ISO/IEC 27002- Seção 07- Gestão de ativos- Recomendações para classificação

ISO/IEC 27002- Seção 07- Gestão de ativos- Classificação da informação

   A informação possui vários níveis de sensibilidade e criticidade. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial.

    A classificação da informação tem como objetivo assegurar que a informação receba um nível adequado de proteção.

ISO/IEC 27002- Seção 07- Gestão de ativos- Uso aceitável dos ativos

  Convém que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de informações e de ativos associados aos recursos de processamento das informações. Todos os funcionários, fornecedores e terceiros devem seguir as mesmas regras para o uso permitido de informações e de ativos associados aos recursos de processamento da informação, incluindo:  

• Regras para o uso da internet e do correio eletrônico;
• Diretrizes para o uso de dispositivos móveis.

    Convém que funcionários, fornecedores e terceiros que usem ou tenha acesso aos ativos da organização estejam consciente dos limites para o uso das informações e ativos associados da organização aos recursos de processamento da informação.

ISO/IEC 27002- Seção 07- Gestão de ativos- Proprietário dos ativos

Adicionar legenda

  Convém que todas as informações e ativos associados como os recursos de processamento da informação tenha um proprietário designado por uma parte definida da organização. 

Responsabilidades do proprietário:

• Assegurar que as informações e os ativos associados com os recursos de processamento da informação estejam classificados;
• Definir e periodicamente analisar as classificações e restrições ao acesso, levando em conta as políticas de controle de acesso aplicáveis. 

    As tarefas de rotina podem ser delegadas, para um custodiante que cuida do ativos no dia a dia, porém a responsabilidade permanece com o proprietário.

ISO/IEC 27002- Seção 07- Gestão de ativos- Inventário dos ativos

  Convém que a organização identifique todos os ativos e documente a importância desses ativos. Convém que o inventário do ativo inclua todas as informações necessárias que permitam recuperar de um desastre, incluindo o tipo de ativo, formato, localização, informações sobre cópia de segurança, informações sobre licenças e importância do ativo para o negócio.

Tipos de ativos:

• Ativos de informação: base de dados e arquivos, contratos e acordos, documentação de sistemas, informações sobre pesquisas, manuais de usuários, material de treinamento, procedimentos de suporte e operação, planos de continuidade do negócio, procedimentos de recuperação, informações armazenas e etc;
• Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitários;
• Ativos físicos: equipamentos computacionais, equipamentos de comunicação, mídias removíveis e outros equipamentos;
• Serviços: serviço de computação e comunicação, utilidades gerais, por exemplo aquecimento , iluminação, refrigeração e eletricidade;
• Pessoas e suas qualificações, habilidade e experiências;
• Reputação e imagem da organização.

    O processo de compilação de um inventário de ativo é um pré-requisito importante no gerenciamento de riscos.

ISO/IEC 27002- Seção 07- Gestão de ativos- Responsabilidade pelos ativos

  O objetivo da responsabilidade pelos ativos é alcançar e manter a proteção adequada dos ativos da organização, convém que seja feito um inventários de todos os ativos e que os mesmos tenham um responsável.

     Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles.