Uma metodologia para implantação de um Sistema de Gestão de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002
DOI:
https://doi.org/10.18265/1517-03062015v1n22p69-80Palavras-chave:
segurança da informação, sistema de gestão de segurança da informação, ABNT NBR ISO/IEC 27001, ABNT NBR ISO/IEC 27002Resumo
A segurança da informação destaca-se como uma das principais preocupações em diversas organizações. Para garantir que as informações e os sistemas de informações estejam protegidos contra ameaças de todos os tipos é necessário definir processos gerenciados e assegurar a confidencialidade, integridade e disponibilidade delas. Com esta finalidade, as normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 provem um conjunto de técnicas para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). Porém, ainda é preciso definir uma metodologia para aplicar os conceitos identificados nas normas. Este artigo traz uma metodologia para implantar um SGSI, tomando como base a ABNT NBR ISO/IEC 27001 e 27002 simplificando o processo de planejamento, implantação, análise crítica e modificação do sistema. Através do modelo sugerido, será possível classificar a informação, identificar os riscos relevantes que atingem as informações, selecionar controles das normas e construir um plano de ação para a implantação do SGSI em qualquer tipo de organização.
Downloads
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2005 – Tecnologia da informação – Técnicas de segurança – Código de prática para gestão da segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2006 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. Rio de Janeiro: ABNT, 2006.
ANDREA, E. O centro do furacão: muitos veem a luz do sol, apesar da nebulosidade causada pela estagnação da economia global e pelo aumento do crime cibernético e das ameaças de segurança da informação. São Paulo: PwC, 2011.
ELAINA, J; Diagrama de Pareto. 2011. Disponível em: http://www.empresasedinheiro.com/diagrama-de-pareto/. Acesso em: 10 jun. 2012.
FARIA, C. PDCA (Plan, Do, Check, Action). 2008. Disponível em: http://www.infoescola.com/administracao/pdca-plan-do-check-action/. Acesso em: 28 jun. 2012.
FERNANDES, A.; ABREU, V. Implantando a governança de TI: da estratégia à gestão dos processos e serviços. 2. ed. Rio de Janeiro: Brasport, 2008.
FERREIRA, F. N. F; ARAUJO, M. T.; Política de sgurança da informação: guia prático para elaboração e implementação. 2. ed. Rio de Janeiro: Editora Ciência Moderna, 2008.
HAAS, V. Sistema de qualidade: 5W1H(5W2H). 2010. Disponível em: http://www.ebah.com.br/content/ABAAABYqYAK/5w1h-5w2h#. Acesso em: 05 jun. 2012.
MATOS, F.; Proposta de um checklist para verificação da segurança física de uma empresa baseada na norma ABNT NBR ISO/IEC 27002:2005. Monografia apresentada ao curso de Ciências da Computação. Fortaleza: Faculdade Lourenço Filho, 2010.
NAKAMURA, E.; GEUS, P. Segurança de redes em ambientes cooperativos. 2 ed. Rio de Janeiro: Novatec, 2007.
REIS, B; MOTA J. C.; OLIVEIRA, P. P. Classificação da informação. 2007. Disponível em: www.lyfreitas.com/artigos_mba/artclassinfo.pdf. Acesso em: 20 jan. 2012.
STALLINGS, W.; Criptografia e segurança de redes: princípios e práticas. 4. ed. Rio de Janeiro: Pearson., 2008.
SERRANO, D. P. Ciclo PDCA. 2012. Disponível em: http://www.portaldomarketing.com.br/Artigos3/Ciclo_PDCA.htm. Acesso em: 01 nov, 2012.
Downloads
Publicado
Edição
Seção
Licença
• O(s) autor(es) autoriza(m) a publicação do artigo na revista;
• O(s) autor(es) garante(m) que a contribuição é original e inédita e que não está em processo de avaliação em outra(s) revista(s), nem esteja publicado em anais de congressos e/ou portais institucionais;
• A revista não se responsabiliza pelas opiniões, ideias e conceitos emitidos nos textos, por serem de inteira responsabilidade de seu(s) autor(es). Opiniões e perspectivas expressas no texto, assim como a precisão e a procedência das citações, são de responsabilidade exclusiva do(s) autor(es), e contribuem para a promoção dos:
- Princípios FAIR (Findable, Accessible, Interoperable, and Reusable – localizável, acessível, interoperável e reutilizável);
- Princípios DEIA (diversidade, equidade, inclusão e acessibilidade).
• É reservado aos editores o direito de proceder ajustes textuais e de adequação do artigos às normas da publicação.
Responsabilidades dos autores e transferência de direitos autorais
Os autores devem declarar a originalidade do estudo, bem como o fato de que este não foi publicado anteriormente ou está sendo considerado para publicação em outro meio, como periódicos, anais de eventos ou livros. Ao autorizarem a publicação do artigo na Revista Principia, os autores devem também responsabilizar-se pelo conteúdo do manuscrito, cujos direitos autorais, em caso de aprovação, passarão a ser propriedade exclusiva da revista. A Declaração de Responsabilidades dos Autores e Transferência de Direitos Autorais deverá ser assinada por todos os autores e anexada ao sistema como documento suplementar durante o processo de submissão. Clique no link abaixo para fazer o download do modelo.
Esta revista, seguindo as recomendações do movimento de Acesso Aberto, proporciona seu conteúdo em Full Open Access. Assim os autores conservam todos seus direitos permitindo que a Revista Principia possa publicar seus artigos e disponibilizar pra toda a comunidade.
A Revista Principia adota a licença Creative Commons 4.0 do tipo atribuição (CC-BY). Esta licença permite que outros distribuam, remixem, adaptem e criem a partir do seu trabalho, inclusive para fins comerciais, desde que lhe atribuam o devido crédito pela criação original.
Os autores estão autorizados a enviar a versão do artigo publicado nesta revista em repositório institucionais, com reconhecimento de autoria e publicação inicial na Revista Principia.
