fornecer diretrizes e suporte administrativo sufi cientes à elaboração das políticas e das normas da segurança da informação e comunicações.

fornecer diretrizes, critérios e suporte administrativo sufi cientes à implementação da segurança da informação e comunicações.

fornecer planos e procedimentos suficientes à definição de todas as políticas da governança de segurança da informação e comunicações.

fornecer sugestões e orientações suficientes para a implementação da governança de segurança da informação e comunicações.

fornecer suporte técnico à implementação das normas e procedimentos da segurança da informação e comunicações nas áreas de negócios.

aplicados integralmente com frequência e flexíveis com relação a plataformas.

adaptáveis, e testados e atualizados com frequência.

testados de 3 em 3 anos e atualizados com frequência.

atualizados apenas quando houver upgrade dos sistemas operacionais.

atualizados com frequência e testados apenas quando houver alteração de mais de 30% da infraestrutura de TI.

processos de manutenção de sistemas críticos contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada no menor tempo possível.

serviços táticos de TI contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada no menor tempo possível.

processos de log e de auditoria contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada imediatamente.

processos críticos contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada em tempo hábil, se for o caso.

proteger os processos da cadeia de valor da TI contra efeitos de falhas ou desastres signifi cativos, e assegurar a sua retomada em até uma hora após o incidente.

conter o registro dos incidentes de segurança da organização.

revelar informações sensíveis da organização.

ser aprovado pela direção, bem como publicado e comunicado para todos que tenham contato com a organização.

conter uma declaração de comprometimento elaborada por todos aqueles que atuam na organização, inclusive pela direção.

apresentar uma declaração de aplicabilidade dos controles de segurança da informação, além de definir como será o processo de gestão de riscos.

Contém 21 seções de controles de segurança da informação, que juntas totalizam 59 categorias principais que abordam a análise/avaliação e o tratamento de riscos.

Define avaliação de riscos como um conjunto de atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Geralmente inclui o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.

Define política como sendo as intenções e diretrizes globais formalmente expressas pela direção e define risco como sendo a combinação da probabilidade de um evento e de suas consequências.

Define segurança da informação como forma de gerenciar o risco, incluindo políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestão ou legal.

Tem como objetivo geral especificar os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.