VG Consultoria Online

Aprenda como certificar na ISO 27001

Aprenda como certificar na ISO 27001
5 (100%) 3 votos

Entenda um pouco mais sobre a ISO/IEC 27001:2005 – Tecnologia da Informação – técnicas de segurança – sistemas de gerência da segurança da informação e descubra como a certificação pode fortalecer a segurança virtual da sua empresa

A ISO/IEC 27001 é um padrão de sistema de gestão da segurança da informação, que foi publicado em outubro de 2005, pela International Organization for Standartization ou pelo International Electrotchnical Commission.

A norma tem como principal objetivo a adoção de um conjunto de requisitos, processo e controles com o objetivo de migrarem e gerirem adequadamente o risco da organização.

Família ISO 27000

A ISO 27000 tem um conjunto de séries que são relacionados com a segurança da informação, vejamos:

  • ISO 27000 – Vocabulário de Gestão da Segurança da Informação;
  • ISO 27001 – publicada em outubro de 2005 e substituiu a norma BS 7799 para a certificação de sistema de gestão de segurança da informação;
  • ISO 27002 – esta norma diz respeito ao código de boas práticas;
  • ISO 27003 – abordará as diretrizes para a implementação do Sistema de Gestão de Segurança da Informação, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação;
  • ISO 27004 – Indica sobre as métricas e relatórios de um sistema de gestão de segurança da informação;
  • ISO 27005 – constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles;
  • ISO 27006 – Fornece orientações para os organismos que prestam serviços de auditoria e certificação de um sistema de gestão da segurança da informação.

As certificações da ISO 27001 é uma forma de garantir que a empresa que está certificada implementou um sistema para a gerência da segurança da informação de acordo com os devidos padrões.

Estágios da certificação

Para a certificação da ISO/IEC 27001 envolve basicamente um processo de auditoria em dois estágios:

Estágio um – baseada em análise preliminar, informal do Sistema de Gestão de Segurança da Informação, na verificação da existência e completude da documentação chave como a política de segurança da informação, Declaração de Aplicabilidade e o Plano de Tratamento de Risco.

Estágio dois – é um detalhamento, com auditoria em profundidade envolvendo a existência a efetividade do controle ISMS declarado na Declaração de Aplicabilidade e Plano de Tratamento de Risco.

A renovação do certificado envolve revisões periódicas e re-declaração confirmando que o Information Secutiry Mangement System (ISMS) continua operando como desejado.

Benefícios da certificação ISO 27001

Conheça as principais vantagens da certificação da Segurança da Informação:

  • Identificação de riscos e definição de controles para gerenciamento ou eliminação dos perigos cibernéticos;
  • Flexibilidade para adaptar os controles a todas as áreas ou a espaços com maiores riscos da empresa;
  • Confiança das partes interessadas que sabem que seus dados estão seguros;
  • Demonstração de conformidade legal, a empresa obterá preferência por parte do cliente e fornecedor;
  • Oportunidade de identificar e corrigir pontos fracos;
  • Melhoria da conscientização na questão da segurança;
  • Combinação de recursos com outros Sistemas de Gestão.

A ISO 27001 auxilia a empresa a adotar um sistema de gestão da segurança da Informação que permita mitigar os riscos de segurança atribuídos a seus ativos e adequar as necessidades a área de negócio.

Passo a passo para a implementação da ISO 27001

Abaixo tem os passos para facilitar a realização da obtenção da certificação ISO 27001:

  • Planejamento

A implementação dessa norma é um pouco mais complexa, pois envolve muitas atividades e pessoas, e pode durar muitos meses ou até mesmo mais de um ano. Portanto, deve-se ter bem definido o planejamento para implementação.

  • Definição da política do Sistema de Gestão da Segurança da Informação

A gerência deverá definir a política, com base no que deseja alcançar e como ter controle sobre isso, contendo questões básicas da segurança da informação na sua empresa.

  • Definir a metodologia da avaliação de riscos

Definindo as regras para identificação de ativos, vulnerabilidade, ameaças, impactos e probabilidade, terá definido também qual o nível de risco é aceitável na empresa.

  • Realizar avaliação de riscos e tratamento de riscos

O objetivo aqui é obter uma visão sobre os perigos para a informação da sua empresa e também diminuir os riscos que não são aceitáveis. É muito importante elaborar um Relatório de avaliação de riscos, documentando os passos durante os processos de avaliação de riscos e tratamento de riscos.

  • Elaborar Plano de tratamento de riscos

Este Plano tem como objetivo definir como os controles da Declaração da Aplicabilidade devem ser implementados – quem irá fazer o trabalho, quando, com que orçamento. Documento que garante a capacidade coordenar os próximos passos do projeto.

  • Implementar programas de treinamento e conscientização

A equipe da empresa deve estar bem preparada para a implementar todas as novas políticas e procedimentos, para isso deve-se investir em treinamento e conscientização.

  • Operar o Sistema de Gestão da Segurança da Informação

Operar o SGSI será uma rotina diária para a sua empresa, e deve-se ter registro de todo o processo, para facilitar nas auditorias. Esses registros também são fontes para realizar o monitoramento de tudo que está acontecendo.

  • Monitorar o SGSI

Monitorando seu Sistema de controle, poderá verificar os resultados alcançados, e até mesmo verificar o que está fora do planejado para que possa realizar ações corretivas e/ou preventivas.

  • Realizar auditoria interna

O objetivo das auditorias é tomar ações corretivas e/ou preventivas, para eliminar problemas existentes ou possíveis que possam prejudicar a organização.

  • Ações corretivas e preventivas

Aqui o objetivo é assegurar que as não conformidades sejam corrigidas e também prevenidas. Essas ações devem ser realizadas de foram sistemática, para tanto, a não conformidade deve ser identificada, resolvida e verificada.

A partir da consultoria on line, a Verde Ghaia te auxilia na implementação de qualquer sistema de normas ISO de forma eficaz e com melhor preço do mercado. Este serviço é oferecido para qualquer norma internacional, desde a ISO 9001 até qualquer outra norma que sua empresa precisar. Caso você precise melhorar o sistema de tecnologia de informação da sua empresa a partir da ISO 27001, entre em contato pelo (31) 2127-9137 e converse com um dos nossos consultores.

A Verde Ghaia também pode ajudar a controlar os resíduos que sua empresa produz, a partir da plataforma VG Resíduos. O software acompanhado do mercado de resíduos é utilizado por diversas empresas para gerenciar os resíduos produzidos.

Compartilhe nas redes sociais:

        

0 Comentários

Deixe o seu comentário!