fbpx

ISO 27001 (Sistema de Gestão de Segurança da Informação)

ISO 27001 – O que é?

ISO 27000 é um conjunto de normas técnicas que estabelecem um modelo de Sistema de Segurança da Informação, que pode ser utilizado em empresas de todos os portes e segmentos de atuação.

A ISO 27001 é uma norma definida pela ISO (International Organization for Standardization) para descrever como deve ser a Gestão da Segurança da Informação em uma empresa, com a finalidade de manter a confidencialidade, a integridade e a disponibilidade de informações e combater possíveis ameaças.

ISO27001 e LGPD

logo LGPD 4
A ISO27001 é aplicável a qualquer tipo de organização e pode ajudar na adequação à LGPD (Lei Geral de Proteção de Dados) no que se refere à segurança e privacidade das informações, proteção dos dados pessoais, avaliação de riscos, reconhecimento no mercado, confiança dos clientes e parceiros etc.

As normas ISO/IEC 27001 e ISO/IEC 27701 são excelentes referências para estabelecimento de processos organizacionais alinhados aos principais requisitos da LGPD.
– ISO/IEC 27001- Sistemas de Gestão da Segurança da Informação
– ISO/IEC 27701 – Extensão da ISO/IEC 27001 e ISO/IEC 27002 para Gestão da Privacidade da Informação

   Principais Normas da família ISO 27000:

  • ISO/IEC 27000 – Sistemas de Gestão da Segurança da Informação – Fundamentos e vocabulário
  • ISO/IEC 27001 – Sistemas de Gestão da Segurança da Informação – Requisitos
  • ISO/IEC 27002 – Código de prática para controles de segurança da informação
  • ISO/IEC 27003 – Diretrizes para implantação de um sistema de gestão da segurança da informação
  • ISO/IEC 27004 – Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
  • ISO/IEC 27005 – Gestão de riscos de segurança da informação

   Objetivos de Controle estabelecidos na norma:

  • Políticas de segurança da informação
  • Organização da segurança da informação
  • Segurança em recursos humanos
  • Gestão de ativos
  • Controle de acesso
  • Criptografia
  • Segurança física e do ambiente
  • Segurança nas operações
  • Segurança nas comunicações
  • Aquisição, desenvolvimento e manutenção de sistemas de informação
  • Relacionamento na cadeia de suprimento
  • Gestão de incidentes de segurança da informação
  • Aspectos da segurança da informação na continuidade do negócio
  • Conformidade

Quais os benefícios de uma empresa ser certificada pela ISO27001?

  • Proteção dos dados pessoais tratados
  • Privacidade e segurança das informações
  • Garantia dos direitos dos titulares de dados
  • Confiança e satisfação dos clientes e parceiros
  • Avaliação de riscos
  • Minimização do risco de vazamento de dados
  • Melhoria contínua
  • Reconhecimento no mercado – adequação a normas e protocolos

ISO 27001 com a ASR

Implementação e custos

A implementação da ISO27001 tem como pressuposto a adoção dos requisitos, políticas, processos, procedimentos, controles e práticas descritas e requeridas pela norma, ajustadas de acordo com o tamanho, maturidade, realidade e objetivo de cada empresa.

O custo e tempo varia de acordo com a realidade de cada organização, alguns detalhes podem influenciar diretamente na complexidade do plano de ação da implementação, como exemplos: número de colaboradores, ativos de informação, elaboração dos documentos, porte da empresa, equipe etc.

  • Diagnóstico Inicial
  • Relatório de Riscos de Segurança da Informação
  • Plano de ações
  • Palestra/ Workshop ISO27001
  • Consultoria
  • Definição de processos
  • Conscientização e institucionalização
  • Documentação de políticas, diretrizes e procedimentos
  • Avaliação de Monitoramento

Kick-off

  • Definição de escopo
  • Cronograma macro
  • Conscientização (Palestra ISO27001)

Diagnóstico Inicial

Avaliação de riscos de Segurança

  • Atributos: confidencialidade, integridade, disponibilidade
  • Classificação: probabilidade e impacto
  • Critérios: aceitação, mitigação, contingência
  • Priorização

Planejamento

  • Plano de ações
  • Recursos humanos e materiais
  • Cronograma
  • Comunicação
  • Indicadores

Implementação
Definição (consultoria) e formalização (documentação) de processos

  • Políticas e diretrizes
  • Termo de confidencialidade e sigilo
  • Procedimentos
  • Controles

Capacitação
Conscientização (treinamento) nos processos definidos.

Avaliação de monitoramento

  • Verificação de evidências
  • Entrevistas com colaboradores
  • Relatório de avaliação de riscos de segurança
    Como obter a certificação?
 
Após concluídas as etapas de implementação, a empresa deve se submeter a uma auditoria externa de certificação junto a uma organização credenciada. A auditoria é baseada em duas etapas:

1. Serão analisadas as documentações criadas;

2. Verificação das atividades de forma prática e sua adequação à documentação e norma ISO 27001.

** durante o período de validade de três anos da certificação, serão realizadas visitas de supervisão pela certificadora.

Open chat
Podemos te ajudar?