PRESIDNCIA DA REPBLICA

Gabinete de Segurana Institucional

Departamento de Segurana da Informao
e Comunicaes

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

1/8

METODOLOGIA DE GESTO DE
SEGURANA DA INFORMAO
E COMUNICAES

ORIGEM
Departamento de Segurana da Informao e Comunicaes
REFERNCIA NORMATIVA
Instruo Normativa 01 GSI, de 13 de junho de 2008.
ABNT NBR ISO/IEC 27001:2006.
CAMPO DE APLICAO
Esta Norma se aplica no mbito da Administrao Pblica Federal, direta e indireta.
SUMRIO
1. Objetivo
2. Metodologia
3. Ciclo da Metodologia
4. Consideraes Finais
5. Vigncia da Norma
INFORMAES ADICIONAIS
No h

APROVAO
RAPHAEL MANDARINO JUNIOR
Diretor do Departamento de Segurana da Informao e Comunicaes

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

2/8

OBJETIVO
Definir a metodologia de gesto de segurana da informao e comunicaes utilizada pelos

rgos e entidades da Administrao Pblica Federal, direta e indireta.

2 METODOLOGIA
2.1 A metodologia de gesto de segurana da informao e comunicaes baseia-se no
processo de melhoria contnua, denominado ciclo PDCA (Plan-Do-Check-Act), referenciado pela
norma ABNT NBR ISO/IEC 27001:2006.
2.2 A escolha desta metodologia levou em considerao trs critrios:
a) Simplicidade do modelo;
b) Compatibilidade com a cultura de gesto de segurana da informao em uso nas
organizaes pblicas e privadas brasileiras;
c) Coerncia com as prticas de qualidade e gesto adotadas em rgos pblicos brasileiros.
3

CICLO DA METODOLOGIA
3.1 (Plan P) Planejar - a fase do ciclo na qual o Gestor de Segurana da Informao e

Comunicaes planejar as aes de segurana da informao e comunicaes que sero

implementadas, considerando os requisitos ou pressupostos estabelecidos pelo planejamento
organizacional, bem como as diretrizes expedidas pela autoridade decisria de seu rgo

ou

entidade. Para planejar necessrio:

3.1.1 Definir o escopo e os limites onde sero desenvolvidas as aes de segurana da
informao e comunicaes;

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

3/8

3.1.2 Definir os objetivos a serem alcanados com a implementao das aes de segurana da
informao e comunicaes, considerando as expectativas ou diretrizes formuladas pela autoridade
decisria de seu rgo ou entidade;
3.1.3 Definir a abordagem de gesto de riscos de seu rgo ou entidade, sendo necessrio:
a) definir uma metodologia de gesto de riscos que seja adequada ao escopo, limites e
objetivos estabelecidos;
b) identificar os nveis de riscos aceitveis e os critrios para sua aceitao, considerando
decises superiores e o planejamento estratgico do rgo ou entidade;
3.1.4 Identificar os riscos, sendo necessrio:
a) identificar os ativos e seus responsveis dentro do escopo onde sero desenvolvidas
as aes de segurana da informao e comunicaes;
b) identificar as vulnerabilidades destes ativos;
c) identificar os impactos que perdas de disponibilidade, integridade, confidencialidade
e autenticidade podem causar nestes ativos;
3.1.5 Analisar os riscos, sendo necessrio:
a) identificar os impactos para a misso do rgo ou entidade que podem resultar de
falhas de segurana, levando em considerao as conseqncias de uma perda de
disponibilidade, integridade, confidencialidade ou autenticidade destes ativos;
b) identificar a probabilidade real de ocorrncia de falhas de segurana, considerando
as vulnerabilidades prevalecentes, os impactos associados a estes ativos e as aes
de segurana da informao e comunicaes atualmente implementadas no rgo
ou entidade;

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

4/8

c) estimar os nveis de riscos;

d) determinar se os riscos so aceitveis ou se requerem tratamento utilizando os
critrios para aceitao de riscos estabelecidos em 3.1.3;
3.1.6 Identificar as opes para o tratamento de riscos, considerando a possibilidade de:
a) aplicar aes de segurana da informao e comunicaes alm das que j esto
sendo executadas;
b) aceitar os riscos de forma consciente e objetiva, desde que satisfaam o
planejamento organizacional, bem como a diretrizes expedidas pela autoridade
decisria de seu rgo ou entidade, bem como aos critrios de aceitao de riscos
estabelecidos em 3.1.3;
c) evitar riscos;
d) transferir os riscos a outras partes, por exemplo, seguradoras ou terceirizados;
3.1.7 Selecionar as aes de segurana da informao e comunicaes consideradas
necessrias para o tratamento de riscos. (Alguns exemplos de aes de segurana da informao e
comunicaes so: Poltica de Segurana da Informao e Comunicaes, infra-estrutura de
segurana da informao e comunicaes, tratamento da informao, segurana em recursos
humanos, segurana fsica, segurana lgica, controle de acesso, segurana de sistemas, tratamento
de incidentes, gesto de continuidade, conformidade, auditoria interna, alm de outras que sero
exploradas em outras normas complementares);
3.1.8 Obter aprovao da autoridade decisria de seu rgo ou entidade quanto aos riscos
residuais propostos;

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

5/8

3.1.9 Obter autorizao da autoridade decisria de seu rgo ou entidade para implementar as
aes de segurana da informao e comunicaes selecionadas, mediante uma Declarao de
Aplicabilidade, incluindo o seguinte:
a) os objetivos e os recursos necessrios para cada ao de segurana da informao e
comunicaes selecionada e as razes para sua seleo;
b) os objetivos de cada ao de segurana da informao e comunicaes que j foram
implementadas em seu rgo ou entidade;
c) um resumo das decises relativas gesto de riscos;
d) justificativas de possveis excluses de aes de segurana da informao e
comunicaes sugeridas pelo Gestor de Segurana da Informao e Comunicaes
e no autorizadas pela autoridade decisria de seu rgo ou entidade.
3.2 (Do D) Fazer - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes implementar as aes de segurana da informao e comunicaes definidas na fase
anterior. Para fazer necessrio:
3.2.1 Formular um plano de metas para cada objetivo das aes de segurana da informao e
comunicaes aprovadas na fase do planejamento em ordem de prioridade, incluindo a atribuio de
responsabilidades, os prazos para execuo, e os custos estimados;
3.2.2 Obter autorizao da autoridade decisria de seu rgo ou entidade para implementar o
plano de metas com a garantia de alocao dos recursos planejados;
3.2.3 Implementar o plano de metas para atender as aes de segurana da informao e
comunicaes aprovadas;
3.2.4 Definir como medir a eficcia das aes de segurana da informao e comunicaes,
estabelecendo indicadores mensurveis para as metas aprovadas;

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

6/8

3.2.5 Implementar programas de conscientizao e treinamento, sendo necessrio:

a) assegurar que todo pessoal que tem responsabilidades atribudas no plano de metas
receba o treinamento adequado para desempenhar suas tarefas;
b) manter registros sobre habilidades, experincias e qualificaes do efetivo do rgo
ou entidade relativos segurana da informao e comunicaes;
c) assegurar que todo efetivo do rgo ou entidade esteja consciente da relevncia e
importncia da segurana da informao e comunicaes em suas atividades e como
cada pessoa pode contribuir para o alcance dos objetivos das aes de segurana da
informao e comunicaes;
3.2.6 Gerenciar a execuo das aes de segurana da informao e comunicaes;
3.2.7 Gerenciar os recursos empenhados para o desenvolvimento das aes de segurana da
informao e comunicaes;
3.2.7 Implementar procedimentos capazes de permitir a pronta deteco de incidentes de
segurana da informao e comunicaes, bem como a resposta a incidentes de segurana da
informao e comunicaes.
3.3 (Check C) Checar - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes avaliar as aes de segurana da informao e comunicaes implementadas na fase
anterior. Para checar necessrio:
3.3.1 Executar procedimentos de avaliao e anlise crtica, a fim de:
a) detectar erros nos resultados de processamento;
b) identificar incidentes de segurana da informao e comunicaes;

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

7/8

c) determinar se as aes de segurana da informao e comunicaes delegadas a

pessoas ou implementadas por meio de tecnologia da informao e comunicaes
esto sendo executadas conforme planejado;
d) determinar a eficcia das aes de segurana da informao e comunicaes
adotadas, mediante o uso de indicadores;
3.3.2 Realizar anlises crticas regulares, a intervalos planejados de pelo menos uma vez por
ano;
3.3.3 Verificar se os requisitos ou pressupostos estabelecidos pelo planejamento
organizacional, bem como as diretrizes expedidas pela autoridade decisria de seu rgo

ou

entidade foram atendidos;

3.3.4 Atualizar a avaliao/anlise de riscos a intervalos planejados de pelo menos uma vez
por ano;
3.3.5 Conduzir auditoria interna, tambm denominada auditoria de primeira parte, das aes de
segurana da informao e comunicaes a intervalos planejados de pelo menos uma vez ao ano;
3.3.6 Atualizar os planos de segurana da informao e comunicaes, considerando os
resultados da avaliao e anlise de crtica;
3.3.7 Registrar e levar ao conhecimento da autoridade superior possveis impactos na eficcia
da misso de seu rgo ou entidade.
3.4 (Act A) Agir - a fase do ciclo na qual o Gestor de Segurana da Informao e
Comunicaes aperfeioar as aes de segurana da informao e comunicaes, baseando-se no
monitoramento realizado na fase anterior. Para aperfeioar e promover a melhoria contnua
necessrio:
3.4.1 Propor autoridade decisria de seu rgo ou entidade a necessidade de implementar as
melhorias identificadas.

N mer o da Nor ma Co mp lementar

Reviso

Emisso

Folha

02/IN01/DSIC/GSIPR

00

13/OUT/08

8/8

3.4.2 Executar as aes corretivas ou preventivas de acordo com a identificao de no

conformidade real ou potencial;
3.4.3 Comunicar as melhorias autoridade decisria de seu rgo ou entidade; e
3.4.4
4

Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

CONSIDERAES FINAIS
A metodologia apresentada nesta norma deve ser complementar aos primeiros processos de

Gesto de Segurana da Informao e Comunicaes, previstos na IN 01 GSI, de 13 de junho de

2008, a serem implementados pelos rgos e entidades da Administrao Pblica Federal, direta e
indireta.
5 VIGNCIA DA NORMA
Esta Norma entra em vigor na data de sua publicao.