A ISO/IEC 27002 é um padrão de segurança da informação publicado pelo Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC), intitulada Tecnologia da Informação – Técnicas de Segurança – Código e Prática para controles de segurança da informação.
O item 5 da norma trata sobre a “Política de segurança da informação” e no subitem 5.1.2 trata sobre “Análise crítica da política de segurança da informação”, que diz que é conveniente que a segurança da informação seja analisada criticamente a intervalos planejados ou quando mudanças significativas ocorrerem, para assegurar a sua contínua pertinência, adequação e eficácia.
Como diretrizes para implementação da “Análise crítica da política de segurança da informação” a Norma diz que a política de segurança da informação deve possuir um gestor que tenha responsabilidade de gestão aprovada para desenvolvimento, análise crítica e avaliação da política de segurança da informação. A análise crítica deve incluir a avaliação de oportunidades para melhoria da política de segurança da informação da organização e ter um enfoque para gerenciar a segurança da informação em resposta às mudanças ao ambiente organizacional, às circunstâncias no negócio, às condições legais ou ao ambiente técnico.
É conveniente que a análise crítica da política de segurança da informação leve em consideração os resultados da análise crítica pela direção. É conveniente também que sejam definidos procedimentos para análise crítica pela direção, incluindo uma programação ou um período para análise crítica.
As entradas para a análise crítica pela direção devem incluir informações sobre:
a) Realimentação das partes interessadas;
b) Resultados de análises críticas independentes;
c) Situação de ações preventivas e corretivas;
d) Resultados de análises críticas anteriores feitas pela direção;
e) Desempenho do processo de conformidade com a política de segurança da informação;
f) Mudanças que possam afetar o enfoque da organização para gerenciar a segurança da informação, incluindo mudanças no ambiente organizacional, nas circunstâncias do negócio, nas disponibilidades dos recursos, nas questões contratuais, regulamentadores e de aspectos legais ou no ambiente técnico;
g) Tendências relacionadas com as ameaças e vulnerabilidades;
h) Relato sobre incidentes de segurança da informação;
i) Recomendações fornecidas por autoridades relevantes;
As saídas da análise crítica pela direção devem incluir quaisquer declarações e ações relacionadas a:
a) Melhoria do enfoque da organização para gerenciar a segurança da informação e seus processos;
b) Melhoria dos controles e dos objetivos dos controles;
c) Melhoria na alocação de recursos e/ou de responsabilidades.
É importante que um registro da análise crítica feita pela direção seja mantido.