Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
1/8
METODOLOGIA DE GESTO DE
SEGURANA DA INFORMAO
E COMUNICAES
ORIGEM
Departamento de Segurana da Informao e Comunicaes
REFERNCIA NORMATIVA
Instruo Normativa 01 GSI, de 13 de junho de 2008.
ABNT NBR ISO/IEC 27001:2006.
CAMPO DE APLICAO
Esta Norma se aplica no mbito da Administrao Pblica Federal, direta e indireta.
SUMRIO
1. Objetivo
2. Metodologia
3. Ciclo da Metodologia
4. Consideraes Finais
5. Vigncia da Norma
INFORMAES ADICIONAIS
No h
APROVAO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurana da Informao e Comunicaes
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
2/8
OBJETIVO
Definir a metodologia de gesto de segurana da informao e comunicaes utilizada pelos
CICLO DA METODOLOGIA
3.1 (Plan P) Planejar - a fase do ciclo na qual o Gestor de Segurana da Informao e
ou
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
3/8
3.1.2 Definir os objetivos a serem alcanados com a implementao das aes de segurana da
informao e comunicaes, considerando as expectativas ou diretrizes formuladas pela autoridade
decisria de seu rgo ou entidade;
3.1.3 Definir a abordagem de gesto de riscos de seu rgo ou entidade, sendo necessrio:
a) definir uma metodologia de gesto de riscos que seja adequada ao escopo, limites e
objetivos estabelecidos;
b) identificar os nveis de riscos aceitveis e os critrios para sua aceitao, considerando
decises superiores e o planejamento estratgico do rgo ou entidade;
3.1.4 Identificar os riscos, sendo necessrio:
a) identificar os ativos e seus responsveis dentro do escopo onde sero desenvolvidas
as aes de segurana da informao e comunicaes;
b) identificar as vulnerabilidades destes ativos;
c) identificar os impactos que perdas de disponibilidade, integridade, confidencialidade
e autenticidade podem causar nestes ativos;
3.1.5 Analisar os riscos, sendo necessrio:
a) identificar os impactos para a misso do rgo ou entidade que podem resultar de
falhas de segurana, levando em considerao as conseqncias de uma perda de
disponibilidade, integridade, confidencialidade ou autenticidade destes ativos;
b) identificar a probabilidade real de ocorrncia de falhas de segurana, considerando
as vulnerabilidades prevalecentes, os impactos associados a estes ativos e as aes
de segurana da informao e comunicaes atualmente implementadas no rgo
ou entidade;
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
4/8
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
5/8
3.1.9 Obter autorizao da autoridade decisria de seu rgo ou entidade para implementar as
aes de segurana da informao e comunicaes selecionadas, mediante uma Declarao de
Aplicabilidade, incluindo o seguinte:
a) os objetivos e os recursos necessrios para cada ao de segurana da informao e
comunicaes selecionada e as razes para sua seleo;
b) os objetivos de cada ao de segurana da informao e comunicaes que j foram
implementadas em seu rgo ou entidade;
c) um resumo das decises relativas gesto de riscos;
d) justificativas de possveis excluses de aes de segurana da informao e
comunicaes sugeridas pelo Gestor de Segurana da Informao e Comunicaes
e no autorizadas pela autoridade decisria de seu rgo ou entidade.
3.2 (Do D) Fazer - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes implementar as aes de segurana da informao e comunicaes definidas na fase
anterior. Para fazer necessrio:
3.2.1 Formular um plano de metas para cada objetivo das aes de segurana da informao e
comunicaes aprovadas na fase do planejamento em ordem de prioridade, incluindo a atribuio de
responsabilidades, os prazos para execuo, e os custos estimados;
3.2.2 Obter autorizao da autoridade decisria de seu rgo ou entidade para implementar o
plano de metas com a garantia de alocao dos recursos planejados;
3.2.3 Implementar o plano de metas para atender as aes de segurana da informao e
comunicaes aprovadas;
3.2.4 Definir como medir a eficcia das aes de segurana da informao e comunicaes,
estabelecendo indicadores mensurveis para as metas aprovadas;
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
6/8
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
7/8
ou
Reviso
Emisso
Folha
02/IN01/DSIC/GSIPR
00
13/OUT/08
8/8
CONSIDERAES FINAIS
A metodologia apresentada nesta norma deve ser complementar aos primeiros processos de