Sistema de Gestão de Segurança da Informação

O sistema de gestão de segurança da informação - SGSI - é um sistema não necessariamente informatizado, fundamentado nas normas da família NBR ISO/IEC 27000, que inclui toda a abordagem institucional usada para proteger a informação de acordo com seus princípios e atributos de confidencialidade, disponibilidade, integridade, responsabilidade, autenticidade e criticidade.

Relação dos processos do SGSI - clique para ver os processos

 

De acordo com as normas técnicas referidas, o SGSI deve estabelecer políticas, objetivos, processos e procedimentos para a gestão de segurança da informação, por meio de processos específicos definidos em seu escopo. Na PSI/PJSC o SGSI foi criado no Capítulo II, art. 14 da Resolução 15/2018-TJ, e estabelece os seguintes processos organizacionais:

  • classificação da informação: inventariar e classificar as informações de acordo com sua confidencialidade e associá-las a um proprietário da informação;
  • gestão de riscos de segurança da informação: objetiva minimizar os riscos associados à informação, apresentando as medidas de segurança necessárias e realizando a avaliação contínua por meio de análise sistemática e periódica;
  • gestão de resposta a incidentes em segurança da informação: visa à continuidade do negócio, tentando reduzir a um nível aceitável a interrupção causada por desastres ou falhas, principalmente, nos ativos que suportam os processos críticos de informação do órgão;
  • controle de acesso à informação: o acesso (lógico e físico) deve ser controlado e estar de acordo com as normas e os procedimentos definidos;

  • conscientização e treinamento em segurança da informação: promove a validação das diretrizes da PSI/PJSC e a definição de utilização e responsabilidade com o uso das informações; e

  • gestão de ativos de tecnologia da informação e comunicações: corresponde ao inventário e gerenciamento dos ativos críticos de tecnologia da informação e da comunicação.

O modelo adotado para a estrutura do SGSI é baseado no PDCA (Plan-Do-Check-Act) e contempla quatro partes fundamentais:

  • Planejamento: normatização e documentação de processos e procedimentos;
  • Execução: implementação das ações do planejamento;
  • Avaliação e correção: para determinar se a execução foi realizada de acordo com o planejado e identificar necessidades de melhorias;
  • Registro: foco nas lições aprendidas com o registro de ocorrências e a prática de análises de tendência para prevenção, além da divulgação de resultados.