Convém que a análise crítica independente seja iniciada pela direção. Tal análise crítica independente é necessária para assegurar a contínua pertinência, adequação e eficácia do enfoque da organização para gerenciar a segurança da informação. A análise crítica deve incluir a avaliação de oportunidades para a melhoria e a necessidade de mudanças para o enfoque da segurança da informação, incluindo a política e os objetivos de controle.
Critérios para análise independente:
- Execução por pessoas independente da área avaliada;
- Pessoas que realizem estas análises possuam habilidades e experiências apropriadas;
- Tomada de ações corretivas;
- Registros e relatos para a direção que iniciou a análise crítica.
Convém que as áreas onde os gerentes regularmente fazem análise crítica possam também ser analisadas criticamente de forma independente. Técnicas para a análise crítica podem incluir entrevista com a gerência, verificação de registro ou análise crítica de documentos da política de segurança da informação.
Nenhum comentário:
Postar um comentário