Skip to content

Conformidade ISO 27001: O que você precisa saber

A ISO/IEC 27001 é um conjunto de padrões internacionais desenvolvidos para guiar a segurança da informação. Seus componentes de padronização como a ISO/IEC 27001:2013, são desenhadas para ajudar as organizações a implementar, aumentar e continuamente aprimorar o sistema de gerenciamento de segurança da informação (SGSI).

A conformidade com a ISO 27001 não é mandatória. Entretanto, em um mundo onde os hackers estão alvejando os seus dados cada vez mais e os mandatos de privacidade de dados carregam penalidades, seguir os padrões da ISO te ajudará a reduzir riscos, estar em conformidade com requisitos legais, diminuir os seus custos e obter vantagem competitiva. Resumindo, a certificação da ISO 27001 ajudará o seu negócio a atrair e reter clientes.

Este artigo detalha os principais requisitos da ISO 27001 relacionados aos controles de segurança e os passos no processo de certificação. Também mostraremos dicas de como manter a conformidade com a ISO 27001 e explicamos como as soluções da Netwrix podem ajudar.

O que é a ISO 27001?

A ISO/IEC 27001 é um conjunto de padrões de tecnologia da informação feita para ajudar as organizações de qualquer tamanho e setor a implementar um sistema de gerenciamento de segurança da informação. O padrão usa um método com base no risco e é neutro a tecnologia.

O gerenciamento de risco é a ideia central da ISO 27001: Você precisa identificar a informação sensível ou valiosa que requer proteção, determinar as diversas formas que os dados podem ser colocados em risco e implementar controles para controlar cada risco. Risco inclui qualquer ameaça a confidencialidade, integridade ou disponibilidade. O padrão oferece um framework para escolher os controles e processos apropriados.

ISO 27001

Em particular, a ISO 27001 pede que você:

  • Identifique as partes interessadas e as suas expectativas em relação à SGSI
  • Defina o escopo da sua SGSI
  • Defina a sua política de segurança
  • Conduza uma avaliação de risco para identificar riscos de dados existentes e potenciais
  • Definir controles e processos para gerenciar esses riscos
  • Estabelecer objetivos claros para cada iniciativa de segurança da informação
  • Implementar controles e outros métodos de tratamento de risco
  • Medir e aprimorar continuamente a performance do SGSI

Requisitos e controles de segurança

Requisitos da ISO 27001

O padrão é dividido em 2 partes principais. A primeira seção apresenta definições e requisitos nas seguintes clausulas numeradas:

  1. Introdução – Descreve o processo para gerenciar a informação de risco sistematicamente.
  2. Escopo – Especifica requisitos de SGSI genéricos para organizações de qualquer tipo, tamanho ou natureza
  3. Referencias normativas – Lista outros padrões que contém informações adicionais relevante para a determinação da conformidade da ISO 27001 (apenas uma, ISO/IEC 2700 é listada)
  4. Termos e definições – Explica os termos mais complexos usados no padrão
  5. Contexto organizacional – Explica como e porque definir os problemas internos e externos que podem afetar a habilidade da empresa de construir um SGSI e requer que a organização estabeleça, implemente, mantenha e aprimore continuamente o SGSI
  6. Liderança – Requer um gerente sênior demonstrar liderança e comprometimento com o SGSI, com o mandato político e que atribua as funções e responsabilidades de segurança da informação
  7. Planejamento – Descreve os processos para identificar, analisar e planejar o tratamento dos riscos da informação e esclarecer os objetivos das iniciativas de segurança da informação
  8. Suporte – Requer que as organizações atribuam os recursos adequados, aumentem a percepção e preparem toda a documentação necessária
  9. Operação – Detalhe como avaliar e tratar a informação de risco, gerenciar alterações e garantir a documentação apropriada
  10. Avaliação de performance – Requer que a organização monitore, meça e analise os controles e processos do gerenciamento da segurança da informação.
  11. Aprimoramento – Requer que as organizações refinem suas SGSI continuamente, incluindo endereçar o que foi encontrado em auditorias e avaliações.

Referencias de controle de objetivos e controles

A segunda parte, anexo A, detalha um conjunto de controles que pode te ajudar a entrar em conformidade com os requisitos da primeira seção. Sua organização deve selecionar os controles que endereçarão de melhor forma as suas necessidades especificas enquanto você pode suplementar com outros controles conforme necessário.

Leia também:  Auditoria para LGPD

Os controles são agrupados nos seguintes domínios:

  • Políticas de segurança da informação – Para garantir que as políticas sejam escritas e revisadas em linha com as práticas de segurança da organização.
  • Organização da segurança da informação – Para atribuir responsabilidades para tarefas especificas.
  • Segurança de recurso humano – Para garantir que os funcionários e contratantes entendam suas responsabilidades.
  • Gerenciamento de ativos – Para garantir que as organizações identifiquem seus ativos de informação e defina as responsabilidades de proteção apropriadas.
  • Controles de acesso – Para garantir que os funcionários vejam apenas a informação relevante para seus trabalhos
  • Criptografia – Para criptografar dados para garantir a confidencialidade e a integridade.
  • Segurança física e do ambiente – Para prevenir acesso físico não autorizado, dano ou interferência aos dados on premise e controlar o equipamento para prevenir perdas, dano ou roubo de software, hardware e arquivos físicos.
  • Operações de segurança – Para garantir que as instalações de processamento de informação são seguras
  • Comunicações seguras – Para proteger as redes de informação
  • Aquisição, desenvolvimento e manutenção de sistema – Para assegurar tanto os sistemas internos e os que oferecem serviços em redes públicas.
  • Relacionamento com fornecedores – Para gerenciar de forma apropriada acordos contratuais com terceiros.
  • Gerenciamento de incidente de segurança da informação – Para garantir o gerenciamento efetivo e o relato de incidentes de segurança
  • Gerenciamento de informações de segurança de aspectos de continuidade do negócio – Para minimizar interrupções no negócio
  • Conformidade – Para garantir a aderência a leis e regulações relevantes e mitigar riscos de não conformidade

Certificação e conformidade da ISO 27001

Benefícios

Atendendo voluntariamente aos requisitos da ISO 27001, a sua organização pode reduzir proativamente os riscos de segurança da informação e melhorar sua capacidade de cumprir os mandatos de proteção de dados. Indo mais além e adquirindo a certificação da ISO 27001, você demonstra seu comprometimento em proteger os ativos dos seus ativos de dados dos clientes, parceiros, fornecedores e outros. Construir essa confiança pode te ajudar na reputação da sua companhia e te dar vantagem competitiva.

Documentos mandatórios

Diversos documentos são requisitos para demonstrar a conformidade com a ISO 27001, eles são:

  • Escopo de SGSI (clausula 4.3)
  • Política de segurança da informação (clausula 5.2)
  • Objetivos da segurança da informação (clausula 6.2)
  • Evidencia da competência das pessoas trabalhando com a segurança da informação (clausula 7.2)
  • Resultados da Avaliação de risco da informação (clausula 8.2)
  • Programa de auditoria interna e resultados de auditoria conduzidas na SGSI (clausula 9.2)
  • Evidencia de revisões de liderança da SGSI (Clausula 9.3)
  • Evidencia de não conformidade identificadas e ações de correção sugeridas (clausula 10.1)

Definindo o escopo do SGSI

Um dos principais requisitos para a implementação da ISO 27001 é definir um escopo do SGSI. Para isso, você precisa:

  1. Inventariar toda a informação que você armazena de qualquer forma, física ou digital, localmente ou na nuvem.
  2. Identifique as várias formas nas quais as pessoas podem acessar a informação.
  3. Determine quais dados estão no escopo para o seu SGSI e quais estão fora do escopo; Por exemplo, informação que a sua organização não tem controle sobre estaria fora do escopo do seu SGSI.

Processo de certificação

O processo de certificação da ISO 27001 envolve os seguintes passos:

  1. Desenvolva um SGSI que inclua políticas, procedimentos, pessoas e tecnologias.
  2. Realize uma análise interna para identificar não conformidade e ações corretivas.
  3. Convide auditores para realizar uma revisão básica do SGSI
  4. Corrija os problemas que os auditores encontrarem
  5. Faça com que um órgão de certificação credenciado realize uma auditoria profunda nos componentes da ISO 27001 para verificar se você seguiu as políticas e procedimentos.

A certificação pode levar de três a 12 meses. Para tornar o processo de certificação mais custo efetivo, muitas organizações realizam uma analisa preliminar contra os padrões para se ter uma ideia do esforço requerido para implementar quais quer mudanças necessárias.

Leia também:  ISO 37001 e 27001: Contra a Corrupção e o Crime Digital

Custo da certificação

O custo da certificação depende de diversas variáveis, então toda organização tem um orçamento diferente. Os principais custos estão relacionados ao treinamento e literatura, assistência externa, tecnologias a serem atualizadas ou implementadas, tempo e esforço dos funcionários e auditoria de certificação em si.

Duração da certificação

Uma vez que você adquire a certificação, você deve realizar auditorias internas regulares. O corpo de certificação refaz a auditoria pelo menos uma vez por ano e checará as seguintes informações:

  • Se todas as não conformidades foram resolvidas desde a última visita
  • Operação do SGSI
  • Atualizações de documentações
  • Analises de gerenciamento de risco
  • Ações corretivas
  • Monitorar e medir as performances do SGSI

Dicas para atingir e manter a conformidade com a ISO 27001

  • O apoio das partes interessadas é essencial para uma certificação de sucesso. Comprometimento, orientação e recursos de todas as partes interessadas é necessário para identificar alterações necessárias, priorizar e implementar ações de remediação e garantir uma analisa regular do SGSI e seu aprimoramento.
  • Defina o impacto da ISO 27001 na sua organização. Considere as necessidades e os requisitos de todas as partes interessadas, incluindo reguladores e funcionários. Veja os fatores internos e externos influenciando a segurança da sua informação.
  • Escreva uma declaração de aplicabilidade. A declaração deve detalhar quais controles da ISO 27001 se aplicam a sua organização.
  • Realize a análise de risco e remediações regularmente. Para cada avaliação, escreva um plano de tratamento de risco que detalha como cada risco será tratado, tolerado, terminado ou transferido.
  • Avalie a performance do SGSI. Monitore e meça o seu SGSI e os seus controles
  • Implemente treinamentos e programas de conscientização. De aos seus funcionários e contratantes treinamento nos seus processos e procedimentos de segurança e aumente a conscientização da segurança de dados na sua organização.
  • Realize auditorias internas. Descubra e remedie problemas antes que auditores de fora os descubram.

Como o Netwrix ajuda com a conformidade da ISO 27001

A Plataforma de segurança de dados da Netwrix te ajuda a atingir e manter a conformidade com a ISO 27001 permitindo que você:

  • Descubra e classifique dados ao redor dos seus repositórios on-premise e na nuvem.
  • Identificar e priorizar riscos relacionados a TI
  • Monitorar tentativas de login em sistemas, acesso a arquivos, e alterações de dados e configurações para atividade suspeita.
  • Identifica e investigar padrões de ameaça
  • Estabelecer uma governança de acesso de dados forte

Conclusão

Agora que a segurança dos dados é mais essencial para o sucesso do que nunca, a certificação da ISO 27001 oferece uma grande vantagem competitiva. Usando os requisitos e controles do padrão, você será capaz de estabelecer e continuamente aprimorar seu SGSI, demonstrando seu comprometimento com a segurança de dados com parceiros e clientes.

FAQ

  1. Qual o propósito da ISO 27001?

O padrão ISO 27001 foi desenvolvido para ajudar organizações de qualquer tamanho e setor a proteger seus dados usando efetivamente um sistema de gerenciamento de segurança da informação (SGSI).

  1. Qual é o último padrão da ISO 27001?

A última versão oferecida pela ISO/IEC é a 27001:2013. Há uma atualização regional na união europeia chamada ISO/IEC 27001:2017.

  1. Quais são os requisitos da ISO 27001?

A  ISO 27001 requer que as organizações:

  • Entender o contexto organizacional
  • Demonstrar liderança e comprometimento ao SGSI e atribuir as funções de segurança da informação e responsabilidades
  • Desenvolver um plano para identificar, analisar e tratar riscos de informação
  • Atribua recursos adequados para suportar o SGSI
  • Realize avaliações e tratamentos de riscos operacionais
  • Avalie a performance do SGSI
  • Aprimore continuamente o SGSI
  1. Por que a ISO 27001 é importante?

A ISO 27001 protege a confidencialidade, integridade e disponibilidade da informação da organização enquanto ela é compartilhada por terceiros.

  1. Qual a diferença entre a ISO 27001 e a ISO 27002?

A ISO 27001 é o padrão central da série ISO 27000 e contém a implementação dos requisitos para a SGSI. A ISO 27002 é um padrão suplementar que detalha os controles de segurança da informação que as organizações escolhem em implementar, expandindo as descrições no Anexo A da ISO 27001.

  1. Qual a diferença entre a SOX e a ISO 27001?

A ISO 27001 é um padrão voluntario internacional para implementar a SGSI. A SOX 404 é uma lei dos EUA que se aplica a todas as companhias de capital aberto nos EUA.

ISO 27001

Comente o que achou do artigo