Questões de Tecnologia da Informação - Segurança da Informação - Política de segurança da informação

O proprietário e a classificação da informação devem ser acordados e documentados para cada um dos ativos de informação. O mesmo nível de proteção deve ser identificado e aplicado a todos os ativos de informação.

Um sistema de classificação da informação deve ser usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

A informação deve ser classificada exclusivamente em termos do seu valor, sensibilidade e criticidade para a organização.

A responsabilidade de definir a classificação de um ativo, analisá-lo, e assegurar que ele esteja atualizado e no nível apropriado é de todos os funcionários da organização.

A informação nunca deixa de ser sensível ou crítica, mesmo quando se torna pública.

não necessitam do envolvimento da alta administração, já que são responsabilidade da área de TI.

devem estar alinhadas com as estratégias de negócio da empresa, padrões e procedimentos já existentes.

devem ser concentradas exclusivamente em ações proibitivas e punitivas, para garantir a segurança dos recursos de informação e a responsabilização legal daqueles que infringirem as normas e procedimentos de segurança.

são criadas e implantadas pelo Comitê de Segurança da Informação, constituído na sua totalidade por profissionais das áreas administrativas e de Tecnologia da Informação.

devem abranger todos os serviços e áreas da organização e ser implantadas de uma única vez para minimizar a possível resistência de alguns setores da empresa.

adere parcialmente às expectativas de uma PSI, pois a política deve ser única, e não deve levar em conta características humanas e legais do país no qual ela é aplicada.

adere parcialmente às expectativas de uma PSI, tendo em vista que ela deve ser construída considerando uma linguagem tecnológica desvinculada de adoção de estilos.

adere integralmente a formulação de uma PSI, pois ao elaborar uma política é necessário que ela seja ajustada a cada instituição e deve ser comunicada de maneira que todos entendam.

adere parcialmente às expectativas de uma PSI, porque os atributos do interlocutor não devem constituir relevância, já que todos os usuários, presumivelmente, foram selecionados pela empresa para entenderem a tecnologia usada.

não atende aos propósitos de uma PSI, pois linguagem, estilo e interlocutor não podem sobrepor-se à linguagem tecnológica e é preciso levar em conta a cultura do país no qual ela é aplicada, a linguagem tecnológica utilizada e os níveis de sensibilidade de cada tipo de interlocutor.

É indicado apenas para a elaboração de processos de gestão de segurança.

Descreve todas as características dos processos que devem existir em uma organização para assegurar uma boa segurança de sistemas, mas não define níveis de maturidade para os processos.

Estão sendo identificadas e estudadas as métricas de processo e de segurança.

Foi criado para ser aplicado apenas no desenvolvimento de projetos de software.

Aplica-se apenas a pequenas e médias organizações privadas que possuem um número reduzido de processos.

do documento da política de segurança da informação.

da organização interna da segurança da informação.

do comprometimento da direção com a segurança da informação.

da coordenação da segurança da informação.

de acordos de confidencialidade.