Definir os papéis e as responsabilidades necessárias para um SGSI, baseado na norma ISO/IEC 27001, nem sempre é uma tarefa fácil.

Uma abordagem comum é iniciar a definição do papel CISO (Chief Information Security Officer) ou a função de gerente SGSI. Garantir que o SGSI está em conformidade com os requisitos das responsabilidades normais e claras, sobre os relatórios de desempenho do SGSI para a gestão de topo, são críticos para assegurar a conformidade com a cláusula 5.3 da ISO / IEC 27001:2013.

Numa pequena organização uma pessoa pode realizar várias funções. No entanto, a administração deve identificar explicitamente o papel (normalmente o CISO ou similar), com a responsabilidade geral pela gestão de segurança da informação , e aos colaboradores devem ser atribuídos papéis e responsabilidades com base na competência  necessária para executar o trabalho. Isto é fundamental para garantir que as tarefas são realizadas de forma eficiente e eficaz.

 

As considerações mais importantes na definição de papéis na gestão de segurança da informação são:

a) a responsabilidade global para as tarefas permanece ao nível da gestão

b) uma pessoa (geralmente o Chief Information Security Officer) é designado para promover e coordenar o processo de segurança da informação

c) cada colaborador é igualmente responsável pela sua tarefa original e por manter, no local de trabalho e na organização, a segurança da informação.

 

Para nos suportar neste etapa vamos usar o controlo A.6.1.1 da ISO / IEC 27001:2013 – Anexo A, a orientação para este controlo na ISO/IEC 27002:2013, a cláusula 6.1.1 e o suporte da ISO/IEC 27003:2010, a cláusula 5.3.2 com as referências para o anexo B, a tabela B.1 – Lista de Papéis e Responsabilidades exemplificadas para a Segurança da Informação.

Lembre-se que a atribuição de responsabilidades de segurança deve ser feito de acordo com as políticas de segurança (ISO/IEC 27002, cláusula 5.1.1, b)

Posted in: Segurança.
Last Modified: Março 1, 2016