ISO 27001: Características essenciais

Post disponível em / disponible en / available in: Português Español English

Tempo de leitura: 6 minutos

A ISO 27001 é uma norma bastante relevante para empresas que buscam certificação ISO, uma vez que esta é responsável por especificar como deve ser implementado um Sistema de Gestão da Segurança da Informação (SGSI), em ambientes corporativos.

Neste artigo apresentaremos breve histórico sobre a norma ISO 27001, suas principais características e escopo, além de informações gerais sobre o processo de certificação.

A história

A história da norma ISO 27001 faz referência ao British Standard 7799, publicado em 1995. Após sofrer uma série de revisões, esse padrão originou a norma conhecida como ISO/IEC 17799.

Com uma segunda parte do BS 7799 referente a implantação de um Sistema de Gestão de Segurança da Informação e publicada em 1999, foi criada a norma que hoje é conhecida como ISO 27001. Essa norma foi estabelecida em 2005, com a publicação de uma nova revisão tendo sido feita em 2013 para comportar as adaptações necessárias, já que a computação na nuvem, por exemplo, passou a ser uma realidade do universo de TI.

Principais características

Análise de risco

A norma exige que a empresa faça uma análise de riscos de segurança periodicamente e sempre que mudanças significativas forem propostas ou estabelecidas. Para que essa análise seja feita da maneira correta, é preciso estabelecer critérios de aceitação de risco assim como a definição de como esses riscos serão medidos.

Também se devem avaliar as possíveis consequências dos riscos identificados, a probabilidade de que ocorram e seus níveis.

Comprometimento alta gestão

A norma também exige que a alta administração demonstre comprometimento com o SGSI, além de ser essa parte da empresa a responsável em si pela segurança da informação. Os líderes também são responsáveis por assegurar que todos os recursos para a implantação do sistema estejam disponíveis e alocados corretamente e têm a obrigação de orientar colaboradores para que o sistema seja verdadeiramente eficiente.

Definição de objetivos e estratégias

Durante o planejamento, a empresa precisa ter muito claro quais são seus objetivos de segurança e quais serão as estratégias estabelecidas para atingir esses objetivos. Os objetivos, entretanto, não podem ser genéricos, devem ser mensuráveis e considerar requisitos de segurança.

Recursos e competências

A organização também deve garantir que todos os recursos necessários não só para a implementação, mas também para a manutenção do sistema estejam disponíveis. Além disso, é preciso estabelecer quais são as competências necessárias e certificar-se de que as pessoas responsáveis são qualificadas o suficiente é inclusive com documentação comprobatória.

Documentação da informação

A norma exige que toda a informação seja documentada apropriadamente, com identificação, definição e formato. As informações precisam ser atualizadas sempre que houver mudança nas definições iniciais do projeto, sendo necessário que as alterações passem por aprovação, antes de serem formalizadas e consolidadas.

Acompanhamento de desempenho

Nesse momento, os objetivos definidos em passos anteriores devem ser medidos e acompanhados, através da aplicação de indicadores que possibilitem analise da eficiência do sistema.

Melhoria contínua

Uma vez que se atinjam os objetivos quanto ao sistema, é preciso que a empresa implemente e mantenha um sistema de melhoria contínua a fim de corrigir não-conformidades. Essa melhoria pode ser feita, por exemplo, usando análises críticas pela direção e também auditorias internas.

Quais as vantagens de receber a certificação ISO 27001?

Por ser uma certificação internacionalmente conhecida, a ISO 27001 traz vantagens não apenas para a gestão da informação em si, mas também para a empresa como um todo. As principais vantagens incluem:

  • Redução do impacto e da ocorrência de riscos por sua identificação prévia;
  • Aumento da confiabilidade em relação a empresa, já que os clientes sabem que seus dados estão seguros;
  • Melhor adaptação a mudanças, já que todas as informações estão documentadas e a gestão otimizada;
  • Melhoria da organização interna;
  • Atendimento a padrões exigidos por clientes e pela lei;
  • Ganho de vantagem competitiva em geral.

O que é preciso para obter a certificação?

Para a certificação, é necessário que a empresa faça imersão no escopo da norma ISO e inicie o processo de adaptação de sua estrutura, buscando adequação as exigências previstas na norma. Boa parte das empresas, optam pela contração de consultorias especializadas, para auxiliar no processo de certificação.

  • Escopo do SGSI;
  • Política de segurança, gerenciamento e tratamento de riscos;
  • Comprovação de competência das pessoas responsáveis pelo sistema;
  • Planejamento operacional, inclusive de melhoria contínua;
  • Documentações que deixem claro as políticas de confidencialidade, leis relevantes, procedimentos em situações relacionadas a gestão de informação e mais;
  • Decisões documentadas sobre o tratamento de riscos;
  • Resultados de auditorias internas feitas após as mudanças iniciais;
  • Comprovação da inexistência de não-conformidades relacionadas a norma com mudanças feitas após os resultados das auditorias internas.

Após a implantação do SGSI a empresa pode dar início a fase de audições para a certificação. Normalmente o processo de audição é iniciado com a solicitação de pré-auditoria. A pré-auditoria segue os mesmos passos da Auditoria de Certificação, incluindo reunião de abertura, investigação, relato das não-conformidades e reunião de encerramento. Vale ressaltar que a solicitação de pré-auditoria é facultativa, ficando a critério da empresa sua execução.

As auditorias para certificação do SGSI são feitas em duas etapas, iniciando com a auditoria de documentação, também conhecida como fase 1, e continuada com a auditoria de certificação, conhecida como fase 2, cada qual com abrangência específica.

Continue sua leitura

 

Willian Pandini
willian.pandini@ostec.com.br