fbpx

ISO 27001 (Sistema de Gestão de Segurança da Informação)


    metodologia

    ISO 27001 – O que é?

    ISO 27000 é um conjunto de normas técnicas que estabelecem um modelo de Sistema de Segurança da Informação, que pode ser utilizado em empresas de todos os portes e segmentos de atuação.

    A ISO 27001 é uma norma definida pela ISO (International Organization for Standardization) para descrever como deve ser a Gestão da Segurança da Informação em uma empresa, com a finalidade de manter a confidencialidade, a integridade e a disponibilidade de informações e combater possíveis ameaças.

    ISO27001 e LGPD

    A ISO27001 é aplicável a qualquer tipo de organização e pode ajudar na adequação à LGPD (Lei Geral de Proteção de Dados) no que se refere à segurança e privacidade das informações, proteção dos dados pessoais, avaliação de riscos, reconhecimento no mercado, confiança dos clientes e parceiros etc.

    As normas ISO/IEC 27001 e ISO/IEC 27701 são excelentes referências para estabelecimento de processos organizacionais alinhados aos principais requisitos da LGPD.
    – ISO/IEC 27001- Sistemas de Gestão da Segurança da Informação
    – ISO/IEC 27701 – Extensão da ISO/IEC 27001 e ISO/IEC 27002 para Gestão da Privacidade da Informação


    Principais Normas da família ISO 27000:

    • ISO/IEC 27000 – Sistemas de Gestão da Segurança da Informação – Fundamentos e vocabulário
    • ISO/IEC 27001 – Sistemas de Gestão da Segurança da Informação – Requisitos
    • ISO/IEC 27002 – Código de prática para controles de segurança da informação
    • ISO/IEC 27003 – Diretrizes para implantação de um sistema de gestão da segurança da informação
    • ISO/IEC 27004 – Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação
    • ISO/IEC 27005 – Gestão de riscos de segurança da informação

    Objetivos de Controle estabelecidos na norma:

    • Políticas de segurança da informação
    • Organização da segurança da informação
    • Segurança em recursos humanos
    • Gestão de ativos
    • Controle de acesso
    • Criptografia
    • Segurança física e do ambiente
    • Segurança nas operações
    • Segurança nas comunicações
    • Aquisição, desenvolvimento e manutenção de sistemas de informação
    • Relacionamento na cadeia de suprimento
    • Gestão de incidentes de segurança da informação
    • Aspectos da segurança da informação na continuidade do negócio
    • Conformidade

    Quais os benefícios de uma empresa ser certificada pela ISO27001?

    • Proteção dos dados pessoais tratados
    • Privacidade e segurança das informações
    • Garantia dos direitos dos titulares de dados
    • Confiança e satisfação dos clientes e parceiros

    • Avaliação de riscos
    • Minimização do risco de vazamento de dados
    • Melhoria contínua
    • Reconhecimento no mercado – adequação a normas e protocolos


    ISO 27001 com a ASR

    Implementação e custos

    A implementação da ISO27001 tem como pressuposto a adoção dos requisitos, políticas, processos, procedimentos, controles e práticas descritas e requeridas pela norma, ajustadas de acordo com o tamanho, maturidade, realidade e objetivo de cada empresa.

    O custo e tempo varia de acordo com a realidade de cada organização, alguns detalhes podem influenciar diretamente na complexidade do plano de ação da implementação, como exemplos: número de colaboradores, ativos de informação, elaboração dos documentos, porte da empresa, equipe etc.

    • Diagnóstico Inicial
    • Relatório de Riscos de Segurança da Informação
    • Plano de ações
    • Palestra/ Workshop ISO27001
    • Consultoria
    • Definição de processos
    • Conscientização e institucionalização
    • Documentação de políticas, diretrizes e procedimentos
    • Avaliação de Monitoramento

    1. Kick-off

    • Definição de escopo
    • Cronograma macro
    • Conscientização (Palestra ISO27001)

    Diagnóstico Inicial
    Avaliação de riscos de Segurança

    • Atributos: confidencialidade, integridade, disponibilidade
    • Classificação: probabilidade e impacto
    • Critérios: aceitação, mitigação, contingência
    • Priorização

    Planejamento

    • Plano de ações
    • Recursos humanos e materiais
    • Cronograma
    • Comunicação
    • Indicadores




    Implementação
    Definição (consultoria) e formalização (documentação) de processos

    • Políticas e diretrizes
    • Termo de confidencialidade e sigilo
    • Procedimentos
    • Controles

    Capacitação
    Conscientização (treinamento) nos processos definidos.

    Avaliação de monitoramento

    • Verificação de evidências
    • Entrevistas com colaboradores
    • Relatório de avaliação de riscos de segurança

    Como obter a certificação?
    Após concluídas as etapas de implementação, a empresa deve se submeter a uma auditoria externa de certificação junto a uma organização credenciada. A auditoria é baseada em duas etapas:

    1. Serão analisadas as documentações criadas;

    2. Verificação das atividades de forma prática e sua adequação à documentação e norma ISO 27001.

    ** durante o período de validade de três anos da certificação, serão realizadas visitas de supervisão pela certificadora.

    ASR Consultoria
    Privacy Overview

    This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.