; 2) Os objetivos de controle e controles implementados atualmente (ver 4.2.1e)2)); e 3) A
exclusão de qualquer objetivo de controle e controle do Anexo 1 e a justificativa para esta exclusão.
NOTA: A Declaração de Aplicabilidade provê um resumo das decisões relativas a tratamento de risco. A
justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido
inadvertidamente.
4.2.2 Implementar e operar o SGSI
a) Formular um plano de tratamento de risco que identifique a ação de gestão apropriada, recursos,
responsabilidades e prioridades para a gestão dos riscos de segurança (ver 5);
b) Implementar o plano de tratamento de risco para alcançar os objetivos de controle identificados, o
que inclui a consideração de financiamentos e a distribuição de papéis e responsabilidades;
c) Implementar os controles selecionados em 4.2.1g) para alcançar os objetivos de controle;
d) Definir como medir a efetividade dos controles selecionados ou grupos de controles e especificar
como estas medidas serão usadas para avaliar a efetividade do controle para produzir resultados
comparáveis e reproduzíveis (vrde 4.2.3c)); NOTA: A medição da efetividade dos controles permite aos
gerentes e equipe determinar se os controles alcançam de forma satisfatória os objetivos de controle
planejados.
e) Implementar programas de treinamento e conscientização (ver 5.2.2);
f) Gerenciar as operações do SGSI;
g) Gerenciar os recursos para o SGSI (ver 5.2); e
h) Implementar procedimentos e outros controles capazes de permitir a rápida detecção e resposta a
incidentes de segurança (ver 4.2.3).