-
A norma ISO 27002 traz a seguinte passagem:
Convém que a política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação.
-
De acordo com o RFC 2196 (The Site Security Handbook), uma política de segurança consiste num conjunto formal de regras que devem ser seguidas pelos utilizadores dos recursos de uma organização.
As políticas de segurança devem ter implementação realista, e definir claramente as áreas de responsabilidade dos utilizadores, do pessoal de gestão de sistemas e redes e da direção. Deve também adaptar-se a alterações na organização. As políticas de segurança fornecem um enquadramento para a implementação de mecanismos de segurança, definem procedimentos de segurança adequados, processos de auditoria à segurança e estabelecem uma base para procedimentos legais na sequência de ataques.
-
Outra definição segundo a norma 03/IN01/DSIC/GSIPR
4.4 Política de Segurança da Informação e Comunicações (POSIC): documento aprovado pela autoridade responsável do órgão ou entidade da APF, com o objetivo de fornecer diretrizes, critérios e suporte administrativo suficientes à implementação da segurança da informação e comunicações;
Fonte:
http://dsic.planalto.gov.br/documentos/nc_3_psic.pdf
-
Letra B.
Complementando, uma PoSIC compreende todo arcabouço de:
- Diretrizes: definem a estratégia. Por que proteger?
- Normas: definem a tática. O que proteger?
- Procedimentos: definem o operacional. Como fazer para proteger?
Pense numa pirâmide em que as diretrizes (regras) encontram-se no topo e apresentam as regras gerais de alto nível.
Abaixo delas, no meio da pirâmide, encontram-se as normas em que já podem conter algum regramento mais específico.
E, na base da pirâmide, encontram-se os procedimentos que entra na seara das atividades necessárias para se implementar a política da informação.