Resumo

A visão geral das duas Normas são, de mostrar o que uma segurança da informação e de como funciona esta segurança para vários usuários de pequeno porte e de grandes empresas. Sendo assim informar aos usuários, equipe e gerentes, as suas obrigações para a proteção da tecnologia e do acesso à informação.
Convem informar as que a segurança da informação nada mais que uma proteção de informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Ela é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Ela seguida de uma politica de segurança havendo regras pelas quais é fornecida acesso aos recursos tecnológicos da empresa.
Para começar a fazer o processo de implementação é preciso uma fonte que é obtida a partir da análise/avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização, é identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio. Uma outra fonte é a legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização e seus parceiros comerciais contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural.
Um plano de segurança deve definir: a lista de serviços de rede que serão providos; quais áreas da organização proverão os serviços; quem terá acesso aos serviços; como o acesso será provido; quem administrará esses serviços.
Uma vez que os requisitos de segurança da informação e os riscos tenham sido identificados e as decisões para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos