Framework de auto-avaliação interna para iniciação de um processo de implementação e certificação ISO/IEC 27001 : caso de estudo MOPTC-SG

A importância da protecção da informação, associada aos factores de insucesso na implementação de Sistemas de Gestão da Segurança da Informação (SGSI), cria a necessidade de adoptar modelos de planeamento de segurança cada vez mais eficazes nas organizações. Um SGSI pretende garantir a utilização das boas práticas de gestão da segurança da informação, bem como a utilização de mecanismos que maximizem a eficácia dos seus sistemas de informação. Neste sentido, e face aos factores de insucesso verificados na literatura, e aos modelos estudados ao longo da revisão bibliográfica, o principal objectivo deste estudo foi o de procurar analisar o contributo de um mecanismo de auto-avaliação interna prévia na implementação de um SGSI numa organização. O estudo de caso do Ministério das Obras Publicas Transportes e Comunicações ? Secretaria-Geral (MOPTC-SG), apresenta um procedimento de auto-avaliação interna com base nos controlos (ISO/IEC 27002:2005, 2005), aferindo o grau de conformidade do organismo, níveis de performance, níveis de exposição e vulnerabilidade, procedimentos de consciencialização e responsabilização. Os resultados parecem indicar que a utilização destes processos, além de complementar os modelos existentes, permite um conhecimento mais abrangente, consciente, eficaz e antecipado do risco, garantindo à organização uma implementação e utilização mais eficiente dos seus SGSI.