Para manter os requisitos de confidencialidade, integridade e disponibilidade da informação, muitas organizações estão optando por centralizar a responsabilidade pela administração do sistema de gestão da segurança da informação no escritório de segurança / unidade de segurança. É uma tendência, assim como a existência de escritórios de projetos e governança de TI.

A seguir, elenco algumas atividades padrões que podem nortear quem deseja dar os passos iniciais com um projeto de escritório de segurança da informação. Espero que sejam úteis!

1)Definição do líder do escritório
É crucial a escolha de um líder que conheça a área de negócio da organização e seja especialista na metodologia/norma que será utilizada como base (ex: ISO 27001 / 207002). Nem sempre é fácil encontrar um profissional que equilibre bem estas duas habilidades.

2)Definição dos demais papeis e responsabilidades
Analistas de Segurança, auditores e demais papeis envolvidos com o escritório. Lembre-se: o profissional que trabalha diretamente com segurança da informação é aquele que identifica ativos, analisa riscos, propõe tratamento de riscos, escolhe controles e garante a execução destes. O profissional de segurança não é o que instala antivírus e/ou configura as permissões de um usuário de rede. É importante lembrar também que estamos tratando da estruturação de um escritório de segurança da informação para organização como um todo, não apenas para o departamento de TI. [veja também] exemplo de uma política de Segurança da Informação 3) Envolvimento as partes interessadas
A participação da alta direção no projeto é fator crítico de sucesso. Líderes de departamentos, de outros escritórios e profissionais de qualidade, compliance, riscos, continuidade, também devem ser envolvidos o quanto antes.
4) Formalização do escritório, através de documentos que o descrevam
Documentações que descrevem de forma macro o que é o escritório e qual seu papel na organização. É interessante