Questões de Tecnologia da Informação - Gestão de segurança da informação - ISO 27001 - 2014

Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança.

Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo.

Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.

Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI.

Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis.

identificar prontamente tentativas e violações de segurança bem-sucedidas, incidentes de segurança da informação, além de prontamente detectar erros nos resultados de processamento.

ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores.

verificar se as chaves públicas e privadas do sistema criptográfico estão sendo corretamente utilizadas como formas indispensáveis de garantir a segurança da informação.

permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas, ou implementadas por meio de tecnologias de informação, são executadas conforme esperado.

determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes.