Implementação do SGSI nas Organizações

Aprovação inicial do MSGSI e demonstração da implementação do SGSI

Conforme determinado pela Parte-IS, ponto IS.I/D.OR.250(b) , a primeira edição do Manual de gestão da segurança da informação (MGSI) deve ser aprovada pela ANAC. O procedimento de aprovação pela ANAC segue o mesmo processo utilizado atualmente, de acordo com as especificidades de cada domínio sujeito à supervisão da ANAC, para os pedidos de alterações que carecem de aprovação prévia.

Resumindo, a implementação do SGSI e respetiva aprovação do MGSI, por organizações que já detêm um ou mais certificados válidos, é, para todos os efeitos, uma alteração na organização que requer a verificação da conformidade interna e a gestão da mudança apropriada pelas diversas organizações às quais se aplica a Parte-IS.

Os seguintes documentos devem ser submetidos à ANAC antes da data de aplicabilidade:

> Requerimento específico de cada certificação aplicável (Ex ANAC/EASA Doc.2).

> O MGSI para aprovação (este manual pode ser elaborado, considerando o exemplo no guia disponível no Site da EASA, com as devidas customizações). Juntamente deve ser submetido o Form XXXX preenchido. 
https://www.easa.europa.eu/en/downloads/48697/en;

> Proposta de procedimento de alterações SGSI descrito na Parte-IS IS.I/D.OR.255;

> A Gestão da Mudança incluindo análise de risco inicial identificado:
   - As atividades, instalações e recursos da Organização, bem como os serviços que a Organização opera, fornece, recebe ou mantém.
   - O equipamento, sistemas, dados e informação que contribuem para o funcionamento dos elementos listados no ponto acima.
   - As interfaces que possui com outras Organizações e que podem resultar em exposição mútua a riscos de segurança da informação.
   - Os principais riscos e cenários de ameaça associados, tanto internos como nas interfaces com outras Organizações.

> Auditoria interna Parte IS com o respetivo Relatório
    - O nível de conformidade organizacional e acordo com os critérios descritos nas colunas ISMM da Table 2: Elements to be assessed for “Present” and “Suitable” levels (including readiness to start operating the ISMS do documento disponível no link abaixo: TE - Report

> Nomeação do pessoal afeto à Parte IS anexando a seguinte documentação/evidencias:
    - Curriculum Vitae;
    - Certificado de Habilitações;
    - Formação Manual da certificação, ISMM e Políticas de Segurança;
    - Formação Sistemas de gestão (incluindo sistemas de gestão da segurança e da segurança da informação, e monitorização da conformidade);
    - Formação em técnicas de auditoria e formação em metodologias de análise de causa raiz.
(aplicável apenas ao Compliance Monitoring Manager Part-IS);   -

> Evidência de avaliação de tarefas e competências conforme Appendix VI — Adaptation of the EU Cybersecurity Skills Framework (ECSF).
(aplicável apenas ao Information Security Manager for Part-IS ou Common Responsible Person ou Information Technology manager);

> Evidência de identidade e fiabilidade – declaração da organização de que foi realizada a verificação de antecedentes e inquérito pessoal reforçado (GM1 IS.I/D.OR.240(i)). (aplicável apenas ao Information Security Manager for Part-IS ou Common Responsible Person ou Information Technology manager);