Como nós definimos no artigo anterior, as questões internas e externas do nosso SGSI, nós conseguimos juntos entender a organização e o contexto da empresa fictícia que estamos analisando, a "Viaja Comigo".
Com as questões internas e externas em mãos é hora de partirmos para o requisito 4.2.
A ISO/IEC 27001:2022 diz em seu requisito 4.2 que a organização deve determinar:
a) as partes interessadas que são relevantes para o sistema de gestão da segurança da informação;
b) os requisitos relevantes dessas partes interessadas;
c) quais desses requisitos serão endereçados pelo sistema de gestão da segurança da informação.
A palavra chave deste requisito é "parte interessada". Por ela, devemos entender que são todos aqueles que impõem algum tipo de requisito sobre a perspectiva de segurança da informação a organização e de alguma maneira, vão se beneficiar, receber algum tipo de valor provindo do SGSI que está sendo estabelecido. Sabendo disso e concentrando-se agora na empresa fictícia que estamos analisando, a "Viaja Comigo", revisitando o artigo anterior, temos as seguintes partes interessadas:
Investidores |
Diretoria |
Funcionários |
Clientes |
Autoridade Nacional de Proteção de Dados |
Karen (Fornecedor) |
Omiti propositadamente os parceiros mais críticos e outros fornecedores somente para facilitar a nossa análise, mas obviamente pra valer, todas as partes interessadas que influenciam ou pode ser influenciada pelo SGSI deve ser considerado para atender a este requisito. Sendo assim, outras partes poderiam ser levadas em consideração, como por exemplo: Outros órgãos reguladores que exijam requisitos de segurança, Órgãos de certificação, Competidores, Empresas do mesmo grupo, Empresas que dividem o mesmo escritório, Prestadores de Serviços, Mídia e etc...
Se já sei quais são as minhas partes interessadas, atendendo ao requisito 4.2 "a)", precisamos agora declarar quais são os requisitos que elas impõem a organização ou que a organização impõem a elas por meio do SGSI (Requisito 4.2 b). Desta maneira, nossa tabela poderia ficar mais ou menos assim:
Partes interessadas | Necessidades e Expectativas |
Investidores | Esperam comprometimento proativo de todos com a segurança da informação e proteção de dados para preservar a reputação e sustentabilidade a longo prazo da empresa |
Diretoria | Espera que o SGSI forneça uma base sólida para a proteção dos ativos de informação da empresa, redução de riscos, conformidade legal, resposta eficaz a incidente e promoção de uma cultura de segurança da informação e proteção de dados pessoais |
Funcionários | Espera que suas informações pessoais sejam tratadas de maneira segura, bem como recebam treinamentos e conscientização regulares |
Clientes | Esperam confiança, transparência e garantias de proteção adequada de suas informações pessoais e sensíveis |
Autoridade Nacional de Proteção de Dados | Espera que a organização demonstre compromisso com a proteção de dados pessoais e implemente medidas eficazes para garantir a conformidade com a LGPD e a segurança da informação de forma geral |
Karen (Fornecedor) | A Karen sendo fornecedora do principal sistema crítico da Viaja Comigo no modelo SaaS, estabelece em seus termos de uso e contrato que a agência, como cliente, é responsável por gerenciar e utilizar o sistema, garantir o controle de acessos aos dados armazenados, por gerenciar as configurações de segurança disponíveis e treinamento de usuários e conformidade com regulamentos e políticas internas |
E por fim, para atender o requisito requisito 4.2 "c)", podemos por exemplo, indicar em mais uma coluna, como o requisito será atendido. Ficaria mais ou menos assim:
Partes interessadas | Necessidades e Expectativas | Requisito será endereçado pelo SGI? |
Investidores | Esperam comprometimento proativo de todos com a segurança da informação e proteção de dados para preservar a reputação e sustentabilidade a longo prazo da empresa | Sim |
Diretoria | Espera que o SGSI forneça uma base sólida para a proteção dos ativos de informação da empresa, redução de riscos, conformidade legal, resposta eficaz a incidente e promoção de uma cultura de segurança da informação e proteção de dados pessoais | Sim |
Funcionários | Espera que suas informações pessoais sejam tratadas de maneira segura, bem como recebam treinamentos e conscientização regulares | Sim |
Clientes | Esperam confiança, transparência e garantias de proteção adequada de suas informações pessoais e sensíveis | Sim |
Autoridade Nacional de Proteção de Dados | Espera que a organização demonstre compromisso com a proteção de dados pessoais e implemente medidas eficazes para garantir a conformidade com a LGPD e a segurança da informação de forma geral | Toda a parte de segurança será sustentada pelo SGSI mas as particularidades de privacidade exigidas pela LGPD serão cumpridas por meio do programa interno de privacidade que será mantido em paralelo ao SGSI |
Karen | A Karen sendo fornecedora do principal sistema crítico da Viaja Comigo no modelo SaaS, estabelece em seus termos de uso e contrato que a agência, como cliente, é responsável por gerenciar e utilizar o sistema, garantir o controle de acessos aos dados armazenados, por gerenciar as configurações de segurança disponíveis e treinamento de usuários e conformidade com regulamentos e políticas internas | Sim |
Desta forma, concluímos o requisito 4.2 e no próximo artigo iremos consolidar tudo que vimos até agora, formalizando o escopo do nosso SGSI. Até a próxima! : )
Fonte: ISO/IEC 27001:2022 e Chris Hall
Comments