Segurança da Informação (TI) - Norma ISO 17799 e 27001 - ANAC

Para que receba um nível de proteção adequada, a informação deve ser classificada quanto a seu valor, requisitos legais, sensibilidade e criticidade.

Os controles para o gerenciamento da continuidade dos negócios têm a finalidade de neutralizar a possibilidade de interrupções nas atividades do negócio e proteger os processos de negócio críticos contra falhas diversas, não mantendo nenhuma relação com os controles de compliance, uma vez que, para a ISO, a informação é classificada quanto a seu valor e impacto para a organização, mas não quanto a requisitos legais.

A política de segurança da informação dispõe de regras relativas ao estabelecimento do fórum multifuncional para coordenação da segurança da informação.

Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios.

Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos.

O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação.

Disponibilidade é a garantia de que a informação é acessível ou revelada somente a pessoas, entidades ou processos autorizados a acessá-la.

Apesar de recomendável, a aceitação de riscos residuais não precisa necessariamente passar pela aprovação da gestão superior da organização.

A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação

Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos.