2. AGENDA
• O que é a norma ISO 27001?
• Para quem é a ISO 27001?
• O que é avaliado na empresa?
• Quanto tempo em média demora a certificação é o custo?
• Benefícios?
• Etapas
3. O que é a norma
ISO 27001?
O que significa ISO
(International Organization for Standardization)?
Trata-se de uma organização não-governamental e independente,
que tem como objetivo desenvolver e promover normas,
testes, padronizações e certificações que facilitam as relações entr
e diferentes nações.
Fundada em 1947 e hoje conta com membros de 165 países.
No Brasil, ela é representada pela Associação Brasileira de
Normas Técnicas (ABNT).
• Familia ISO 27000
É um
conjunto de padrões que fornecem controles de melhores práticas
que as organizações podem implementar para melhorar a seguran
ça. Descreve os requisitos do Sistema de Gestão de Segurança
da Informação (SGSI) buscando atender os pilares (Confidencialid
ade, integridade, disponibilidade e autenticidade).
ISO27001
Foi atualizada em 2022, sofrendo alterações nos controles a serem imple
mentados:
4. Para quem é a ISO 27001?
• A certificação ISO 27001 é indicada para todas as empresas que desejam estabelecer
uma imagem de responsabilidade e confiabilidade para o mercado.
• O compliance com a norma, demonstra que a empresa trata adequadamente todas as
informações sensíveis manejadas internamente, se mostrando confiável para seus clientes,
investidores e sócios.
• Vale ressaltar que há legislações como a LGPD (Lei Geral de Proteção de Dados) que
determinam diversas boas práticas para o tratamento de informações. Por isso, a ISO 27001 pode
cumprir um papel importante para os negócios e evitando multas pelo descumprimento de demandas
legais ou regulatórias.
6. Quanto tempo em média demora a
certificação é o custo?
O tempo e o custo de implementação
da norma ISO 27001 podem variar de
acordo com o escopo a ser
definido. Alguns detalhes podem
influenciar diretamente na
complexidade do plano de ação da
implementação, como o número de
colaboradores, ativos de informação,
elaboração dos documentos, equipe,
aquisição de ferramentas, entre
outros. Mas segundo alguns
especialistas em média, uma empresa
de porte médio que aplica as
variáveis acima consegue obter a
certificação em12 meses.
10. QuantoscontrolesexistemnaISO27001?
Existem 114 controles listados na ISO 27001 – seria uma violação de direitos de propriedade intelectual se eu listasse todos os controles aqui, mas deixe-me apenas explicar como os controles estão estruturados e o propósito de cada uma das 14 seções
do Anexo A:
A.5 Políticas de segurança da informação – controles sobre como as políticas são escritas e revisadas
A.6 Organização da segurança da informação – controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto
A.7 Segurança em recursos humanos – controles para antes da contratação, durante e após a contratação
A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias
A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários
A.10 Criptografia – controles relacionados a gestão de chaves criptográficas
A.11 Segurança física e do ambiente – controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc.
A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc.
A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc.
A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte
A.15 Relacionamento na cadeia de suprimento – controles sobre o que incluir em acordos e como monitorar os fornecedores
A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências
A.17 Aspectos da segurança da informação na gestão da continuidade do negócio – controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI
A.18 Conformidade – controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação