Security certification for organizations. A framework to manage information security

Abstract

A segurança da informação nas organizações extravasa o domínio tecnológico. As organizações para proporcionarem uma maior protecção para a sua informação, além de implementar sistemas de protecção de cariz tecnológico têm de modificar os seus procedimentos internos e promover a adopção de uma atitude de segurança por parte dos seus colaboradores. Neste contexto, as organizações têm que assumir uma perspectiva de gestão face à segurança. Um número crescente de organizações procuram demonstrar aos seus pares que possuem um modelo de gestão de segurança da informação, através da obtenção da certificação BS 7799-2 (futura ISO 27001). A presente dissertação examina a aplicação dos requisitos desta certificação britânica de gestão de segurança numa organização de pequena dimensão, tendo como finalidade apresentar e discutir uma metodologia de implantação de gestão da segurança da informação, adequada às pequenas e médias organizações.

Information security in organizations is more than a technological issue. To attain higher information security, organizations have to implement technological safeguards, as well as modify their internal procedures and promote the adoption of a security attitude by their employees. Therefore, organizations have to adopt a managerial approach towards security. An increasing number of organizations aimed to demonstrate to their peers that they possess an internal model of information security management through the attainment of the BS 7799-2 certification (future ISO 27001). The present dissertation examines the application of the requirements of this British certification of security management in a small sized organization, with the objective of presenting and discussing an implementation methodology of information security management in small and medium sized organizations.

Keywords: ; ; Risk Management; ISO/IEC 17799;