Certificação ISO/IEC 27001 (ISMS) para gestão de segurança da informação

A ISO 27001 é a norma internacional de sistema de gestão que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). A norma fornece uma estrutura de melhores práticas para identificar, analisar e implementar controles para gerenciar e mitigar riscos, reduzindo a probabilidade de uma violação de segurança da informação.
Qualquer organização, independentemente do tamanho e do setor, pode utilizar os requisitos e controles da ISO 27001 para implementar um SGSI eficaz que pode ser certificado de maneira independente.

A certificação acreditada ISO 27001, fornecida por um órgão de certificação respeitável e independente, demonstra um compromisso com a segurança da informação, fornecendo uma visão imparcial em relação à robustez e eficácia do seu SGSI. Isso ajuda a cumprir obrigações contratuais e, em muitos casos, atua como licença para comercializar.

Proteja seus dados e sua reputação

A certificação ISO 27001 demonstra que você estabeleceu uma abordagem sistemática e baseada em riscos para a segurança da informação, que orienta as melhores práticas em torno de: 

• Identificação de riscos à informação e à segurança cibernética
• Análise de riscos com base no impacto e na probabilidade
• Avaliação de riscos e priorização de quando são abordados com base em fatores relacionados ao seu negócio
• Seleção de opções de tratamento de risco

Demonstre conformidade com leis, regulamentos e requisitos contratuais

A obtenção da certificação para a ISO 27001 exige que você identifique a legislação aplicável, como o GDPR da UE ou regulamentações como a HIPAA. Isso tem um impacto positivo na gestão de riscos e na governança corporativa, ajudando a demonstrar conformidade e atender aos requisitos contratuais.

Vantagem competitiva

A certificação do LRQA oferece aos clientes e às partes interessadas a confiança de que os riscos à segurança, que podem estar relacionados à TI, às pessoas, ao ambiente físico e à continuidade dos negócios, foram adequadamente abordados para proteger as informações.

A certificação ISO 27001 fornece uma declaração clara de sua capacidade e demonstra que você opera de acordo com as melhores práticas reconhecidas internacionalmente, ajudando-o a conquistar novos negócios.

As auditorias da ISO 27001 seguem a mesma abordagem de outros sistemas de gestão baseados no Anexo SL. Você pode começar com treinamento e gap analysis, mas o processo formal envolve uma auditoria do projeto do SGSI (Estágio 1) e de sua operação (Estágio 2). Os resultados dessas auditorias passam pela análise técnica de uma profissional qualificado e independente no LRQA para garantir a consistência e o alinhamento com nosso compromisso com as melhores práticas definidas pelos credenciadores.

Depois de aprovado, seu certificado ISO 27001 é emitido e você inicia um ciclo de auditorias de monitoramento de três anos, levando a uma auditoria de renovação para restabelecer os próximos três anos. O monitoramento permite que o LRQA e sua organização gerenciem mudanças e garantam que as auditorias sejam relevantes para as necessidades atuais do setor.

Depois de aprovada, a certificação tem vigência de três anos, estando sujeita à manutenção efetiva do sistema, demonstrada por meio do programa de monitoramento.

Uma declaração típica do escopo do certificado ISMS inclui atividades relacionadas à entrega de produtos e serviços. Ela não precisa incluir atividades internas ou processos de SGSI. O objetivo é garantir ao leitor que as informações fornecidas ao receber o produto ou serviço estejam protegidas.

A declaração de aplicabilidade refere-se à lista de controles selecionados. Ela não fornece detalhes desses controles, mas uma referência rastreável a uma declaração de controle usada como base da última auditoria da ISO 27001. Algumas organizações têm uma versão pública compartilhável que apenas lista os controles selecionados do Anexo A da ISO 27001, mas não se trata de um requisito obrigatório.

O custo é baseado no número de dias de auditoria, que está relacionado ao número de funcionários no escopo do SGSI. O número de dias de auditoria é publicado na norma de acreditação, ISO 27006, e está disponível para consulta geral. Envolver um órgão de certificação credenciado como o LRQA garante que a duração da auditoria proposta se baseie nas melhores práticas do setor, comparáveis a todos os outros órgãos de certificação acreditados.

Como exemplo, uma organização de 100 equivalentes a tempo integral (ETIs) deve esperar uma auditoria inicial (Estágio 1 + Estágio 2) com duração entre 8 e 12 dias, dependendo do setor em que operam, da complexidade do ambiente de trabalho, se eles estão envolvidos no desenvolvimento de software ou se precisam incorporar segurança ao produto. O programa de monitoramento subsequente seria de 3 a 4 dias/ano e a renovação de 6 a 8 dias.

Sim. Como a ISO 9001 e a ISO 27001 são baseadas no modelo genérico de melhores práticas para sistemas de gestão — Anexo SL — os processos de gestão principais podem ser otimizados para atender aos requisitos de ambas as normas. Na verdade, o desenvolvimento de um sistema para abordar ambos melhora a eficácia da governança organizacional. Por exemplo, muitas vezes os objetivos de negócios, como o crescimento, exigem o desenvolvimento de novos produtos em que a segurança é normalmente considerada um padrão de qualidade de acordo com as expectativas do mercado. A integração também pode diminuir a duplicação, o que pode levar a uma redução no tempo de auditoria, configurando uma opção econômica.

O caminho que sua organização segue para obter a certificação ISO 27001 depende geralmente do nível de maturidade da empresa em relação à segurança da informação e à gestão de riscos mais ampla, entre outros fatores. Porém, o processo típico para obter a certificação ISO 27001 inclui três etapas principais.

• Auditoria no estágio 1 — análise e planejamento de documentos: O auditor analisará o projeto e a documentação do seu sistema de gestão — na maioria dos casos, isso é realizado remotamente.
• Auditoria no estágio 2: — avaliação de sua implementação: O auditor avaliará a implementação e eficácia do SGSI de acordo com os requisitos da ISO 27001. Na ausência de não conformidades, você receberá sua certificação. Esse estágio pode ser realizado remotamente ou no local.
• Promova sua certificação ISO 27001: A sua certificação demonstra um compromisso com as melhores práticas reconhecidas internacionalmente e com a melhoria contínua, ajudando-o a conquistar novos negócios e a atender às demandas dos clientes.

A publicação da ISO 27002:2022 fornece uma atualização para a lista de controles presente na ISO 27001, que data de 2013. Os controles revisados refletem os desenvolvimentos relacionados às ameaças e às melhores práticas atuais, e o escopo ampliado da ISO 27002 ajuda a garantir que as medidas de gestão de riscos sejam abrangentes e eficazes. As organizações podem usar a lista abrangente de controles para tratar os riscos que identificaram ou descobrir possíveis lacunas, ajudando-as a permanecer um passo à frente no panorama de ameaças complexo e em evolução que as empresas enfrentam atualmente.

Espera-se que uma nova versão da ISO 27001 seja publicada até o final de outubro de 2022. Ela apresentará os novos controles descritos pela ISO 27002:2022, exigindo que as organizações revisem sua avaliação de riscos e determinem se é preciso implementar novos tratamentos de risco.