Em sua bibliografia Fontes [Fontes 2008] define um Sistema de Gestão de Segurança da Informação ou Information Security Management System (ISMS) como um conjunto de processos, diretrizes, procedimentos e políticas que são metodicamente implantadas com o objetivo de prover segurança aos ativos organizacionais e tecnológicos. Este sistema deve ser proposto ou receber o aval da direção da corporação, suas normas deverão ser seguidas por todos aqueles que tenham relacionamento direto ou indireto com o setor de tecnologia da informação.
A análise de riscos no setor de infraestrutura de TI deve ser priorizada a fim de identificar as falhas e pontos vulneráveis dos sistemas em uso, estes deverão ser corrigidos para que posteriormente sejam auditados. Programas de conscientização e treinamento dos usuários devem ocorrer em paralelo com a implantação do ISMS por serem um elo fraco no processo de segurança.
Outra necessidade do ISMS é a definição de uma política de segurança da informação, que consistem em documentos que descrevem os procedimentos adequados para a utilização dos recursos tecnológicos da corporação, definindo regras e punições caso as regras sejam violadas. Estes documentos devem ser livremente divulgados e sua leitura deve ser incentivada pelos gestores da organização.
Ao buscar conformidade com as normas relativas à série ISO/IEC 27000 em uma organização, acabasse por instituir um sistema de gestão em segurança da informação, em uma visão simplista este sistema considera a proteção dos ativos, o gerenciamento dos riscos, os objetivos de controles e controles implementados, em sua bibliografia Ferreira [Ferreira 2008] afirma que o ISMS pode ser construído de acordo com as seguintes etapas exemplificadas na figura 1.
Em uma organização a implantação de um ISMS tem como fim a proteção dos recursos de informação, permitindo assim que o negócio da organização seja realizado de forma alinhada e contínua. Deve-se ter em mente que a série ISO/IEC 27000 (em especial a norma ISO/IEC 27002) fornece recomendações básicas para a gestão da segurança em um documento completo que marca o ponto de partida da organização rumo a gerenciamento seguro do seu negócio.
Julio Della Flora 