Certificação ISO 27001 e seus desafios

A certificação ISO 27001 trata-se sobre sistemas de gestão de segurança da informação, atualmente se figura como uma das certificações que mais crescem em todo mundo,  apresentando inúmeros desafios para organizações.

certificação ISO 27001 – Sistemas de Gestão de Segurança da Informação apresenta uma estrutura de acordo com o Anexo SL, ou seja, a mesma estrutura de requisitos das principais normas de sistemas de gestão como a ISO 9001, ISO 14001, entre outros.

A estrutura da certificação ISO 27001 contém uma grande diferença em relação as outras normas de sistemas de gestão, o Anexo A, que estabelece objetivos de controle e seus respectivos controles de segurança da informação. A organização deve implementar esses controles em seus processos para mitigação de seus riscos de segurança da informação.

A Norma possui 114 controles diferentes desde gestão de ativos a trabalho remoto, passando por controle de acesso e gestão de redes, os controles são apresentados abaixo.

Abaixo coloco alguns diferentes tipos de controles, como um exemplo que os controles do Anexo A são diversos e podem abarcar diversos riscos de segurança da informação. A organização deve analisar criticamente cada um dos controles e verificar sua aplicabilidade, caso não aplicável a justificativa deve ser razoável o suficiente para determinar a conformidade do processo:

  • Inventário dos ativos
  • Gerenciamento de acesso do usuário
  • Controles de entrada física
  • Proteção contra códigos maliciosos
  • Controles de redes
  • Análise e especificação dos requisitos de segurança da informação
  • Procedimentos para controle de mudanças de sistemas
  • Cadeia de suprimento na tecnologia da comunicação e informação
  • Avaliação e decisão dos eventos de segurança da informação
  • Coleta de evidências
  • Implementando a continuidade da segurança da informação

Os principais desafios na implementação de um sistema de gestão de segurança da informação e na certificação ISO 27001 é justamente como implementar cada controle de segurança da informação, esse é um processo técnico e a área de tecnologia da informação e infraestrutura da organização deve ser envolvida no projeto de implementação da norma, para que assim com uma equipe multidisciplinar o sistema de gestão seja implementado de uma forma eficaz.

Outro ponto importante que se tornam desafios na certificação ISO 27001 é a competência dos profissionais responsáveis pelo sistema de gestão, desde consultores, DPO, gerentes, etc. Em uma certificação ISO 27001 é importante que o profissional tenha conhecimento tanto sobre processos de sistemas de gestão, como conhecimento em tecnologia da informação e assuntos correlatos aos controles do Anexo A, obviamente que o melhor caminho, como citado acima, é que a organização estabeleça uma equipe multidisciplinar afim de possuir todas essas competências. Na QMS, temos um curso de formação profissional de Auditor Líder ISO 27001 e ISO 27701, essa competência fornece ao aluno os dois conhecimentos, para que assim o profissional se sinta apto em auditar e implementar um sistema de gestão de segurança da informação.

É importante também citar que a certificação ISO 27001 é um processo já maduro, a ISO 27001 está em sua versão 2013, com inúmeras organizações certificadas em todo mundo, por meio do advento das leis globais sobre privacidade de dados como LGPD, GPDR, e outras, a norma ganhou destaque nos principais comitês de governança das organizações, para assim ajudar organizações e processos no compliance digital e na governança de segurança da informação.

No fim do dia, o grande objetivo da certificação ISO 27001 é proteger organizações dos riscos de segurança da informação diversos, e assim promover um processo transparente e eficaz de governança corporativa nos assuntos de privacidade e segurança da informação, e assim com a certificação ISO 27001 poder demonstrar por meio de seu certificado que a empresa se preocupa e toma medidas nessas questões.

Recentemente fizemos um webinar explicando com mais detalhes o processo de auditoria e certificação ISO 27001 combinado com a ISO 27701, confira!

 

QMS Certification

A QMS Certification é um organismo de certificação internacional acreditado que atua especificamente com certificação de sistemas de gestão e treinamentos de normas aplicáveis.

Webinar do mês

Confira nossos conteúdos ao vivo!

Todo mês ensinamos ao novo gratuitamente, confira e se inscreva!

Nos webinars que você assistir ao vivo, há liberação de um certificado de participação ;)

Logo Q Academy Branco

Cursos online de
Sistemas de Gestão

Governança de Inteligência Artificial: o que é, e como funciona?

Governança de Inteligência Artificial: o que é, e como funciona?

O surgimento da inteligência artificial otimizou os fluxos de trabalho, mas os riscos e as responsabilidades das empresas aumentaram proporcionalmente aos benefícios do avanço tecnológico. Por esse motivo, a governança de IA é essencial para que os princípios éticos e a legislação sejam respeitados.

KYC e PLD: o que é e qual relação entre eles?

KYC e PLD: o que é e qual relação entre eles?

Os termos KYC (Know Your Customer) e PLD (Prevenção à Lavagem de Dinheiro) fazem parte do dia a dia das instituições financeiras. Ambos têm um papel relevante na segurança e conformidade regulatória, embora sejam conceitos totalmente diferentes, ambos relacionados à análise de riscos.

Quais são os tipos de riscos enfrentados pelas empresas?

Quais são os tipos de riscos enfrentados pelas empresas?

Enfrentar riscos é uma parte inevitável do cotidiano empresarial e as organizações de todos os tamanhos e setores enfrentam riscos inesperados. A melhor forma de evitar ou minimizar impactos negativos é através da gestão cuidadosa de riscos empresariais.