Conforme as melhores práticas da norma ISO/IEC 27002, desde o primeiro momento em que a empresa considera a compra ou o desenvolvimento de um sistema de informação, é necessário que os formulários de segurança façam parte do projeto.
Os sistemas de informação incluem sistemas operacionais, infraestrutura, processos operacionais, produtos prontos, serviços e aplicações que foram desenvolvidas para os usuários. A concepção e implementação do sistema de informação que suporta o processo operacional pode ser um fator determinante na forma como a segurança será configurada.
Os requisitos de segurança precisam ser acordados e documentados antes que os sistema de informação sejam desenvolvidos e/ou implementados.
Quando os requisitos de segurança são documentados durante a análise de risco e especificação dos requisitos para o projeto, eles são justificados, acordados e documentados como parte de um “business case” para um sistema de informação.
É consideravelmente mais barato implementar e manter medidas de segurança durante a fase de concepção do que durante ou após a execução do projeto.
Ao comprar um produto, um teste formal deve ser seguido. O contrato com a o fornecedor deve indicar as exigências que a segurança do produto tem que cumprir.
Se a segurança da funcionalidade do produto não atender aos requisitos, o risco resultante e as medidas de segurança associadas terão que ser repensadas, assim como a questão da compra ou não do produto.
Faça nosso Curso Online preparatório para a certificação ISO 27002
Artigos Relacionados