Bem o que preciso colocar numa política de segurança da informação?

Bem o que preciso colocar numa política de segurança da informação?

1.      Precisamos fazer um planejamento, levantando o perfil da empresa.

Analisar o que deve ser protegido, tanto interno como externamente.

2.      Aprovação da política de segurança pela diretoria.

Garantir que a diretoria apoie a implantação da política.

3.      Analise interna e externa dos recursos a serem protegidos.

Estudar o que deve ser protegido, verificando o atual programa de segurança da empresa, se houver, enumerando as deficiências e atores de risco.

4.      Elaborações das normas e proibições tanto físicas, lógicas e humana.

Nesta etapa devemos criar normas relativas a utilizações de programas, utilização de internet, uso de smartphones e tablets, acessos físicos e lógicos, bloqueios de sites, utilização de e-mail, utilização dos recursos tecnológicos, etc.

5.      Aprovação pelo Recursos Humanos

As normas e procedimentos devem ser lidos e aprovado pelo departamento de Recursos Humanos, no que tange as leis trabalhistas e manual interno de funcionários da organização.

6.      Aplicação e Treinamento da Equipe

Elaborar um treinamento prático com recursos didáticos, para apresentar a política de segurança da informação, recolhendo declaração de comportamento dos funcionários. Apolítica deve ficar sempre disponível para todos os colaboradores da organização.

7.      Avaliação periódica

Apolítica de segurança da informação devem ser sempre revistas, nunca podem ficar ultrapassada.

8.      Feedback

A organização deverá designar um colaborador especifico para ficar monitorando a política, a fim de buscar informações ou inocorrências que venham alterar o sistema, tais como vulnerabilidades, mudanças em processo gerenciais ou infra-estrutura.

9.      Atenção a novas tecnologias

O setor de TI deve sempre atento a novas tecnologias e demandas externas, para poder analisar constantemente a PSI  da empresa, um exemplo e a utilização indiscriminadas de dispositivos móveis (smartphones e tablets ) dentro da empresa, também conhecida como Consumerização  de TI e o uso de aplicativos móveis de mensagens de texto e voz,  tudo deve estar bem definido, como regras claras na política de segurança da informação.