Ferreira e Araújo (2008) present a organized plan in four phases for the development of an information security policy, as explained below. Phase ...
Phase 1 - Information gathering
The information gathering phase has four subphases, which include the following main activities:
Acquisition of existing security standards, norms, and procedures;
Identification of information technology needs and usage;
Collection of information about business processes, market trends, and risk controls;
Acquisition of information about the technological environment.
Phase 2 - Development of policy content and security norms
The second phase is responsible for consolidating the necessary content for the information security policy (PSI), also having four subphases, in which the following activities are carried out:
Policy management, by defining information security, management objectives, critical success factors, and policy maintenance;
Definition of rules and responsibilities, including the creation of a committee, definition of information owners and users, human resources, and internal audit;
Definition of information classification criteria, including levels, reclassification, storage, and disposal;
Development of information security procedures, such as internet usage, email, and backup procedures.
Phase 3 - Development of information security procedures
The third phase consists of constructing information security procedures, subdivided into three stages:
Search and identification of best SI practices used in the market;
Development of procedures and standards for presentation and discussion with the organization's top management, aligning with business needs;
Formalization of procedures in the integration process with corporate policies.
Phase 4 - Review, approval, and implementation of information security policies, norms, and procedures
The last phase is organized into only two stages, which consist of reviewing and approving information security policies, norms, and procedures. And finally, the concrete implementation of these policies, norms, and procedures, directly acting on the dissemination, involvement, and publicity of the Information Security Policy to all organization employees.
💡 1 Resposta
Ed 
O plano organizado em quatro fases para o desenvolvimento de uma política de segurança da informação, apresentado por Ferreira e Araújo (2008), é composto pelas seguintes etapas: Fase 1 - Coleta de informações: - Aquisição de padrões, normas e procedimentos de segurança existentes; - Identificação das necessidades e uso de tecnologia da informação; - Coleta de informações sobre processos de negócio, tendências de mercado e controles de risco; - Aquisição de informações sobre o ambiente tecnológico. Fase 2 - Desenvolvimento do conteúdo da política e normas de segurança: - Gerenciamento da política, definindo objetivos de segurança da informação, fatores críticos de sucesso e manutenção da política; - Definição de regras e responsabilidades, incluindo a criação de um comitê, definição de proprietários e usuários de informações, recursos humanos e auditoria interna; - Definição de critérios de classificação de informações, incluindo níveis, reclassificação, armazenamento e descarte; - Desenvolvimento de procedimentos de segurança da informação, como uso da internet, e-mail e procedimentos de backup. Fase 3 - Desenvolvimento de procedimentos de segurança da informação: - Busca e identificação das melhores práticas de SI utilizadas no mercado; - Desenvolvimento de procedimentos e normas para apresentação e discussão com a alta administração da organização, alinhando-se às necessidades do negócio; - Formalização dos procedimentos no processo de integração com as políticas corporativas. Fase 4 - Revisão, aprovação e implementação de políticas, normas e procedimentos de segurança da informação: - Revisão e aprovação das políticas, normas e procedimentos de segurança da informação; - Implementação concreta dessas políticas, normas e procedimentos, atuando diretamente na disseminação, envolvimento e divulgação da Política de Segurança da Informação para todos os funcionários da organização. Espero que isso tenha esclarecido as fases do plano apresentado por Ferreira e Araújo (2008) para o desenvolvimento de uma política de segurança da informação.
✏️ Responder
Para escrever sua resposta aqui, entre ou crie uma conta
Outros materiais
Perguntas dessa disciplina
Conteúdos escolhidos para você
Compartilhar