Author(s): Pina, João Nuno Esteves
Date: 2012
Persistent ID: http://hdl.handle.net/10400.5/10756
Origin: Repositório da UTL
Subject(s): Information Security Management System, ISO/IEC 27002:2005, auto-avaliação (Português) Information Security Management System, ISO/IEC 27002:2005, self ? evaluation; ISO/IEC 27002:2005; auto-avaliação; self-evaluation
Mestrado em Gestão de Sistemas de Informação
A importância da protecção da informação, associada aos factores de insucesso na implementação de Sistemas de Gestão da Segurança da Informação (SGSI), cria a necessidade de adoptar modelos de planeamento de segurança cada vez mais eficazes nas organizações. Um SGSI pretende garantir a utilização das boas práticas de gestão da segurança da informação, bem como a utilização de mecanismos que maximizem a eficácia dos seus sistemas de informação. Neste sentido, e face aos factores de insucesso verificados na literatura, e aos modelos estudados ao longo da revisão bibliográfica, o principal objectivo deste estudo foi o de procurar analisar o contributo de um mecanismo de auto-avaliação interna prévia na implementação de um SGSI numa organização. O estudo de caso do Ministério das Obras Publicas Transportes e Comunicações ? Secretaria-Geral (MOPTC-SG), apresenta um procedimento de auto-avaliação interna com base nos controlos (ISO/IEC 27002:2005, 2005), aferindo o grau de conformidade do organismo, níveis de performance, níveis de exposição e vulnerabilidade, procedimentos de consciencialização e responsabilização. Os resultados parecem indicar que a utilização destes processos, além de complementar os modelos existentes, permite um conhecimento mais abrangente, consciente, eficaz e antecipado do risco, garantindo à organização uma implementação e utilização mais eficiente dos seus SGSI.
The importance of information protection, associated with factors that may influence the failure of Information Security Management Systems (ISMS) implementation, create the need for more effective security planning models in organizations. An ISMS seeks to ensure the use of good information security management practices, as well as the use of mechanisms that maximize the effectiveness of existing information systems. In this line of thought, given some failure factors observed in the literature, and the models studied throughout the literature review, the main goal of this study was to analyze the possible contribution of an internal self-assessment mechanism prior to the implementation of an ISMS in an organization. The case study of the Secretary-General of the Ministry of Public Works Transport and Communication (MOPTC-SG), presents on such internal self-assessment based on industry standard controls (ISO / IEC 27002:2005, 2005). This set of controls represent a framework that measures the degree of organization compliance, levels of performance, levels of exposure and vulnerability, awareness and accountability procedures. The results seem to show that by using these processes, complemented by existing models, a more comprehensive knowledge, awareness, and early risk assessment a more efficient implementation can be achieved.
