Skip content
Infosec ISO 27001

ISO/IEC 27001 (ISMS): certificação do sistema de gestão da segurança da informação

Obter certificação e formação por parte dos especialistas da LRQA

Pedir orçamento

Á LRQA é um fornecedor líder de certificações para a norma ISO 27001

Para qualquer organização - independentemente da dimensão ou do sector - a norma ISO/IEC 27001 constitui uma base sólida para uma estratégia abrangente de segurança informática e cibernética. A norma define um quadro de boas práticas de SGSI para reduzir os riscos e salvaguardar os dados críticos para a empresa através da identificação, análise e controlos accionáveis. A certificação ISO 27001 acreditada demonstra que possui os processos e controlos necessários para defender as informações da sua organização - e as dos seus clientes - contra um cenário de ameaças cada vez mais complexo. Consulte as perguntas frequentes sobre a norma e as nossas ofertas.

A norma ISO/IEC 27001:2022 já foi publicada

Em 25 de outubro de 2022, foi publicada a nova versão da norma ISO 27001, marcando uma nova era de boas práticas de segurança da informação.

A norma ISO/IEC 27001:2022 já foi publicada
Person using a tablet

 

Os nossos serviços ISO/IEC 27001

Os nossos auditores estão bem familiarizados com a avaliação da norma ISO 27001, ajudando-o a garantir que os seus sistemas de segurança da informação estão em conformidade com os mais recentes requisitos e directrizes. Vamos além do fornecimento de serviços de certificação com os nossos programas de formação líderes no sector, concebidos para melhorar as competências da sua equipa.

ícone de ecrã de computador

Formação

Desenvolva os seus conhecimentos sobre a ISO 27001 com uma gama de cursos concebidos para diferentes níveis de experiência.

 

image94kd3.png
Análise de lacunas

Um serviço opcional em que um dos nossos auditores especializados o ajudará a identificar quaisquer áreas críticas, de alto risco ou fracas do seu sistema antes da sua auditoria formal à ISO 27001.

imageao21.png
Certificação acreditada

Um processo independente de duas fases que fornece uma declaração clara das suas capacidades - ajudando-o a ganhar novos negócios e a criar confiança junto das partes interessadas.

intgerated services icon.png
Auditorias integradas

Se tiver implementado vários sistemas de gestão, poderá beneficiar de um programa integrado de auditoria e vigilância que seja mais eficiente e económico.

Uma abordagem de 360⁰ à segurança da informação e cibersegurança

O nosso profundo conhecimento técnico e experiência, apoiados pelo nosso extenso portfólio de cibersegurança, permite-nos trabalhar em colaboração com a sua empresa - ajudando-o a identificar as ameaças específicas que enfrenta antes de fornecer soluções para as mitigar. Podemos certificar os seus sistemas, identificar vulnerabilidades e ajudar a evitar ataques e incidentes que possam afetar a integridade, as finanças e as operações da sua marca.

serviços de segurança da informação e cibersegurança da LRQA - 360 view.png

 

Porquê trabalhar connosco?

Capacidade global

Operando em mais de 55 países, com mais de 250 especialistas dedicados à cibersegurança e mais de 300 auditores de segurança da informação altamente qualificados em todo o mundo, podemos fornecer um serviço local com uma dedicação globalmente consistente à excelência.

LRQA auditors having a conversation with a client

Entrega flexível

Na maioria dos casos, os nossos serviços de formação e certificação ISO 27001 podem ser prestados no local ou remotamente, utilizando tecnologia segura e protegida. Se optar pelos nossos métodos de entrega remota, receberá o mesmo serviço de alta qualidade com várias vantagens adicionais, incluindo flexibilidade, entrega rápida e acesso a conhecimentos globais.

Group video call on a laptop

História de estreias

Fomos os primeiros a receber a acreditação UKAS para prestar serviços de certificação para uma série de normas em todo o mundo. Continuamos a ser fundamentais no desenvolvimento de uma variedade de normas e quadros específicos em diferentes sectores.

Group of people having a discussion in a meeting room

Certificação total

Juntamente com a nossa premiada empresa de cibersegurança Nettitude, podemos ajudá-lo a manter-se um passo à frente das sofisticadas ciberameaças com serviços avançados que proporcionam uma primeira linha de defesa e resposta a todas as ameaças e vulnerabilidades.

Aerial shot of container ships

 

Perguntas Frequentes

O que é a ISO 27001?

A ISO 27001 é a norma internacional de sistemas de gestão que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). A norma fornece um quadro de melhores práticas para identificar, analisar e implementar controlos para gerir e mitigar riscos, reduzindo a probabilidade de uma violação da segurança da informação.
Qualquer organização, independentemente da dimensão e do setor, pode utilizar os requisitos e controlos da ISO 27001 para implementar um SGSI eficaz que pode ser certificado de forma independente.

A certificação ISO 27001 acreditada e fornecida por um organismo de certificação reputado e independente demonstra um compromisso relativamente à segurança da informação, fornecendo uma visão imparcial quanto à robustez e eficácia do seu SGSI. Isso ajuda a cumprir as obrigações contratuais e, em muitos casos, funciona como uma licença para a negociação.

Quais são os benefícios da ISO 27001 e porque é que é tão importante?
Proteja os seus dados e reputação

A certificação ISO 27001 demonstra que estabeleceu uma abordagem sistemática e baseada no risco quanto à segurança da informação que motiva as melhores práticas em torno de: 

  • Identificar os riscos da segurança da informação e cibersegurança
  • Analisar os riscos com base no impacto e na probabilidade de ocorrência
  • Avaliar os riscos e priorizar quando devem ser abordados com base em fatores relacionados com a sua empresa
  • Selecionar opções de tratamento de riscos
Demonstrar a conformidade com as leis, regulamentos e requisitos contratuais

A obtenção da certificação ISO 27001 requer que identifique a legislação aplicável, tal como o RGPD da UE ou regulamentos como a HIPPA. Isto tem um impacto positivo na gestão de riscos e na governança corporativa, ajudando-o a demonstrar conformidade e a cumprir com os requisitos contratuais.

Vantagem competitiva

A certificação da LRQA proporciona aos clientes e partes interessadas a confiança de que os riscos de segurança (que podem estar relacionados com TI, pessoas, ambiente físico e continuidade de negócio) foram devidamente abordados para proteger as suas informações.

A certificação ISO 27001 apresenta uma declaração clara da sua capacidade e demonstra que opera de acordo com as melhores práticas reconhecidas internacionalmente, ajudando-o a obter novos negócios.

Como é que as auditorias ISO 27001 funcionam?

As auditorias da ISO 27001 seguem a mesma abordagem de outros sistemas de gestão baseados no Anexo SL. Pode começar por formação e análise de falhas, mas o processo formal envolve uma auditoria à conceção do SGSI (Fase 1) e uma auditoria à sua operacionalização (Fase 2). Os resultados destas auditorias são revistos tecnicamente por uma pessoa qualificada e independente na LRQA para garantir consistência e alinhamento com o nosso compromisso com as melhores práticas definidas pelos acreditadores.

Uma vez aprovado, o seu certificado ISO 27001 é emitido e inicia um ciclo de auditorias de acompanhamento de três anos que conduzem a uma auditoria de renovação para restabelecer os três anos seguintes. O acompanhamento permite à LRQA e à sua organização gerir mudanças e garantir que as auditorias são relevantes para as necessidades atuais do setor.

Qual é a duração da certificação ISO 27001?

Uma vez aprovada, a certificação é válida por três anos, desde que a manutenção efectiva do sistema seja demonstrada através do programa de vigilância.

O que está incluído no âmbito e na declaração de aplicabilidade de um SGSI típico?

Uma declaração típica do âmbito do certificado SGSI inclui atividades relacionadas com o fornecimento de produtos e serviços. Não necessita de incluir atividades internas ou processos SGSI. O objetivo consiste em garantir ao leitor que a informação fornecida quando recebe o produto ou serviço está protegida.

A declaração de aplicabilidade refere-se à lista de controlos selecionados. Não fornece detalhes destes controlos, mas uma referência rastreável a uma declaração de controlo utilizada como base para a última auditoria de ISO 27001. Por vezes, as organizações têm uma versão pública partilhável que apenas enumera os controlos selecionados no Anexo A da ISO 27001, mas este não é um requisito obrigatório.

Quanto custa obter a certificação ISO 27001?

O custo baseia-se no número de dias de auditoria que está relacionado com o número de funcionários no âmbito do SGSI. O número de dias de auditoria é publicado na norma de acreditação, ISO 27006, e está disponível para todos. A contratação de um organismo de certificação acreditado como á LRQA garante-lhe uma duração de auditoria proposta com base nas melhores práticas da indústria, que é comparável a todos os outros organismos de certificação acreditados.

A título de exemplo, uma organização com 100 equivalentes a tempo inteiro (ETI) deve esperar uma duração de auditoria inicial (Fase 1 + Fase 2) entre 8 e 12 dias, dependendo do sector em que opera, da complexidade do seu ambiente de trabalho, do facto de estar envolvida no desenvolvimento de software ou da necessidade de integrar a segurança no produto. O programa de controlo subsequente será de 3-4 dias/ano e a renovação de 6-8 dias.

Já tenho a ISO 9001. Posso integrá-la na ISO 27001?

Sim - uma vez que tanto a ISO 9001 como a ISO 27001 se baseiam no modelo genérico de melhores práticas para os sistemas de gestão - Anexo SL - os principais processos de gestão podem ser optimizados para cumprir os requisitos de ambas as normas. De facto, a conceção de um sistema para responder a ambas melhora a eficácia da governação organizacional. Por exemplo, os objectivos comerciais, como o crescimento, exigem frequentemente o desenvolvimento de novos produtos, sendo a segurança normalmente considerada uma norma de qualidade em conformidade com as expectativas do mercado. A integração também pode minimizar a duplicação, o que pode levar a uma redução do tempo de auditoria, proporcionando uma opção económica.

O que é um processo típico de certificação ISO 27001?

O caminho que a sua organização tem para obter a certificação ISO 27001 depende, muitas vezes, do nível de maturidade da sua empresa relativamente à segurança da informação e à gestão de risco mais ampla, entre outros fatores. Mas o processo normal para obter a certificação ISO 27001 inclui 3 passos principais.

  • Auditoria de Fase 1 - revisão e planeamento de documentos: O seu auditor irá analisar a conceção e documentação do seu sistema de gestão. Na maioria dos casos, isso é realizado remotamente.
  • Auditoria de Fase 2 - avaliar a sua implementação: O seu auditor avaliará a implementação e a eficácia do seu SGSI em conformidade com os requisitos da ISO 27001. Se não existirem não conformidades, receberá a sua certificação. Esta fase pode ser realizada remotamente ou no local.
  • Promova a sua certificação ISO27001: A sua certificação demonstra um compromisso com as melhores práticas internacionalmente reconhecidas e a melhoria contínua, ajudando-o a garantir novos negócios e a satisfazer as exigências dos clientes.
O que é a norma ISO 27002:2022 e qual o seu impacto?

A publicação da norma ISO 27002:2022 fornece uma atualização da lista de controlos presentes na norma ISO 27001 - que data de 2013. Os controlos revistos reflectem os desenvolvimentos relacionados com as ameaças e as melhores práticas actuais, e o âmbito alargado da ISO 27002 ajuda a garantir que as medidas de gestão de riscos são abrangentes e eficazes. As organizações podem utilizar a lista abrangente de controlos para tratar os riscos que identificaram ou descobrir potenciais lacunas - ajudando-as a manterem-se um passo à frente do cenário de ameaças complexo e em evolução que as empresas enfrentam atualmente.

Está em desenvolvimento uma nova versão da ISO 27001?

Em 25 de outubro de 2022, foi publicada uma nova versão da norma ISO 27001. Com os novos controlos delineados pela ISO 27002:22, as organizações terão de rever a sua avaliação de riscos e determinar se é necessário implementar novos tratamentos de riscos.

Já tem a certificação ISO 27001 e gostaria de a transferir?

Se possui um certificado de aprovação acreditado válido com outro fornecedor e está a considerar mudar de fornecedor, a transferência da sua certificação ISO 27001 para á LRQA é simples. Trabalharemos consigo para garantir que a sua transferência é tão suave quanto possível.