Escolar Documentos
Profissional Documentos
Cultura Documentos
3)
Começar processo de implementação com este documento crítico, pois delineia o
trabalho a seguir. A organização pode já ter algo documentado sobre o SGSI, mas
uma revisão é uma boa ideia. O documento deve definir claramente o seguinte:
• as informações que se pretendem proteger,
• onde é que a informação é armazenada (servidores internos,
armazenamento na nuvem, centro de dados, etc.)
• como se acede à informação (interfaces e dependências),
• quem pode aceder às informações e a que níveis
Outra peça chave para completar os requisitos do documento é identificar as
questões internas e externas que podem influenciar o seu SGSI (ISO 27001, cláusula
4.1). A avaliação de riscos a realizar fornecerá mais contexto, então pode-se rever
e ajustar âmbito após a conclusão da avaliação de riscos. Certificar-se de incluir os
papéis e responsabilidades da segurança da informação (ISO 27001, cláusula 5.3),
assim como determinar os recursos necessários (ISO 27001, cláusula 7.1) e
capacidades (ISO 27001, cláusula 7.2).
Nota #1: O âmbito pode ser um documento independente, mas a fusão do
documento com a Política de Segurança da Informação e a inclusão de referências
às partes interessadas (stakeholders) e os requisitos alinhará melhor o SGSI para a
implementação da 27001.