Como estabelecer requisitos de Segurança da Informação?
"É essencial que uma organização identifique os seus requisitos de Segurança da Informação.
Existem três fontes principais de requisitos de Segurança da Informação.
1. Uma fonte é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócios da organização. Por meio da análise/avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócios.
2. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sócio-cultural.
3. A terceira fonte é um conjunto particular de princípios, objetivos e os requisitos do negócio para o processamento da informação que uma organização tem que desenvolver para apoiar suas operações"
Sobre a questão b.
Os controles considerados essenciais para uma organização, sob o ponto de vista legal, incluem, dependendo
da legislação aplicável:
a) proteção de dados e privacidade de informações pessoais (ver 15.1.4);
b) proteção de registros organizacionais (ver 15.1.3);
c) direitos de propriedade intelectual (ver 15.1.2).
Os controles considerados praticas para a seguranca da informacao incluem:
a) documento da politica de seguranca da informacao (ver 5.1.1);
b) atribuicao de responsabilidades para a seguranca da informacao (ver 6.1.3);
c) conscientizacao, educacao e treinamento em seguranca da informacao (ver 8.2.2);
d) processamento correto nas aplicagoes (ver 12.2);
e) gestao de vulnerabilidades técnicas (ver 12.6);
f) gestao da continuidade do negocio (ver secao 14);
g) gestao de incidentes de seguranga da informacao e melhorias (ver 13.2).