Conforme as melhores práticas da norma ISO/IEC 27002, desde o primeiro momento em que a empresa considera a compra ou o desenvolvimento de um sistema de informação, é necessário que os formulários de segurança façam parte do projeto.

Os sistemas de informação incluem sistemas operacionais, infraestrutura, processos operacionais, produtos prontos, serviços e aplicações que foram desenvolvidas para os usuários. A concepção e implementação do sistema de informação que suporta o processo operacional pode ser um fator determinante na forma como a segurança será configurada.

Os requisitos de segurança precisam ser acordados e documentados antes que os sistema de informação sejam desenvolvidos e/ou implementados.

Quando os requisitos de segurança são documentados durante a análise de risco e especificação dos requisitos para o projeto, eles são justificados, acordados e documentados como parte de um “business case” para um sistema de informação.

É consideravelmente mais barato implementar e manter medidas de segurança durante a fase de concepção do que durante ou após a execução do projeto.

Ao comprar um produto, um teste formal deve ser seguido. O contrato com a o fornecedor deve indicar as exigências que a segurança do produto tem que cumprir.

Se a segurança da funcionalidade do produto não atender aos requisitos, o risco resultante e as medidas de segurança associadas terão que ser repensadas, assim como a questão da compra ou não do produto.

Faça nosso Curso Online preparatório para a certificação ISO 27002