Kick off ISO 27001

1. SEGURANÇA
DA
INFORMAÇÃ
O
ISO 27001

2. AGENDA
• O que é a norma ISO 27001?
• Para quem é a ISO 27001?
• O que é avaliado na empresa?
• Quanto tempo em média demora a certificação é o custo?
• Benefícios?
• Etapas

3. O que é a norma
ISO 27001?
O que significa ISO
(International Organization for Standardization)?
Trata-se de uma organização não-
governamental e independente,
que tem como objetivo desenvolver e promover normas,
testes, padronizações e certificações que facilitam as relações
entre diferentes nações.
Fundada em 1947 e hoje conta com membros de 165 países.
No Brasil, ela é representada pela Associação Brasileira de
Normas Técnicas (ABNT).
•Familia ISO 27000
É um
conjunto de padrões que fornecem controles de melhores prát
icas que as organizações podem implementar para melhorar a
segurança. Descreve os requisitos do Sistema de Gestão de
Segurança
da Informação (SGSI) buscando atender os pilares (Confidencia
ISO27001
Foi atualizada em 2022, sofrendo alterações nos controles a serem imple
mentados:

4. Para quem é a ISO 27001?
•A certificação ISO 27001 é indicada para todas as empresas que desejam estabelecer
uma imagem de responsabilidade e confiabilidade para o mercado.
•O compliance com a norma, demonstra que a empresa trata adequadamente todas as
informações sensíveis manejadas internamente, se mostrando confiável para seus clientes,
investidores e sócios.
•Vale ressaltar que há legislações como a LGPD (Lei Geral de Proteção de Dados) que
determinam diversas boas práticas para o tratamento de informações. Por isso, a ISO 27001
pode cumprir um papel importante para os negócios e evitando multas pelo descumprimento
de demandas legais ou regulatórias.

5. O que é
avaliado
na
empresa?

6. Quanto tempo em média demora a
certificação é o custo?
O tempo e o custo de implementação
da norma ISO 27001 podem variar de
acordo com o escopo a ser
definido. Alguns detalhes podem
influenciar diretamente na
complexidade do plano de ação da
implementação, como o número de
colaboradores, ativos de informação,
elaboração dos documentos, equipe,
aquisição de ferramentas, entre
outros. Mas segundo alguns
especialistas em média, uma empresa
de porte médio que aplica as
variáveis acima consegue obter a
certificação em 12 meses.

7. BENEFICIO
S

8. ETAPAS

9. OBRIGADO!

10. QuantoscontrolesexistemnaISO27001?
Existem 114 controles listados na ISO 27001 – seria uma violação de direitos de propriedade intelectual se eu listasse todos os controles aqui, mas deixe-me apenas explicar como os controles estão
estruturados e o propósito de cada uma das 14 seções do Anexo A:
 A.5 Políticas de segurança da informação – controles sobre como as políticas são escritas e revisadas
 A.6 Organização da segurança da informação – controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto
 A.7 Segurança em recursos humanos – controles para antes da contratação, durante e após a contratação
 A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias
 A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários
 A.10 Criptografia – controles relacionados a gestão de chaves criptográficas
 A.11 Segurança física e do ambiente – controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa
limpa e tela limpa, etc.
 A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de
eventos, monitoramento, instalação, vulnerabilidades, etc.
 A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc.
 A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte
 A.15 Relacionamento na cadeia de suprimento – controles sobre o que incluir em acordos e como monitorar os fornecedores
 A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências
 A.17 Aspectos da segurança da informação na gestão da continuidade do negócio – controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e
revisão e redundância da TI
 A.18 Conformidade – controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da
informação