roadmap iso 27001 - integrity · sgsi de acordo com o standard. revisÃo do sgsi execução de uma...
TRANSCRIPT
Versão 2.1
PREPARAÇÃODIAGNÓSTICO
IMPLEMENTAÇÃOOPERAÇÃO
CERTIFICAÇÃO E ACOMPANHAMENTO
1 a 2 meses1 a 3 meses
1 a 4 meses3 a 6 meses
1 mês + 3 anos
Definir o âmbito adequado às
necessidades denegócio e dotar a organização dosconhecimentos
necessários.
No âmbitocaracterizado,
identificar a maturidade dosprocessos, dos
controlos aplicáveis, dos
riscos e dos controlos demitigação.
Compreender o negócio e
determinar o gap entre os requisitosdo standard e as
práticas daorganização deforma a alocar
recursos para umaimplementação
eficiente do SGSI.
Elaborar adocumentação
obrigatória e iniciar o
tratamento derisco tendo em
consideração oscontrolos
aplicáveis.
1. PREPARAÇÃODO SGSI
2. DIAGNÓSTICO
3. IMPLEMENTAÇÃOE DOCUMENTAÇÃO
DO SGSI
Executar osprocessos e
procedimentosdefinidos
evidenciando ocumprimento dos
objetivos,identificar
oportunidades demelhoria e não
conformidades egarantir que o SGSI
é revisto pelagestão de topo.
4. OPERAÇÃODO SGSI
Auditoria elaboradapor uma
terceira parte de modo a
demonstrar amaturidade do
SGSI e redução dorisco de acordocom os objetivos
definidos.Acompanhamento
do SGSI sobre a forma de serviços
de operação e gestão
(planeamento, avaliação de
desempenho e melhoria contínua).
5. CERTIFICAÇÃO EACOMPANHAMENTO
Integrity 5-step approach to 27001
ROADMAP ISO 27001
Caracterizar asunidades funcionais,
processos denegócio, geografiae bens a proteger.
DEFINIRO ÂMBITO
(1 a 2 meses)
Dotar a equipa deprojeto e todas aspartes interessadas
com conhecimentosem SGSI.
FORMAÇÃOESPECÍFICA EM
ISO 27001
Dotar a equipa deprojeto com
conhecimentos em segurança da
informação alinhados coma atualidade.
FORMAÇÃO EM SEGURANÇA
DE INFORMAÇÃO
Compreender onegócio e terminar
o gap entre os requisitos do standard
e as práticas daorganização de forma
a alocar recursospara uma
implementação eficaze eficiente do SGSI.
DIAGNÓSTICOESPECÍFICO
Apresentar à gestão de topo
e a todas as partes interessadas
as conclusões da análise efetuada.
APRESENTAÇÃODE RESULTADOS
Elaborar documentocom a descrição
das metodologias deanálise e tratamento
de risco, identificandoas responsabilidades,as fontes de ameaças
e vulnerabilidades,controlos existentes, a eficácia dos mesmos
e o critério de aceitação do risco.
DOCUMENTAR AMETODOLOGIA DEGESTÃO DE RISCO
Início da execuçãocontinuada dasatividades de
análise de riscoprevistas na
metodologia degestão de risco.
AVALIAÇÃODO RISCO
Definição de umplano de tratamentode risco de acordocom a metodologiade gestão de risco
definida e adotada.
PLANO DETRATAMENTO
DE RISCO
Documentar os objetivos de
segurança de informação da organização, o
comprometimentoda gestão de
topo com a reduçãode risco e as
implicações do nãocumprimento dapolítica definida.
DEFINIR A POLÍTICADE SEGURANÇA
DE INFORMAÇÃO
Elaborar documentoscom a descrição
dos processos, respetivas
responsabilidades,identificando os
registos e evidênciasadequadas.
DOCUMENTAR OS PROCESSOS
DO SGSI
Elaboração de umregisto com a
informação doscontrolos aplicáveis,eventuais exclusões
e as respetivasjustificações.
DECLARAÇÃO DEAPLICABILIDADE
(SOA)
Aprovação pela gestão de topo doâmbito do SGSI, da
política de segurança,da análise de risco,
plano de tratamentode risco e SOA.
APROVAÇÃO DA DOCUMENTAÇÃO
Planeamento e execução de ações
de formação esensibilização a toda
a organização noâmbito do SGSI.
FORMAÇÃO ESENSIBILIZAÇÃO
Execução de formacontinuada das
tarefas dos diversosprocessos definidose documentados.
GESTÃO DEPROCESSOS
Acompanhamentoe aferição
das métricas e objetivos
do SGSI.
MONITORIZAÇÃODO SGSI
Revisão formal pela gestão
de topo dos inputse outputs do
SGSI de acordocom o standard.
REVISÃODO SGSI
Execução de umaação formal de
auditoria interna,analisando registos
e evidências daexecução dos
processos definidos.
AUDITORIAINTERNA
1. PREPARAÇÃODO SGSI
(1 a 3 meses)
2. DIAGNÓSTICO
(1 a 4 meses)
3. IMPLEMENTAÇÃOE DOCUMENTAÇÃO
DO SGSI
(3 a 6 meses)
4. OPERAÇÃODO SGSI
AUDITORIA DE ACOMPANHAMENTO
(2º e 3º ano)AUDITORIA
DE CONCESSÃO(1º ano)
Executado pela entidade certificadora.
Execução de umaauditoria nos mesmos
moldes que a auditoriade concessão de
forma a preparar aequipa de projeto paraa certificação efetiva
e otimizar aspetos finais do sistema.
PRÉ-AUDITORIA(1 mês)
(1 mês + 3 anos)
5. CERTIFICAÇÃO EACOMPANHAMENTO
Avaliação de desempenho
do SGSI
Processos eprocedimentosoperacionais
Tratamentode risco
Revisõespela Gestão
Ações deSensibilizaçãoe Formação
Auditoriasinternas EXECUÇÃO
CONTINUADA