Baixe o app para aproveitar ainda mais
Prévia do material em texto
SGSI – SISTEMA DE GESTÃO DE SEGURANÇA DAINFORMAÇÃO Ederson Gomes Pereira Questão 1 A empresa SIST TECNOLOGIA está fazendo o levantamento das estratégias que a empresa CONSULTE Service implementará de acordo com a política e seus objetivos. Descreva os requisitos necessários para estabelecer o SGSI nas etapas de definição do escopo e de definição da política da CONSULTE Service. • Definição do escopo do SGSI o Quem serão as pessoas e quais os setores e processos serão beneficiados com a implantação; • A Política do SGSI: o Quais são os objetivos e particularidades do negócio, gestão dos riscos etc. Este documento serve para orientar e direcionar sobre os ativos de informação de uma empresa. Questão 2 Como a eficiência poderia ser avaliada pela empresa SIST TECNOLOGIA na etapa de monitoramento e análise crítica do SGSI após a implantação do sistema na empresa CONSULTE Service? Justifique sua resposta. • Executando os procedimentos de monitoramento e análise crítica; • Realizando auditorias regulares e analisando os resultados e incidentes de segurança; • Avaliar os requisitos de segurança dos controles; • Análises e avaliações de riscos e níveis de riscos aceitáveis; • Auditorias internas; • Analisar de forma crítica conforme a gestão da empresa e, identificar as melhorias do processo; • Atualizar os planos de segurança da informação, considerando os resultados das atividades de monitoramento e análise crítica; • Registro de ações que tenham impacto na eficácia ou na performance do SGSI. Todos os passos citados acima são a base para o sucesso do plano, devem ser seguidos e realizados de forma concisa. Questão 3 Para que a implantação do SGSI na empresa CONSULTE Service tenha sucesso, garanta a melhoria contínua e atinja os objetivos definidos pela empresa, quais as ações devem ser tomadas? Justifique sua resposta. • Com a adoção do Processo de PDCA “Plan-Do-Check-Act” para estruturar todos os processos do SGSI. Considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas. • A norma ISO/IEC 27002 está estruturada em 11 seções, ao todo, são 133 controles divididos em (1) política de segurança da informação, (2) organização da segurança da informação, (3) gestão de ativos, (4) segurança em recursos humanos, (5) segurança física e de ambiente, (6) gerenciamento das operações e comunicações, (7) controle de acesso, (8) aquisição, desenvolvimento e manutenção de sistemas de informação, (9) gerenciamento de incidentes de segurança da informação, (10) gerenciamento da continuidade do negócio e (11) conformidade legal. Sem a execução de um plano de melhoria continua os processos podem apresentar falhas, como desperdício de materiais, controle de estoque, distribuição, etc.
Compartilhar