Definição

A auditoria do Sistema de Gestão da Segurança da Informação (SGSI) é um processo sistemático e documentado que envolve a coleta de evidências para avaliar a conformidade da organização com os requisitos estabelecidos pela ABNT NBR ISO/IEC 27001. Este processo ajuda a assegurar a eficácia da gestão da segurança da informação e a identificação de áreas de melhoria.

Fatos principais

  • A auditoria deve considerar a compreensão da organização sobre seu contexto interno e externo e sobre as necessidades das partes interessadas pertinentes ao SGSI [source].
  • É fundamental que o auditor verifique se a alta direção da organização apoia e está comprometida com a efetividade do SGSI, o que inclui avaliar sua política de segurança da informação e objetivos relacionados [source].

Relações

Referências legais

  • N/A

Contradições / incertezas

  • Não foram identificadas contradições nas informações disponíveis.

Notas

A norma especifica detalhadamente as diretrizes práticas que os auditores devem seguir durante a auditoria do SGSI, incluindo a avaliação da política de segurança da informação e a adequação dos processos de gestão de riscos. É essencial que a organização tenha clareza sobre quais riscos precisa gerenciar e como isso se relaciona com os objetivos estratégicos.