fbpx

ISO 27001 (Sistema de Gestão de Segurança da Informação)


    metodologia

    ISO 27001 – O que é?

    ISO 27000 é um conjunto de normas técnicas que estabelecem um modelo de Sistema de Segurança da Informação, que pode ser utilizado em empresas de todos os portes e segmentos de atuação.

    A ISO 27001 é uma norma definida pela ISO (International Organization for Standardization) para descrever como deve ser a Gestão da Segurança da Informação em uma empresa, com a finalidade de manter a confidencialidade, a integridade e a disponibilidade de informações e combater possíveis ameaças.

    ISO27001 e LGPD

    A ISO27001 é aplicável a qualquer tipo de organização e pode ajudar na adequação à LGPD (Lei Geral de Proteção de Dados) no que se refere à segurança e privacidade das informações, proteção dos dados pessoais, avaliação de riscos, reconhecimento no mercado, confiança dos clientes e parceiros etc.

    As normas ISO/IEC 27001 e ISO/IEC 27701 são excelentes referências para estabelecimento de processos organizacionais alinhados aos principais requisitos da LGPD.
    – ISO/IEC 27001- Sistemas de Gestão da Segurança da Informação
    – ISO/IEC 27701 – Extensão da ISO/IEC 27001 e ISO/IEC 27002 para Gestão da Privacidade da Informação


    Principais Normas da família ISO 27000:

    • ISO/IEC 27000 – Sistemas de Gestão da Segurança da Informação – Fundamentos e vocabulário
    • ISO/IEC 27001 – Sistemas de Gestão da Segurança da Informação – Requisitos
    • ISO/IEC 27002 – Código de prática para controles de segurança da informação
    • ISO/IEC 27003 – Diretrizes para implantação de um sistema de gestão da segurança da informação
    • ISO/IEC 27004 – Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
    • ISO/IEC 27005 – Gestão de riscos de segurança da informação

    Objetivos de Controle estabelecidos na norma:

    • Políticas de segurança da informação
    • Organização da segurança da informação
    • Segurança em recursos humanos
    • Gestão de ativos
    • Controle de acesso
    • Criptografia
    • Segurança física e do ambiente
    • Segurança nas operações
    • Segurança nas comunicações
    • Aquisição, desenvolvimento e manutenção de sistemas de informação
    • Relacionamento na cadeia de suprimento
    • Gestão de incidentes de segurança da informação
    • Aspectos da segurança da informação na continuidade do negócio
    • Conformidade

    Quais os benefícios de uma empresa ser certificada pela ISO27001?

    • Proteção dos dados pessoais tratados
    • Privacidade e segurança das informações
    • Garantia dos direitos dos titulares de dados
    • Confiança e satisfação dos clientes e parceiros

    • Avaliação de riscos
    • Minimização do risco de vazamento de dados
    • Melhoria contínua
    • Reconhecimento no mercado – adequação a normas e protocolos


    ISO 27001 com a ASR

    Implementação e custos

    A implementação da ISO27001 tem como pressuposto a adoção dos requisitos, políticas, processos, procedimentos, controles e práticas descritas e requeridas pela norma, ajustadas de acordo com o tamanho, maturidade, realidade e objetivo de cada empresa.

    O custo e tempo varia de acordo com a realidade de cada organização, alguns detalhes podem influenciar diretamente na complexidade do plano de ação da implementação, como exemplos: número de colaboradores, ativos de informação, elaboração dos documentos, porte da empresa, equipe etc.

    • Diagnóstico Inicial
    • Relatório de Riscos de Segurança da Informação
    • Plano de ações
    • Palestra/ Workshop ISO27001
    • Consultoria
    • Definição de processos
    • Conscientização e institucionalização
    • Documentação de políticas, diretrizes e procedimentos
    • Avaliação de Monitoramento

    1. Kick-off

    • Definição de escopo
    • Cronograma macro
    • Conscientização (Palestra ISO27001)

    Diagnóstico Inicial
    Avaliação de riscos de Segurança

    • Atributos: confidencialidade, integridade, disponibilidade
    • Classificação: probabilidade e impacto
    • Critérios: aceitação, mitigação, contingência
    • Priorização

    Planejamento

    • Plano de ações
    • Recursos humanos e materiais
    • Cronograma
    • Comunicação
    • Indicadores




    Implementação
    Definição (consultoria) e formalização (documentação) de processos

    • Políticas e diretrizes
    • Termo de confidencialidade e sigilo
    • Procedimentos
    • Controles

    Capacitação
    Conscientização (treinamento) nos processos definidos.

    Avaliação de monitoramento

    • Verificação de evidências
    • Entrevistas com colaboradores
    • Relatório de avaliação de riscos de segurança

    Como obter a certificação?
    Após concluídas as etapas de implementação, a empresa deve se submeter a uma auditoria externa de certificação junto a uma organização credenciada. A auditoria é baseada em duas etapas:

    1. Serão analisadas as documentações criadas;

    2. Verificação das atividades de forma prática e sua adequação à documentação e norma ISO 27001.

    ** durante o período de validade de três anos da certificação, serão realizadas visitas de supervisão pela certificadora.

    Podemos te ajudar?