O que é a ISO 27001?

Sua introdução simples aos fatos básicos
what-is-iso27001-video-thumbnailA ISO 27001 é um padrão internacional publicado pela Organização Internacional de Padronização (ISO) e descreve como gerenciar a segurança da informação em uma empresa. A última revisão desta norma foi publicada em 2013 e seu título completo agora é ISO / IEC 27001: 2013. A primeira revisão do padrão foi publicada em 2005 e foi desenvolvida com base no padrão britânico BS 7799-2.

A ISO 27001 pode ser implementada em qualquer tipo de organização, com ou sem fins lucrativos, privada ou estatal, pequena ou grande. Foi escrito pelos melhores especialistas do mundo na área de segurança da informação e fornece metodologia para a implementação do gerenciamento de segurança da informação em uma organização. Também permite que as empresas sejam certificadas, o que significa que um organismo de certificação independente confirmou que uma organização implementou a segurança da informação em conformidade com a ISO 27001.

A ISO 27001 se tornou o padrão de segurança da informação mais popular em todo o mundo e muitas empresas certificaram-se contra ele - aqui você pode ver o número de certificados nos últimos dois anos:



Fonte: Pesquisa ISO de Certificações Padrão do Sistema de Gerenciamento


Como a ISO 27001 funciona
O foco da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade das informações em uma empresa. Isso é feito descobrindo quais problemas potenciais podem acontecer com as informações (ou seja, avaliação de riscos) e depois definindo o que precisa ser feito para impedir que tais problemas aconteçam (ou seja, mitigação ou tratamento de riscos). Portanto, a principal filosofia da ISO 27001 é baseada no gerenciamento de riscos: descubra onde estão os riscos e, em seguida, trate-os sistematicamente.

Estrutura ISO 27001

As salvaguardas (ou controles) a serem implementados geralmente são na forma de políticas, procedimentos e implementação técnica (por exemplo, software e equipamento). No entanto, na maioria dos casos, as empresas já possuem todo o hardware e software instalado, mas estão usando-os de maneira insegura - portanto, a maioria da implementação da ISO 27001 será sobre o estabelecimento de regras organizacionais (por exemplo, redigir documentos) que sejam necessário para evitar violações de segurança. Como essa implementação exigirá que várias políticas, procedimentos, pessoas, ativos etc. sejam gerenciados, a ISO 27001 descreveu como encaixar todos esses elementos no sistema de gerenciamento de segurança da informação (ISMS).

Portanto, gerenciar a segurança das informações não é apenas uma questão de segurança de TI (ou seja, firewalls, antivírus etc.) - também é sobre o gerenciamento de processos, proteção legal, gerenciamento de recursos humanos, proteção física etc.

Veja também A lógica básica da ISO 27001: Como funciona a segurança da informação?

Por que a ISO 27001 é boa para sua empresa?
Existem 4 benefícios comerciais essenciais que uma empresa pode obter com a implementação deste padrão de segurança da informação:

Cumpra os requisitos legais - há cada vez mais leis, regulamentos e requisitos contratuais relacionados à segurança da informação, e a boa notícia é que a maioria deles pode ser resolvida com a implementação da ISO 27001 - esse padrão fornece a metodologia perfeita para cumprir com todos eles .

Obtenha vantagem de marketing - se sua empresa for certificada e seus concorrentes não, poderá ter uma vantagem sobre eles aos olhos dos clientes que são sensíveis em manter suas informações em segurança.

Custos mais baixos - a principal filosofia da ISO 27001 é impedir a ocorrência de incidentes de segurança - e todo incidente, grande ou pequeno, custa dinheiro. Portanto, impedindo-os, sua empresa economizará bastante dinheiro. E o melhor de tudo: o investimento na ISO 27001 é muito menor do que a economia de custos que você obterá.

Melhor organização - normalmente, as empresas de rápido crescimento não têm tempo para parar e definir seus processos e procedimentos - como conseqüência, muitas vezes os funcionários não sabem o que precisa ser feito, quando e por quem. A implementação da ISO 27001 ajuda a resolver tais situações, porque incentiva as empresas a anotar seus principais processos (mesmo aqueles que não estão relacionados à segurança), permitindo que eles reduzam o tempo perdido de seus funcionários.

Consulte também Calculadora de retorno de investimento gratuito em segurança .

Onde o gerenciamento de segurança da informação se encaixa em uma empresa
Essencialmente, a segurança da informação faz parte do gerenciamento geral de riscos em uma empresa, com áreas que se sobrepõem à segurança cibernética, gerenciamento de continuidade de negócios e gerenciamento de TI:
ISO-27001-Onde-se-encaixa-EN1

Como é realmente a ISO 27001?
A ISO / IEC 27001 é dividida em 11 seções, mais o Anexo A. As seções 0 a 3 são introdutórias (e não são obrigatórias para implementação), enquanto as seções 4 a 10 são obrigatórias - o que significa que todos os seus requisitos devem ser implementados em uma organização, se necessário. quer ser compatível com o padrão. Os controles do anexo A devem ser implementados apenas se declarados como aplicáveis ​​na declaração de aplicabilidade.

De acordo com o Anexo SL das Diretrizes da Organização Internacional para Padronização ISO / IEC, os títulos das seções na ISO 27001 são os mesmos da ISO 22301: 2012, na nova ISO 9001: 2015 e outros padrões de gerenciamento, permitindo uma integração mais fácil desses padrões .

Seção 0: Introdução - explica o objetivo da ISO 27001 e sua compatibilidade com outros padrões de gerenciamento.

Seção 1: Escopo - explica que este padrão é aplicável a qualquer tipo de organização.

Seção 2: Referências normativas - refere-se à ISO / IEC 27000 como um padrão no qual são fornecidos termos e definições.

Seção 3: Termos e definições - novamente, refere-se à ISO / IEC 27000.

Seção 4: Contexto da organização - esta seção faz parte da fase Planejar no ciclo do PDCA e define os requisitos para entender os problemas externos e internos, as partes interessadas e seus requisitos e definir o escopo do SGSI.

Seção 5: Liderança - esta seção faz parte da fase Planejar no ciclo PDCA e define as responsabilidades da alta gerência, definindo as funções e responsabilidades e o conteúdo da política de segurança da informação de nível superior.

Seção 6: Planejamento - esta seção faz parte da fase Planejar no ciclo PDCA e define os requisitos para avaliação de riscos, tratamento de riscos, Declaração de aplicabilidade, plano de tratamento de riscos e definição dos objetivos de segurança das informações.

Seção 7: Suporte - esta seção faz parte da fase Planejar no ciclo PDCA e define os requisitos de disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros.

Seção 8: Operação - esta seção faz parte da fase Do no ciclo PDCA e define a implementação da avaliação e tratamento de riscos, bem como controles e outros processos necessários para alcançar os objetivos de segurança da informação.

Seção 9: Avaliação de desempenho - esta seção faz parte da fase Verificar no ciclo do PDCA e define os requisitos para monitoramento, medição, análise, avaliação, auditoria interna e revisão gerencial.

Seção 10: Melhoria - esta seção faz parte da fase de Lei do ciclo PDCA e define os requisitos para não-conformidades, correções, ações corretivas e melhoria contínua.

Anexo A - este anexo fornece um catálogo de 114 controles (salvaguardas) colocados em 14 seções (seções A.5 a A.18).

Consulte também: O   Ciclo PDCA foi removido dos novos padrões ISO?

Como implementar a ISO 27001
Para implementar a ISO 27001 em sua empresa, você deve seguir estas 16 etapas:

1) Obtenha apoio da alta gerência
2) Use a metodologia de gerenciamento de projetos
3) Defina o escopo do SGSI
4) Escreva a política de segurança da informação de nível superior
5) Defina a metodologia de avaliação de riscos
6) Execute a avaliação e o tratamento de riscos
7) Escreva a declaração de Aplicabilidade
8) Escreva o plano de tratamento de riscos
9) Defina como medir a eficácia de seus controles e do seu SGSI
10) Implementar todos os controles e procedimentos aplicáveis
11) Implementar programas de treinamento e conscientização
12) Executar todas as operações diárias prescritas pela documentação do SGSI
13) Monitore e meça seu SGSI
14) Realize auditoria interna
15) Realize análise de gerenciamento
16) Implementar ações corretivas

Para uma explicação mais detalhada dessas etapas, consulte a lista de verificação de implementação da ISO 27001 .

Documentação obrigatória
A ISO 27001 exige que a seguinte documentação seja escrita:

Escopo do SGSI (seção 4.3)
Política e objetivos de segurança da informação (seções 5.2 e 6.2)
Metodologia de avaliação e tratamento de riscos (seção 6.1.2)
Declaração de aplicabilidade (cláusula 6.1.3 d)
Plano de tratamento de riscos (cláusulas 6.1.3 e 6.2)
Relatório de avaliação de risco (seção 8.2)
Definição de funções e responsabilidades de segurança (seções A.7.1.2 e A.13.2.4)
Inventário de ativos (seção A.8.1.1)
Uso aceitável de ativos (seção A.8.1.3)
Política de controle de acesso (seção A.9.1.1)
Procedimentos operacionais para gerenciamento de TI (seção A.12.1.1)
Princípios de engenharia de sistemas seguros (seção A.14.2.5)
Política de segurança do fornecedor (seção A.15.1.1)
Procedimento de gerenciamento de incidentes (seção A.16.1.5)
Procedimentos de continuidade de negócios (seção A.17.1.2)
Requisitos estatutários, regulamentares e contratuais (seção A.18.1.1)
E estes são os registros obrigatórios:

Registros de treinamento, habilidades, experiência e qualificações (seção 7.2)
Resultados de monitoramento e medição (seção 9.1)
Programa de auditoria interna (seção 9.2)
Resultados das auditorias internas (seção 9.2)
Resultados da análise crítica pela administração (seção 9.3)
Resultados de ações corretivas (seção 10.1)
Logs de atividades do usuário, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3)
Obviamente, uma empresa pode decidir escrever documentos de segurança adicionais, se achar necessário.

Para obter uma explicação mais detalhada de cada um desses documentos, faça o download do white paper gratuito Lista de verificação da documentação obrigatória exigida pela ISO 27001 (revisão de 2013) .

Como obter a certificação
Existem dois tipos de certificados ISO 27001: (a) para organizações e (b) para indivíduos . As organizações podem ser certificadas para provar que estão em conformidade com todas as cláusulas obrigatórias da norma; os indivíduos podem participar do curso e passar no exame para obter o certificado.

Para que uma organização seja certificada, ela deve implementar o padrão, conforme explicado nas seções anteriores, e depois passar pela auditoria de certificação realizada pelo organismo de certificação. A auditoria de certificação é realizada nas seguintes etapas:

Auditoria do estágio 1 (revisão da documentação) - os auditores revisarão toda a documentação.
Auditoria de estágio 2 (auditoria principal) - os auditores realizarão uma auditoria no local para verificar se todas as atividades em uma empresa estão em conformidade com a ISO 27001 e com a documentação do ISMS.
Visitas de vigilância - após a emissão do certificado, durante seus três anos de validade, os auditores verificarão se a empresa mantém seu SGSI.
Consulte também Tornando-se certificado ISO 27001 - Como se preparar para a auditoria de certificação .

Os indivíduos podem participar de vários cursos para obter certificados - os mais populares são:

Curso de Auditor Líder ISO 27001 - este curso de 5 dias ensinará como realizar auditorias de certificação e destina-se a auditores e consultores.
Curso de Implementador Líder ISO 27001 - este curso de 5 dias ensinará como implementar o padrão e destina-se a profissionais de segurança da informação e a consultores.
Curso de Auditor Interno ISO 27001 - este curso de 2 ou 3 dias ensinará o básico da norma e como executar uma auditoria interna - destina-se a iniciantes neste tópico e a auditores internos.
Veja também:  Como aprender sobre a ISO 27001 .

Revisões de 2005 e 2013 da ISO 27001
Como mencionado anteriormente, a ISO 27001 foi publicada pela primeira vez em 2005 e revisada em 2013 - portanto, a versão atual válida é ISO / IEC 27001: 2013.

As mudanças mais importantes na revisão de 2013 estão relacionadas à estrutura da parte principal da norma, partes interessadas, objetivos, monitoramento e medição; Além disso, o anexo A reduziu o número de controles de 133 para 114 e aumentou o número de seções de 11 para 14. Alguns requisitos foram excluídos da revisão de 2013, como ações preventivas e a exigência de documentar determinados procedimentos.

Veja também Infográfico: Nova revisão da ISO 27001 2013 - O que mudou?

No entanto, todas essas mudanças, na verdade, não mudaram muito o padrão como um todo - sua filosofia principal ainda se baseia na avaliação e no tratamento de riscos, e as mesmas fases no ciclo Planejar-Fazer-Verificar-Agir permanecem. Essa nova revisão do padrão é mais fácil de ler e entender, e é muito mais fácil integrá-lo a outros padrões de gerenciamento como ISO 9001, ISO 22301, etc.

As empresas que foram certificadas de acordo com a ISO / IEC 27001: 2005 devem fazer a transição para a nova revisão de 2013 até setembro de 2015, se quiserem manter seu certificado válido. Veja aqui como fazer: Como fazer a transição da revisão da ISO 27001 2005 para a revisão de 2013.

Segurança da informação relacionada e outros padrões
A ISO / IEC 27002 fornece diretrizes para a implementação dos controles listados na ISO 27001. A ISO 27001 especifica 114 controles que podem ser usados ​​para reduzir os riscos à segurança, e a ISO 27002 pode ser bastante útil, pois fornece detalhes sobre como implementá-los. A ISO 27002 foi anteriormente referida como ISO / IEC 17799 e emergiu da norma britânica BS 7799-1.

A ISO / IEC 27004 fornece diretrizes para a medição da segurança da informação - ela se encaixa bem na ISO 27001 porque explica como determinar se o SGSI alcançou seus objetivos.

A ISO / IEC 27005 fornece diretrizes para o gerenciamento de riscos à segurança da informação. É um complemento muito bom para a ISO 27001, pois fornece detalhes sobre como executar a avaliação e o tratamento de riscos, provavelmente o estágio mais difícil da implementação. A ISO 27005 emergiu da norma britânica BS 7799-3.

A ISO 22301 define os requisitos para os sistemas de gerenciamento de continuidade de negócios - ela se encaixa muito bem com a ISO 27001, pois A.17 da ISO 27001 exige que a continuidade dos negócios seja implementada; no entanto, ele não fornece muitos detalhes. Saiba mais sobre a ISO 22301 aqui …

A ISO 9001 define os requisitos para os sistemas de gerenciamento da qualidade - embora, à primeira vista, o gerenciamento da qualidade e o gerenciamento da segurança da informação não tenham muito em comum, o fato é que cerca de 25% dos requisitos ISO 27001 e ISO 9001 são os mesmos: controle de documentos, auditoria interna, revisão gerencial, ações corretivas, definição de objetivos e gerenciamento de competências. Isso significa que se uma empresa implementou a ISO 9001, será muito mais fácil implementar a ISO 27001. Saiba mais sobre a ISO 9001 aqui…

Para saber mais sobre a implementação da ISO 27001, visite nossa página de download gratuito da ISO 27001 . Você encontrará vários recursos úteis.

dejan-circle-new
Dejan Kosutic
Lead ISO 27001 / ISO 22301 Expert

Tem dúvidas sobre algum passo?
Converse com nossos consultores gratuitamente

CONSULTA GRATUITA