ISO/IEC 27001 (ISMS): CERTIFICAÇÃO DO SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A ISO 27001 é a norma internacional de sistemas de gestão que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). A norma fornece um quadro de melhores práticas para identificar, analisar e implementar controlos para gerir e mitigar riscos, reduzindo a probabilidade de uma violação da segurança da informação.
Qualquer organização, independentemente da dimensão e do setor, pode utilizar os requisitos e controlos da ISO 27001 para implementar um SGSI eficaz que pode ser certificado de forma independente.

A certificação ISO 27001 acreditada e fornecida por um organismo de certificação reputado e independente demonstra um compromisso relativamente à segurança da informação, fornecendo uma visão imparcial quanto à robustez e eficácia do seu SGSI. Isso ajuda a cumprir as obrigações contratuais e, em muitos casos, funciona como uma licença para a negociação.

Proteja os seus dados e reputação

A certificação ISO 27001 demonstra que estabeleceu uma abordagem sistemática e baseada no risco quanto à segurança da informação que motiva as melhores práticas em torno de: 

• Identificar os riscos da segurança da informação e cibersegurança
• Analisar os riscos com base no impacto e na probabilidade de ocorrência
• Avaliar os riscos e priorizar quando devem ser abordados com base em fatores relacionados com a sua empresa
• Selecionar opções de tratamento de riscos

Demonstrar a conformidade com as leis, regulamentos e requisitos contratuais

A obtenção da certificação ISO 27001 requer que identifique a legislação aplicável, tal como o RGPD da UE ou regulamentos como a HIPPA. Isto tem um impacto positivo na gestão de riscos e na governança corporativa, ajudando-o a demonstrar conformidade e a cumprir com os requisitos contratuais.

Vantagem competitiva

A certificação da LRQA proporciona aos clientes e partes interessadas a confiança de que os riscos de segurança (que podem estar relacionados com TI, pessoas, ambiente físico e continuidade de negócio) foram devidamente abordados para proteger as suas informações.

A certificação ISO 27001 apresenta uma declaração clara da sua capacidade e demonstra que opera de acordo com as melhores práticas reconhecidas internacionalmente, ajudando-o a obter novos negócios.

As auditorias da ISO 27001 seguem a mesma abordagem de outros sistemas de gestão baseados no Anexo SL. Pode começar por formação e análise de falhas, mas o processo formal envolve uma auditoria à conceção do SGSI (Fase 1) e uma auditoria à sua operacionalização (Fase 2). Os resultados destas auditorias são revistos tecnicamente por uma pessoa qualificada e independente na LRQA para garantir consistência e alinhamento com o nosso compromisso com as melhores práticas definidas pelos acreditadores.

Uma vez aprovado, o seu certificado ISO 27001 é emitido e inicia um ciclo de auditorias de acompanhamento de três anos que conduzem a uma auditoria de renovação para restabelecer os três anos seguintes. O acompanhamento permite à LRQA e à sua organização gerir mudanças e garantir que as auditorias são relevantes para as necessidades atuais do setor.

Uma vez aprovada, a certificação é válida por três anos, desde que a manutenção efectiva do sistema seja demonstrada através do programa de vigilância.

Uma declaração típica do âmbito do certificado SGSI inclui atividades relacionadas com o fornecimento de produtos e serviços. Não necessita de incluir atividades internas ou processos SGSI. O objetivo consiste em garantir ao leitor que a informação fornecida quando recebe o produto ou serviço está protegida.

A declaração de aplicabilidade refere-se à lista de controlos selecionados. Não fornece detalhes destes controlos, mas uma referência rastreável a uma declaração de controlo utilizada como base para a última auditoria de ISO 27001. Por vezes, as organizações têm uma versão pública partilhável que apenas enumera os controlos selecionados no Anexo A da ISO 27001, mas este não é um requisito obrigatório.

O custo baseia-se no número de dias de auditoria que está relacionado com o número de funcionários no âmbito do SGSI. O número de dias de auditoria é publicado na norma de acreditação, ISO 27006, e está disponível para todos. A contratação de um organismo de certificação acreditado como o LRQA garante-lhe uma duração de auditoria proposta com base nas melhores práticas da indústria, que é comparável a todos os outros organismos de certificação acreditados.

A título de exemplo, uma organização com 100 equivalentes a tempo inteiro (ETI) deve esperar uma duração de auditoria inicial (Fase 1 + Fase 2) entre 8 e 12 dias, dependendo do sector em que opera, da complexidade do seu ambiente de trabalho, do facto de estar envolvida no desenvolvimento de software ou da necessidade de integrar a segurança no produto. O programa de controlo subsequente será de 3-4 dias/ano e a renovação de 6-8 dias.

Sim - uma vez que tanto a ISO 9001 como a ISO 27001 se baseiam no modelo genérico de melhores práticas para os sistemas de gestão - Anexo SL - os principais processos de gestão podem ser optimizados para cumprir os requisitos de ambas as normas. De facto, a conceção de um sistema para responder a ambas melhora a eficácia da governação organizacional. Por exemplo, os objectivos comerciais, como o crescimento, exigem frequentemente o desenvolvimento de novos produtos, sendo a segurança normalmente considerada uma norma de qualidade em conformidade com as expectativas do mercado. A integração também pode minimizar a duplicação, o que pode levar a uma redução do tempo de auditoria, proporcionando uma opção económica.

O caminho que a sua organização tem para obter a certificação ISO 27001 depende, muitas vezes, do nível de maturidade da sua empresa relativamente à segurança da informação e à gestão de risco mais ampla, entre outros fatores. Mas o processo normal para obter a certificação ISO 27001 inclui 3 passos principais.

• Auditoria de Fase 1 - revisão e planeamento de documentos: O seu auditor irá analisar a conceção e documentação do seu sistema de gestão. Na maioria dos casos, isso é realizado remotamente.
• Auditoria de Fase 2 - avaliar a sua implementação: O seu auditor avaliará a implementação e a eficácia do seu SGSI em conformidade com os requisitos da ISO 27001. Se não existirem não conformidades, receberá a sua certificação. Esta fase pode ser realizada remotamente ou no local.
• Promova a sua certificação ISO27001: A sua certificação demonstra um compromisso com as melhores práticas internacionalmente reconhecidas e a melhoria contínua, ajudando-o a garantir novos negócios e a satisfazer as exigências dos clientes.

A publicação da norma ISO 27002:2022 fornece uma atualização da lista de controlos presentes na norma ISO 27001 - que data de 2013. Os controlos revistos reflectem os desenvolvimentos relacionados com as ameaças e as melhores práticas actuais, e o âmbito alargado da ISO 27002 ajuda a garantir que as medidas de gestão de riscos são abrangentes e eficazes. As organizações podem utilizar a lista abrangente de controlos para tratar os riscos que identificaram ou descobrir potenciais lacunas - ajudando-as a manterem-se um passo à frente do cenário de ameaças complexo e em evolução que as empresas enfrentam atualmente.

Em 25 de outubro de 2022, foi publicada uma nova versão da norma ISO 27001. Com os novos controlos delineados pela ISO 27002:22, as organizações terão de rever a sua avaliação de riscos e determinar se é necessário implementar novos tratamentos de riscos.