-
5 Liderança
5.1 5.1 Liderança e comprometimento
A Alta Direção deve demostrar sua liderança e comprometimento em relação ao sistema de gestão da segurança da informação pelos seguintes meios:
a) assegurando que a política de segurança da informação e os objetivos de segurança da informaçao estão estabelecidos e são compatíveis com a direção estratégica da organização;
b) garantindo a integração dos requisitos do sistema de gestão da segurança da informação dentro dos processos da organização;
c) assegurando que os recursos necessários para o sistema de gestão da segurança da informação estejam disponíveis;
d) comunicando a importância de uma gestão eficaz da segurança da informação e da conformidade com os requisitos do sistema de gestão da segurança da informação;
e) assegurando que o sistema de gestão da segurança da informação alcança seus resultados pretendidos;
f) orientando e apoiando pessoas que contribuam para eficácia do sistema de gestão da segurança da informação;
g) promovedo a melhoria contínua; e
h) apoiando outros papéis relevantes da gestão para demostrar como sua liderança se aplica às áreas sob sua responsabilidade.
FONTE: NBR ISO/IEC 27001:2013
-
No texto citado pelo colega MESSIAS, eu entendo que a PSI deve ser aprovada e suportada pela Alta Gestão. Desculpem, mas não vi que é a alta gestão que deve estabelecer a PSI. Até pq, quem faz parte da Alta Gestão não necessariamente deve entender de Segurança da Informação.
Assim, acredito que o correto seria que a PSI fosse criada pelo Comitê de Segurança da Informação, em seguida fosse avaliada e endossada pela Alta Gestão.
-
@George Silva, tudo bem?
Bom, a ISO 27001 (assim como as demais da família 27000) não é propriamente voltada apenas à TI. É voltada a qualquer tipo de organização e/ou departamento. Quando tratamos da ISO 27001 especialmente, as diretivas devem, sempre, vir do alto escalão e só chegar ao operacional (equipe de TI) no último estágio (tanto que na norma em si, o Operacional está apenas na Seção 8... enquanto da 0 à 7 são tratados os aspectitos informativos e de planejamento, ficando pro final, a aplicabilidade pelo time operacional).
Desta forma, quem estabelece a ISO 27001 e suas diretivas, é a Alta Gestão mesmo.
Abraços!
-
Obrigado Marcio.
-
5.2 Política
A Alta Direção deve estabelecer uma politíca de segurança da informação que:
a) seja apropriada ao propósito da organização;
FONTE: NBR ISO/IEC 27001:2013
-
Abordagem top-down, a alta direção é quem deve iniciar tudo quando se trata dessa implementação.
Fortuna Audaces Sequitur
-
Estabelecer a Política de Segurança da Informação é responsabilidade da Alta Direção.
Resposta certa, alternativa c).