Baixe o app para aproveitar ainda mais
Prévia do material em texto
O que é a norma ISO 27001? A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da Informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade. A norma ISO 27001 tem vindo, de forma continuada, a ser melhorada ao longo dos anos e deriva de um conjunto anterior de normas, nomeadamente a BS7799-2 e a BS7799 (British Standards). A sua origem remota na realidade a um documento publicado em 1992 por um departamento do governo Britânico que estabelecia um código de práticas relativas à gestão da Segurança da Informação. Ao longo dos anos, milhares de profissionais contribuíram com o seu know-how e experiência para o estabelecimento de um Standard estável e maduro, mas que certamente continuará a evoluir ao longo dos tempos. A norma tem como principio geral a adoção pela organização de um conjunto de requisitos, processos e controlos com o objectivo de mitigarem e gerirem adequadamente o risco da organização. Milhões de entidades no mundo utilizam as práticas documentadas no Standard e usufruem dos benefícios da sua adopção, sendo que, as entidades que assim o desejem podem também certificarem-se, demonstrando assim de forma idónea que cumprem os requisitos e os processos constantes na norma. Determinadas organizações, obrigam a que os seus fornecedores ou parceiros detenham certificações, nomeadamente a ISO 27001, como garante do cumprimento dos princípios estabelecidos pela mesma, providenciando assim aos seus clientes e parceiros um nível extra de conforto no que concerne à Segurança da Informação. As organizações que adotam e se certificam nesta norma, atribuem especial importância à protecção da informação e demonstram-no através da certificação na mesma. Em que consiste? A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: - A primeira componente, é onde são definidas as regras e os requisitos de cumprimento da norma. Nesta componente, são endereçados os aspectos explícitos no seguinte diagrama: Requisitos ISO 27001 - A segunda componente da norma, é denominada de ANEXO A e é na realidade composta por um conjunto de controlos que as organizações devem adoptar, em diferentes temas: Quais os benefícios para quem a adopta? Independentemente das empresas se certificarem ou não, a adoção das práticas de gestão documentadas na norma, representa um conjunto de benefícios, nomeadamente: 1. Demonstra um compromisso dos Executivos da Organização para com a segurança da informação. 2. Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade. 3. Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimento apenas baseados em tendências. 4. Incrementa os níveis de sensibilidade, participação e motivação dos colaboradores da Organização para com a Segurança da Informação. 5. Identifica e endereça de forma continuada a oportunidade para melhorias, sendo um processo em contínua melhoria. 6. Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios. 7. A implementação dos controlos provenientes da norma e da análise de risco, melhora o desempenho operacional das organizações. 8. Dotar a organização de um sistema de controlo da gestão, incrementando a eficácia da organização. Quais os benefícios para os clientes, fornecedores ou parceiros? As entidades "pares" de uma entidade certificada em ISO 27001, nomeadamente os seus clientes, fornecedores e parceiros, também obtêm benefícios na interação com a organização certificada. Uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado da informação sensível da sua organização. A implementação da norma ISO 27001 providencia um elevado compromisso com a protecção da informação, o que representa um nível considerável de conforto para as organizações que interagem com a entidade certificada. Assim, os clientes, parceiros e fornecedores desta entidade sabem que a informação da sua organização será tratada de acordo com elevados padrões de gestão e protecção ao nível da Segurança da Informação, já que a empresa certificada foi auditada por uma entidade externa e idónea. Quanto tempo demora a preparação da certificação? A preparação da certificação requer a implementação e adoção dos requisitos, políticas, procedimentos, controlos e práticas requeridas pela norma ISO 27001, ajustadas ao âmbito e à realidade tecnológica e organizacional de cada entidade que a resolva adotar e certificar-se. Assim, o tempo de implementação do sistema, varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano. Qual é o custo estimado da implementação e certificação? O custo da implementação e da certificação varia de acordo com a realidade organizacional e especificidades de cada entidade, nomeadamente o processo sobre o qual incide a certificação e o número de colaboradores intervenientes nesse processo.
Compartilhar