Respostas
Resposta:
A formalização de uma PSI tem por objetivo preservar a integridade dos dados, garantir sua disponibilidade para as pessoas e os sistemas certos, além de estabelecer a confidencialidade das informações, principalmente das mais críticas para o negócio. Ela deve indicar como os dados são utilizados, descartados após perderem sua relevância para a empresas e os controles e proteções requeridos.
Dada a especificidade de diretrizes, normas e processos que cada empresa precisa contemplar em sua política de segurança da informação, é impossível criar um template-padrão aplicável para qualquer tipo de organização. Por exemplo, negócios do segmento financeiro, como bancos e corretoras, ou da área de saúde, devem contemplar algumas regulamentações específicas na elaboração de sua PSI e na forma como desenham a arquitetura da informação em suas instituições.
Apesar disso, existem 45 normas da família ISO 27000 que indicam boas práticas de forma genérica e outras mais específicas da gestão da segurança da informação. Algumas dessas normas podem servir como um norte na criação da PSI de sua empresa.
Por exemplo, a ISO 27001 é aquela que indica como a estrutura organizacional e as responsabilidades devem atender a requisitos mínimos para a criação de um Sistema de Gestão da Segurança da Informação (SGI). Já a norma ISO 27034-5 trata da estrutura de dados para controle da segurança em aplicativos.