Politica de Segurança da Informação
Para a implementação de controles de segurança faz-se necessária a criação de um processo de gestão da segurança da informação.
Este processo deve considerar o incentivo à definição de políticas de segurança, cujos escopos devem abarcar o gerenciamento de riscos baseado em análise quantitativa e qualitativa, como análises de custo-benefício e programas de conscientização.
A gestão da segurança da informação inicia-se com a definição de políticas, procedimentos, guias e padrões.
As políticas podem ser consideradas como o mais alto nível de documentação da segurança da informação, enquanto nos níveis mais baixos podemos encontrar os padrões, procedimentos e guias. Isto não quer dizer que as políticas sejam mais importantes que os guias, procedimentos e padrões.
O primeiro documento a ser definido deve conter o comprometimento da alta administração, deixando clara a importância da segurança da informação e dos recursos computacionais para a missão institucional.
É uma declaração que fundamenta a segurança da informação na totalidade da instituição.
Deve conter ainda a autorização para a definição dos padrões, procedimentos e guias de mais baixo nível.
As políticas de alerta não são mandatórias, mas são fortemente incentivadas, normalmente incluindo as consequências da não conformidade com elas.
A política informativa é aquela que existe simplesmente para informar aos usuários de um determinado ambiente.
Não implica necessariamente em requisitos específicos, e seu público-alvo pode ser determinados setores somente ou até mesmo parceiros externos.
Possuindo caráter genérico, pode ser distribuída para parceiros externos, como fornecedores, por exemplo, que acessam a rede do local, sem que isso acarrete o comprometimento da informação interna.
Os regulamentos de segurança são políticos que uma instituição deve implementar em conformidade com legislação em vigor, garantindo aderência a padrões e procedimentos básicos de setores específicos.
Os padrões especificam o uso uniforme de determinadas tecnologias. Normalmente são mandatórios e implementados através de toda a instituição, a fim de proporcionar maiores benefícios.
Os fundamentos ou princípios são semelhantes aos padrões, com pequena diferença. Uma vez que um conjunto consistente de fundamentos seja definido, a arquitetura de segurança de uma instituição pode ser planejada e os padrões podem ser definidos.
Os fundamentos devem levar em conta as diferenças entre as plataformas existentes, para garantir que a segurança seja implementada uniformemente em toda a instituição.