A norma ISO 27001 é o padrão internacional para a gestão da segurança da informação nas organizações, tanto para a informação física quanto para a digital. Faz parte da família de padrões ISO 27000, que ajuda as organizações a manter seus ativos de informações seguros.
A implementação deste regulamento, adotado por milhares de empresas, públicas e privadas em todo o mundo, estabelece uma abordagem sistemática para o gerenciamento de informações organizacionais confidenciais e garante que elas permaneçam protegidas e disponíveis. Em geral, é uma norma ampla que abrange a segurança técnica, física, pessoal e de processos na empresa.
Neste post vamos trazer a você uma explicação mais detalhada sobre essa norma e quais as vantagens em utilizá-la. Vamos lá?
Para que serve a ISO 27001?
Especificamente, o padrão ISO 27001 estabelece os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Estes sistemas são cada vez mais comuns nas empresas, devido aos novos riscos digitais inerentes a tecnologias como Cloud Computing ou Big Data e ao aumento dos ciberataques.
A norma ISO também inclui requisitos para avaliação e tratamento de riscos de segurança da informação adaptados às necessidades da organização. Os requisitos estabelecidos nesta Norma Internacional são genéricos e aplicáveis a todas as organizações, qualquer que seja seu tipo, tamanho ou natureza.
A ISO 27001 foi projetada para ser compatível e harmonizada com outras normas reconhecidas de sistemas de gestão. Portanto, é ideal para integração em sistemas e processos de gestão existentes.
A versão da ISO 27001 foi primeiramente publicada em 2005 e revisada em 2013 – logo, a versão atual é a ISO/IEC 27001:2013.
Implementação da ISO 27001: Principais vantagens
A principal vantagem de implementar a norma ISO 27001 é, obviamente, garantir que as informações tratadas pela empresa estejam bem protegidas. No entanto, sua implementação também ajudará a reduzir os custos que poderiam ser derivados de incidentes de segurança na empresa.
Por outro lado, ter um Sistema de Gestão de Segurança da Informação (SGSI) também facilitará para a organização o cumprimento de todos os requisitos legais já existentes no campo da proteção da informação. Por exemplo, permitirá cumprir corretamente o novo Regulamento Geral de Proteção de Dados (RGPD).
Em que consiste?
A norma ISO 27001, que é um padrão internacional, possui duas partes distintas:
– A primeira parte trata da definição das regras e requisitos para o cumprimento da norma. Nesta parte, são abordados os aspectos descritos no diagrama a seguir.
– A segunda parte da norma é conhecida como ANEXO A e consiste em um conjunto de controles que as organizações precisam implementar em diversas áreas.
A estrutura global da norma ISO 27001 pode ser apresentada da seguinte forma:
As cláusulas que se referem às exigências do ciclo de melhoria contínua estão destacadas em azul, as cláusulas que abrangem os requisitos gerais do Sistema de Gestão de Segurança da Informação (SGSI) são identificadas em verde, e o anexo que inclui os objetivos de controle e seus controles correspondentes são mostrados em castanho.
Fonte: https://www.27001.pt/iso27001_3.html
Vantagens de obter a certificação ISO/IEC 27001
O padrão adota uma abordagem global para segurança da informação e proteção de ativos. O padrão ISO/IEC 27001 ajudará você a proteger suas informações com base nos seguintes princípios:
- A confidencialidade garante que as informações sejam acessíveis apenas a pessoas autorizadas a ter acesso.
- A integridade protege a precisão e integridade das informações e métodos de processamento.
- A disponibilidade garante que os usuários autorizados tenham acesso às informações e aos ativos associados quando necessário.
- Proteção técnica contra fraude informática
Fases para implementar um Sistema de Gestão de Segurança da Informação
As fases do processo de implantação de um SGSI baseado na norma ISO 27001 podem ser resumidas em 10 pontos fundamentais:
- Obtenção de apoio de gestão: A gestão da organização deve apoiar a implementação do SGSI desde o início, apoiando e supervisionando as medidas adotadas.
- Definição do escopo e inventário de ativos: O escopo descreve a extensão e os limites do SGSI. Também é necessário preparar e manter um inventário de todas as informações de valor para a empresa.
- Análise de risco: É importante ter uma boa análise de risco e plano de tratamento.
- Desenvolvimento e implementação do programa de implementação do ISMS: Consiste no próprio projeto de implementação.
- Ferramentas de operação do sistema: são os documentos que suportam a operação do ISMS. Entre eles deve estar o plano de continuidade.
- Auditoria interna: Um plano de auditoria interna deve ser estabelecido para revisar o ISMS dentro do processo de melhoria contínua.
- Ações corretivas: Para cada não conformidade detectada na auditoria, uma ou mais medidas corretivas devem ser propostas.
- Auditoria de certificação: Tem de ser realizada por uma entidade externa e certificada. Se for aprovado, obtém-se a certificação ISO/IEC 27001.
- Operação integrada à rotina do SGSI: Nesta fase entende-se que os processos, políticas e controles da norma estão integrados à rotina de operação da organização.
- Auditorias anuais de acompanhamento: Estas auditorias podem ser realizadas por um auditor interno mas o ideal é que sejam realizadas por uma entidade externa.
Certificação na ISO 27001
Outra característica deste padrão de Segurança da Informação é que ele é um padrão certificável. Na verdade, é a única norma da família ISO 27000 que pode ser certificada.
Assim, ter a certificação ISO 27001 permite que a empresa se diferencie das demais que não possuem o certificado. Para os clientes, isso pode ser uma vantagem comercial significativa. Ainda que, os usuários vão valorizar positivamente que uma empresa se preocupe em certificar seu sistema de gestão de segurança da informação.