A ISO 27001 faz parte da Família ISO 27000, e é focada em Segurança da Informação, tanto para empresas grandes quanto pequenas.
Para a adequada gestão de Segurança da Informação é necessário implantar um sistema que aborde esta tarefa de forma metódica, documentada e baseada em objetivos claros de segurança e uma verificação profunda dos riscos a que estão submetidas as informações de uma organização.
A ISO 27001 se dedica a auxiliar uma organização a implantar um Sistema de Gestão de Segurança da Informação (SGSI), e foi publicada em Outubro de 2005, tendo a sua origem na BS 7799-2:2002. É a norma de Segurança da Informação mais auditada por auditores externos de TI nas empresas.
Em seu anexo A, a ISO 27001 enumera de forma resumida os objetivos de controle e os controles que existem na 27002, a fim de que sejam selecionados pelas organizações no desenvolvimento de suas SGSI, e também está ligada a outras ISO da família 27000, como a ISO 27006 e ISO 27799.
QUAIS SÃO OS BENEFÍCIOS DA ISO 27001 :
Possuindo diversos benefícios para as organizações, a ISO 27001 pretende :
- Estabelecimento de uma gestão de segurança clara e estruturada.
- Redução do risco de perda, roubo ou corrupção da informação.
- Os clientes têm acesso à informação através de medidas de segurança.
- Os riscos e seus controles são continuamente revisados.
- Confiança de clientes e sócios estratégicos pela garantia da QUALIDADE e CONFIDENCIALIDADE EMPRESARIAL.
- As Auditorias Externas ajudam ciclicamente a identificar as debilidades do sistema e as áreas a melhorar.
- Possibilidade de integração da ISO 27001 a outros sistemas de gestão (ISO 9001, ISO 14001, OHSAS 18001, etc)
- Continuidade das operações necessárias ao negócio mesmo com incidentes de segurança graves.
- Conformidade com a legislação vigente (LGPD, no Brasil, por exemplo) sobre Informação Pessoal, Propriedade Intelectual e outras.
- Imagem da empresa a nível internacional e elemento diferenciador de sua competência.
- Confiança e regras claras para as pessoas da organização.
- Redução de custos e melhoras dos processos e serviços da empresa.
- Aumento da motivação e satisfação do pessoal da empresa.
- Aumento da segurança devido a gestão dos processos ao invés da compra sistemática de produtos e tecnologias.
MAS COMO ASSIM A ISO 27001 IMPLANTA UM SGSI ?
O sistema de gestão da segurança da informação preserva a confidencialidade, integridade e disonibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados.
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI).
A adoção de um SGSI é uma decisão estratégica para uma organização. A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais, funcionários, tamanho e estrutura da organização. São esperados que todos estes fatores de influência mudem ao longo do tempo.
É importante que um sistema de gestão da segurança da informação seja parte e esteja integrado com os processos da organização e com a estrutura de administração global e que a segurança da informação seja considerada no projeto dos processos, sistemas de informação e controles.
É esperado que a implementação de um sistema de gestão de segurança da informação seja planejado de acordo com as necessidades da organização.
No próximo artigo detalharemos mais detalhes da ISO 27001, como planejar a adequação, como implementar, etc.
Espero que tenham gostado deste primeiro artigo. Nossa empresa, a LEÓN LISBOA – Auditoria e Consuloria em Sistemas da Informação e Tecnologia efetua a Auditoria ISO 27001 e outras. Saiba mais em https://leonlisboa.com.br/site/auditoria-compliance-ti/
