Please enable JavaScript.

Coggle requires JavaScript to display documents.

27001, A organização deve determinar e prover recursos necessários para…

- - - - da política da segurança da informação;
      - da sua contribuição para a eficácia do sistema de gestão da segurança da informação, incluindo
        os benefícios da melhoria do desempenho da segurança da informação; e
      - das implicações da não conformidade com os requisitos do sistema de gestão da segurança
        da informação.
  - - - o que comunicar;
      - com quem comunicar;
      - como se comunicar.
      - quando comunicar;
  - - - informação documentada requerida por este documento; e
      - informação documentada determinada pela organização como sendo necessária para a eficácia do sistema de gestão da segurança da informação.
        
        ao tamanho da organização e seu tipo de atividades, processos, produtos e serviços;
        
        à complexidade dos processos e suas interações; e
        
        à competência das pessoas.
      - Criando e atualizando
        
        Ao criar e atualizar a informação documentada, a organização deve assegurar, de forma apropriados(as):
        
        identificação e descrição (por exemplo, título, data, autor ou um número de referência);
        
        análise crítica e aprovação para pertinência e adequação.
        
        formato (por exemplo, linguagem, versão do software, gráficos) e seu meio (por exemplo, papel, eletrônico); e
        
        Controle da informação documentada
        
        A informação documentada requerida pelo sistema de gestão da segurança da informação e por este
        documento deve ser controlada para assegurar que:
        
        esteja disponível e adequada para o uso, onde e quando necessário; e
        
        esteja protegida adequadamente (por exemplo, contra perda de confidencialidade, uso indevido ou perda de integridade).
        
        Para o controle da informação documentada, a organização deve considerar as seguintes atividades,
        conforme aplicável:
        
        distribuição, acesso, recuperação e uso;
        
        armazenamento e preservação, incluindo a preservação da legibilidade;
        
        controle de mudanças (por exemplo, controle de versão); e
        
        retenção e disposição.
- - - - estabelecendo critérios para os processos;
      - implementando controles dos processos de acordo com os critérios.
        
        A informação documentada deve ser disponibilizada na abrangência necessária para gerar a confiança de que os processos estão sendo realizados conforme planejado.
        
        A organização deve controlar as mudanças planejadas e analisar criticamente as consequências de mudanças não intencionais, tomando ações para mitigar quaisquer efeitos adversos, conforme necessário.
      - Avaliação de riscos da segurança da informação
        
        A organização deve realizar avaliações de riscos da segurança da informação a intervalos planejados, ou quando mudanças significativas forem propostas ou ocorrerem, levando em conta os critérios
        
        Tratamento de riscos da segurança da informação
        
        A organização deve implementar o plano de tratamento de riscos da segurança da informação.
        
        A organização deve reter informação documentada dos resultados do tratamento de riscos da segurança da informação.
- - - - os próprios requisitos da organização para o seu sistema de gestão da segurança
        da informação;
        
        os requisitos deste documento está efetivamente implementado e mantido.
  - - - Resultados da análise crítica pela Direção
        
        Os resultados da análise crítica pela Direção devem incluir decisões relativas às oportunidades para melhoria contínua e quaisquer necessidades de mudanças do sistema de gestão da segurança da informação.