ISO 27001 (Sistema de Gestão de Segurança da Informação)
Destaque-se no mercado e aprimore a Segurança da Informação na sua empresa
Para saber mais sobre a implementação da ISO 27001 fale com um especialista da ASR
ISO 27001 – O que é?
A ISO 27001 é uma norma internacional que pode ser utilizada em empresas de todos os portes e segmentos de atuação para descrever como deve ser a Gestão da Segurança da Informação , com a finalidade de manter a confidencialidade, a integridade e a disponibilidade de informações e combater possíveis ameaças.
ISO 27000 é um conjunto de normas técnicas que estabelecem um modelo de Sistema de Segurança da Informação.
Principais Normas da família ISO 27000:
- ISO/IEC 27000 – Sistemas de Gestão da Segurança da Informação – Fundamentos e vocabulário
- ISO/IEC 27001 – Sistemas de Gestão da Segurança da Informação – Requisitos
- ISO/IEC 27002 – Código de prática para controles de segurança da informação
- ISO/IEC 27003 – Diretrizes para implantação de um sistema de gestão da segurança da informação
- ISO/IEC 27004 – Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
- ISO/IEC 27005 – Gestão de riscos de segurança da informação
Para saber mais sobre a nova versão da ISO 27001
A ISO 27001:2022 foi lançada em outubro de 2022 e traz atualizações relacionadas à segurança cibernética, além de apresentar mudanças nos controles de segurança da informação que foram agrupados em 4 temas, a fim de proporcionar mais clareza e foco aos itens necessários para a garantia da segurança da informação.
- Controles organizacionais
- Controles de pessoas
- Controles físicos
- Controles tecnológicos
Quais os benefícios de uma empresa ser certificada pela ISO27001?
- Aumento da privacidade e segurança das informações
- Confiança e satisfação de clientes e parceiros
- Proteção dos dados pessoais tratados
- Diferencial competitivo
- Minimização de riscos de segurança
- Fortalecimento da cultura de segurança
- Conformidade legal e regulatória
ISO27001 e LGPD
A ISO27001 contribui na adequação à LGPD (Lei Geral de Proteção de Dados) no que se refere à segurança e privacidade das informações, proteção dos dados pessoais, minimização de riscos e gestão de incidentes.
As normas ISO/IEC 27001 e ISO/IEC 27701 são excelentes referências para estabelecimento de processos organizacionais alinhados aos principais requisitos da LGPD.
– ISO/IEC 27001- Sistemas de Gestão da Segurança da Informação
– ISO/IEC 27701 – Extensão da ISO/IEC 27001 e ISO/IEC 27002 para Gestão da Privacidade da Informação
ISO 27001 com a ASR
Implementação e custos
A implementação da ISO27001 tem como pressuposto a adoção dos requisitos, políticas, processos, procedimentos, controles e práticas descritas e requeridas pela norma, ajustadas de acordo com o tamanho, maturidade, realidade e objetivo de cada empresa.
O custo e tempo varia de acordo com a realidade de cada organização, alguns detalhes podem influenciar diretamente na complexidade do plano de ação da implementação, como exemplos: número de colaboradores, ativos de informação, elaboração dos documentos, porte da empresa, equipe etc.
- Diagnóstico Inicial
- Relatório de Riscos de Segurança da Informação
- Plano de ações
- Palestra/ Workshop ISO27001
- Consultoria
- Definição de processos
- Conscientização e institucionalização
- Documentação de políticas, diretrizes e procedimentos
- Avaliação de Monitoramento
Kick-off
- Definição de escopo
- Cronograma macro
- Conscientização (Palestra ISO27001)
Diagnóstico Inicial
Avaliação de riscos de Segurança
- Atributos: confidencialidade, integridade, disponibilidade
- Classificação: probabilidade e impacto
- Critérios: aceitação, mitigação, contingência
- Priorização
Planejamento
- Plano de ações
- Recursos humanos e materiais
- Cronograma
- Comunicação
- Indicadores
Implementação
Definição (consultoria) e formalização (documentação) de processos
- Políticas e diretrizes
- Termo de confidencialidade e sigilo
- Procedimentos
- Controles
Capacitação
Conscientização (treinamento) nos processos definidos.
Avaliação de monitoramento
- Verificação de evidências
- Entrevistas com colaboradores
- Relatório de avaliação de riscos de segurança
1. Serão analisadas as documentações criadas;
2. Verificação das atividades de forma prática e sua adequação à documentação e norma ISO 27001.
** durante o período de validade de três anos da certificação, serão realizadas visitas de supervisão pela certificadora.