É um "produto" gerado por um conjunto de regras, práticas e padronizações visando a diminuição de riscos a consolidação da segurança da informação.

Não é somente técnico

São a combinação de diferentes tipos de controles: documentação, ferramentas de software, e treinamento de pessoas está envolvido.

Quando implementamos um SGSI, definimos um conjunto de regras, conceitos, padrões e modelos para guiar a nossa organização a um estado de maior segurança dos dados.

A definição de processos e normas implica na diminuição dos vetores de ataque e riscos.

Em sistemas de informação, por padronizar critérios de segurança, podemos diminuir a superfície de ataque disponível

Os processos de comunicação e resposta de incidentes são definidos, e, por isso, a comunicação é mais efetiva em situações de incidentes.

Tudo o que está sobre o escopo do SGSI está sobre rígido controle de qualidade e acesso, diminuindo o impacto de incidentes.

Um framework para a gestão de ativos e processos é criado e seguido, agindo como um hub para a designação de tarefas e comunicação.

Um SGSI tem como foco a proteção da Confidencialidade, Integridade e Disponibilidade dos ativos de informação da organização.

Melhoria da Cultura da organização

Práticas e treinamentos desenvolvem uma mentalidade preocupada com a segurança da organização.

Diminuição de Custos

Por trabalhar primeiramente com prevenção, custos de resposta à incidentes são extremamente reduzidos.

Melhoria Contínua

Um SGSI é continuamente melhorado de maneira a se adpatar ao crescimento da organização.

(PLAN) Planejar

(Do) Fazer

(Check) Checar

(Act) Agir

ISO 27000

Principal conjunto de normas relacionadas a SGSIs que servem de base para o estabelecimento e implantação de um.

GDPR

Regulamentação de proteção de dados instituída pela união européia. Afeta direta e indiretamente os sistemas brasileiros.

Contexto

Somos uma organização grande, com um objetivo enorme. A quantidade de dados e riscos decorrentes são algo a ser levado em conta quando falamos de segurança da informação.

LEgislação

A lei brasileira deve ser levada em conta, a instituição de um SGSI iria nos auxiliar a cumprir com ditas legislações.

Sistemas de Informação

Nossos sistemas irão eventualmente passar por um processo de refatoração e remodelagem. Bancos de dados podem potencialmente ter que ser reestruturados e não possuimos nenhum tipo de guideline e critérios para a aprovação dessas mudanças do ponto de vista de SI.

Pessoas

Nosso projeto é sobre pessoas, de pessoas, para pessoas. Pessoas cometem erros e acertos. Não possuímos processos e práticas para orientar as pessoas o que seria a conduta correta ao lidar com os dados necessários apra nossas operações.