ISO 27002
Normas são padrões definidos, para assegurar a segurança das informações e de praticas efetivas de segurança da informação. (ISSO/IEC 27001:2005)
Políticas e Normas devem ser seguidas, como quebra de resistência na implantação de um projeto de segurança da informação e tecnologia em uma empresa. Apesar da maioria do corpo executivo das empresas estarem conscientes da necessidade da criação e cumprimento de uma Política de Segurança da Informação, faz-se necessário um esforço grande para que as Unidades de Segurança possam lançar mão dos recursos necessários para esta criação e manutenção. A política de segurança da informação é a formalização explícita de quais ações serão realizadas em um sentido único de garantir a segurança e disponibilidade das informações, esta política é de extrema importância, uma vez que, descreve as regras necessárias para o uso seguro das informações e é por meio delas que a estratégia de SI é montada e passada para todas as áreas envolvidas.(Security Officer, 2006)
Hoje nos órgãos públicos, além das próprias políticas de segurança (políticas internas) ainda seguimos as políticas que a lei exige, se a legislação exige um controle, a sua implementação não está aberta a questionamento A EQUIPE DE GERENTES DE SEGURANÇA
Para evitar problemas de conformidade, a equipe de gerentes de TIC, deve estar alinhada e comprometida com as práticas de gestão para buscar sucesso no projeto. Devem ser rigorosos na execução e não podem ser tolerantes a falhas no procedimento. O profissional gerente do projeto de implantação de segurança na organização deve ter capacidade de persuasão e liderança, para conseguir resultados em termos de cooperação e, além disso, deve ter o apoio da alta administração da organização onde atua, isto é imprescindível para uma boa implementação das políticas de segurança. .O profissional de segurança com sua postura pode influenciar na resistência que ele