3.2 O que é ISMS?
O ISMS é consistido de políticas, procedimentos, diretrizes, recursos e atividades associadas, gerenciados pela organização, na busca de proteger seus ativos de informação.
Sistematicamente busca-se estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação de uma organização para alcançar os objetivos de negócios.
Princípios Fundamentais
- Avaliação de risco e os níveis de aceitação de risco da organização;
- Analise de requisitos para a proteção de ativos de informações;
- Aplicação de controles adequados para garantir a proteção desses ativos de informação;
Princípio Contribuintes
A) Consciência da necessidade de segurança da informação;
B) Atribuição de responsabilidade pela segurança da informação;
C) Incorporar o compromisso de gestão e os interesses das partes;
D) Melhorar os valores societários;
E) Avaliações de risco determinando controles apropriados para atingir níveis aceitáveis de risco;
F) Segurança incorporada como um elemento essencial das redes e sistemas de informação;
G) Prevenção e detecção ativa de incidentes de segurança da informação;
H) Assegurar uma abordagem abrangente da gestão da segurança da informação;
I) Reavaliação contínua da segurança da informação e realização de modificações conforme apropriado.
Informação: Importância, formas de processamento, armazenamento, formas de transmissão, proteção e destruição.
Segurança da Informação: Garantia de confidencialidade, disponibilidade e integridade da informação. Com base no gerenciamento de riscos escolhido, realiza-se a aplicação e o gerenciamentos de controles apropriados para assegurar o sucesso e a continuidade sustentável do negócio.
Gerenciamento: Com base em SGSI, o gerenciamento envolve a supervisão e a tomada de decisões necessárias para atingir os objetivos comerciais através da proteção dos ativos de informação da organização.
Direcionar, controlar e melhorar continuamente a organização dentro das estruturas apropriadas.
Sistema de Gerenciamento: Em SI, um sistema de gerenciamento permite uma organização:
A) satisfazer os requisitos de segurança da informação dos clientes e outras partes interessadas;
B) melhorar os planos e atividades de uma organização;
C) cumprir os objetivos de segurança da informação da organização;
D) cumprir regulamentos, legislação e mandatos da indústria; e
E) gerenciar ativos de informações de forma organizada que facilite a melhoria contínua e o ajuste às metas organizacionais atuais.