top of page
Foto do escritorvitormaleite

[Série ISO/IEC 27001] - (Requisito 4.2) - Entendendo as necessidades e expectativas das partes interessadas - Parte 04

Atualizado: 5 de mai.


Como nós definimos no artigo anterior, as questões internas e externas do nosso SGSI, nós conseguimos juntos entender a organização e o contexto da empresa fictícia que estamos analisando, a "Viaja Comigo".


Com as questões internas e externas em mãos é hora de partirmos para o requisito 4.2.


A ISO/IEC 27001:2022 diz em seu requisito 4.2 que a organização deve determinar:

a) as partes interessadas que são relevantes para o sistema de gestão da segurança da informação;
b) os requisitos relevantes dessas partes interessadas;
c) quais desses requisitos serão endereçados pelo sistema de gestão da segurança da informação.

A palavra chave deste requisito é "parte interessada". Por ela, devemos entender que são todos aqueles que impõem algum tipo de requisito sobre a perspectiva de segurança da informação a organização e de alguma maneira, vão se beneficiar, receber algum tipo de valor provindo do SGSI que está sendo estabelecido. Sabendo disso e concentrando-se agora na empresa fictícia que estamos analisando, a "Viaja Comigo", revisitando o artigo anterior, temos as seguintes partes interessadas:

Investidores

Diretoria

Funcionários

Clientes

Autoridade Nacional de Proteção de Dados

Karen (Fornecedor)

Omiti propositadamente os parceiros mais críticos e outros fornecedores somente para facilitar a nossa análise, mas obviamente pra valer, todas as partes interessadas que influenciam ou pode ser influenciada pelo SGSI deve ser considerado para atender a este requisito. Sendo assim, outras partes poderiam ser levadas em consideração, como por exemplo: Outros órgãos reguladores que exijam requisitos de segurança, Órgãos de certificação, Competidores, Empresas do mesmo grupo, Empresas que dividem o mesmo escritório, Prestadores de Serviços, Mídia e etc...


Se já sei quais são as minhas partes interessadas, atendendo ao requisito 4.2 "a)", precisamos agora declarar quais são os requisitos que elas impõem a organização ou que a organização impõem a elas por meio do SGSI (Requisito 4.2 b). Desta maneira, nossa tabela poderia ficar mais ou menos assim:

Partes interessadas

Necessidades e Expectativas

Investidores

Esperam comprometimento proativo de todos com a segurança da informação e proteção de dados para preservar a reputação e sustentabilidade a longo prazo da empresa

Diretoria

Espera que o SGSI forneça uma base sólida para a proteção dos ativos de informação da empresa, redução de riscos, conformidade legal, resposta eficaz a incidente e promoção de uma cultura de segurança da informação e proteção de dados pessoais

Funcionários

Espera que suas informações pessoais sejam tratadas de maneira segura, bem como recebam treinamentos e conscientização regulares

Clientes

Esperam confiança, transparência e garantias de proteção adequada de suas informações pessoais e sensíveis

Autoridade Nacional de Proteção de Dados

Espera que a organização demonstre compromisso com a proteção de dados pessoais e implemente medidas eficazes para garantir a conformidade com a LGPD e a segurança da informação de forma geral

Karen (Fornecedor)

A Karen sendo fornecedora do principal sistema crítico da Viaja Comigo no modelo SaaS, estabelece em seus termos de uso e contrato que a agência, como cliente, é responsável por gerenciar e utilizar o sistema, garantir o controle de acessos aos dados armazenados, por gerenciar as configurações de segurança disponíveis e treinamento de usuários e conformidade com regulamentos e políticas internas

E por fim, para atender o requisito requisito 4.2 "c)", podemos por exemplo, indicar em mais uma coluna, como o requisito será atendido. Ficaria mais ou menos assim:

Partes interessadas

Necessidades e Expectativas

Requisito será endereçado pelo SGI?

Investidores

Esperam comprometimento proativo de todos com a segurança da informação e proteção de dados para preservar a reputação e sustentabilidade a longo prazo da empresa

Sim

Diretoria

Espera que o SGSI forneça uma base sólida para a proteção dos ativos de informação da empresa, redução de riscos, conformidade legal, resposta eficaz a incidente e promoção de uma cultura de segurança da informação e proteção de dados pessoais

Sim

Funcionários

Espera que suas informações pessoais sejam tratadas de maneira segura, bem como recebam treinamentos e conscientização regulares

Sim

Clientes

Esperam confiança, transparência e garantias de proteção adequada de suas informações pessoais e sensíveis

Sim

Autoridade Nacional de Proteção de Dados

Espera que a organização demonstre compromisso com a proteção de dados pessoais e implemente medidas eficazes para garantir a conformidade com a LGPD e a segurança da informação de forma geral

Toda a parte de segurança será sustentada pelo SGSI mas as particularidades de privacidade exigidas pela LGPD serão cumpridas por meio do programa interno de privacidade que será mantido em paralelo ao SGSI

Karen

A Karen sendo fornecedora do principal sistema crítico da Viaja Comigo no modelo SaaS, estabelece em seus termos de uso e contrato que a agência, como cliente, é responsável por gerenciar e utilizar o sistema, garantir o controle de acessos aos dados armazenados, por gerenciar as configurações de segurança disponíveis e treinamento de usuários e conformidade com regulamentos e políticas internas

Sim


Desta forma, concluímos o requisito 4.2 e no próximo artigo iremos consolidar tudo que vimos até agora, formalizando o escopo do nosso SGSI. Até a próxima! : )


37 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page