Qual é o significado da ISO 27001?
Primeiro, é importante observar que o nome completo da ISO 27001 é “ISO / IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gerenciamento de segurança da informação – Requisitos. ”
É a norma internacional líder com foco em segurança da informação, publicada pela International Organization for Standardization (ISO), em parceria com a International Electrotechnical Commission (IEC). Ambas são organizações internacionais líderes que desenvolver padrões internacionais.
A ISO-27001 faz parte de um conjunto de padrões desenvolvidos para lidar com a segurança da informação: a série ISO / IEC 27000.
Qual é o propósito da ISO 27001?
A ISO 27001 foi desenvolvida para ajudar organizações, de qualquer tamanho ou setor, a proteger suas informações de forma sistemática e econômica, por meio da adoção de um Sistema de Gestão de Segurança da Informação (SGSI).
Por que o ISO 27001 é importante?
Não apenas o padrão fornece possui o know-how necessário para proteger suas informações mais valiosas, mas uma empresa também pode obter a certificação ISO 27001 e, assim, provar a seus clientes e parceiros que protege seus dados.
Os indivíduos também podem obter a certificação ISO 27001 participando de um curso e passando no exame e, dessa forma, provar suas habilidades para empregadores em potencial.
Por ser um padrão internacional, A ISO 27001 é facilmente reconhecida em todo o mundo, aumentando as oportunidades de negócios para organizações e profissionais.
Quais são os três objetivos de segurança do ISMS?
O objetivo básico da ISO 27001 é proteger três aspectos da informação:
- Confidencialidade: apenas as pessoas autorizadas têm direito de acesso às informações.
- Integridade: apenas as pessoas autorizadas podem alterar as informações.
- Disponibilidade: a informação deve estar acessível a pessoas autorizadas sempre que necessário.
O que é um SGSI?
Um Sistema de Gestão de Segurança da Informação (SGSI) é um conjunto de regras que uma empresa precisa estabelecer para:
- identificar as partes interessadas e suas expectativas da empresa em termos de segurança da informação
- identificar quais riscos existem para as informações
- definir controles (salvaguardas) e outros métodos de mitigação para atender às expectativas identificadas e lidar com os riscos
- definir objetivos claros sobre o que precisa ser alcançado com segurança da informação
- implementar todos os controles e outros métodos de tratamento de risco
- medir continuamente se os controles implementados funcionam conforme o esperado
- fazer melhoria contínua para tornar todo o SGSI funcionam melhor
Este conjunto de regras pode ser escrito na forma de políticas, procedimentos e outros tipos de documentos, ou pode ser na forma de processos e tecnologias estabelecidas que não são documentado. A ISO 27001 define quais documentos são necessários, ou seja, quais devem existir no mínimo.
Por que precisamos de ISMS?
Existem quatro benefícios comerciais essenciais que uma empresa pode alcançar com a implementação deste padrão de segurança da informação:
Cumprir os requisitos legais – há um número cada vez maior de leis, regulamentos e requisitos contratuais relacionados à segurança da informação, e a boa notícia é que a maioria deles pode ser resolvida com a implementação da ISO 27001 – esta norma oferece a metodologia perfeita para cumprir com todos eles.
Obtenha vantagem competitiva – se sua empresa for certificada e seus concorrentes não, você pode ter uma vantagem sobre eles aos olhos dos clientes que são sensíveis em manter suas informações seguras.
Custos mais baixos – a filosofia principal da ISO 27001 é evitar que ocorram incidentes de segurança – e cada incidente, grande ou pequeno, custa dinheiro. Portanto, ao evitá-los, sua empresa economizará muito dinheiro. E o melhor de tudo – o investimento em ISO 27001 é muito menor do que a economia de custo que você alcançará.
Melhor organização – normalmente, empresas de crescimento rápido não têm tempo para parar e definir seus processos e procedimentos – como consequência, muitas vezes os funcionários não sabem o que precisa ser feito, quando, e por quem. A implantação da ISO 27001 auxilia na solução dessas situações, pois incentiva as empresas a anotar seus principais processos (mesmo os não relacionados à segurança), possibilitando a redução do tempo perdido de seus funcionários.
Como funciona a ISO 27001?
O foco da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade das informações em uma empresa. Isso é feito descobrindo quais problemas potenciais podem acontecer com as informações (ou seja,, avaliação de risco) e, em seguida, definir o que precisa ser feito para evitar que tais problemas aconteçam (ou seja, mitigação de risco ou tratamento de risco).
Portanto, a principal filosofia da ISO 27001 é baseada em um processo de gerenciamento de riscos: descobrir onde estão os riscos, e então tratá-los sistematicamente, através da implementação de controles de segurança (ou salvaguardas).
A ISO 27001 exige que uma empresa liste todos os controles que devem ser implementados em um documento denominado Declaração de aplicabilidade.
Quais são os requisitos da ISO 27001?
Os requisitos obrigatórios da ISO 27001 são definidos em suas cláusulas de 4 a 10 – isso significa que todos esses requisitos devem ser implementados em uma organização se ela quiser estar em conformidade com o padrão. Os controles do Anexo A devem ser implementados apenas se declarados como aplicáveis na Declaração de Aplicabilidade.
Os requisitos das seções 4 a 10 podem ser resumidos da seguinte forma:
Cláusula 4: Contexto de a organização – define os requisitos para o entendimento de questões externas e internas, as partes interessadas e seus requisitos e define o escopo do SGSI.
Cláusula 5: Liderança – define as responsabilidades da alta administração, definindo as funções e responsabilidades e o conteúdo da Política de Segurança da Informação de nível superior.
Cláusula 6: Planejamento – define os requisitos para avaliação de risco, tratamento de risco, Declaração de aplicabilidade, plano de tratamento de risco e definição dos objetivos de segurança da informação.
Cláusula 7: Suporte – define requisitos para disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros.
Cláusula 8: Operação – define a implementação da avaliação e tratamento de riscos, bem como os controles e outros processos necessários para atingir os objetivos de segurança da informação.
Cláusula 9: Avaliação de desempenho – define requisitos para monitoramento, medição, análise, avaliação, auditoria interna e análise crítica pela direção.
Cláusula 10: Melhoria – define os requisitos para não-conformidades, correções, ações corretivas e melhoria contínua.
Quais são os 14 domínios da ISO 27001?
Há são 14 “domínios” listados no Anexo A da ISO 27001, organizados nas seções A.5 a A.18. As seções cobrem o seguinte:
A.5. Políticas de segurança da informação: Os controles nesta seção descreve como lidar com as políticas de segurança da informação.
A.6. Organização da segurança da informação: Os controles nesta seção fornecem a estrutura básica para a implementação e operação da segurança da informação, definindo sua organização interna (por exemplo, funções , responsabilidades, etc.), e através dos aspectos organizacionais de segurança da informação, como gerenciamento de projetos, uso de dispositivos móveis e teletrabalho.
A.7. Segurança de recursos humanos: Os controles nesta seção garantem que as pessoas que estão sob o controle da organização são contratadas, treinadas e gerenciadas de forma segura; também, o pr incípios de ação disciplinar e rescisão dos acordos são abordados.
A.8. Gerenciamento de ativos: Os controles nesta seção garantem que os ativos de segurança da informação (por exemplo, informações, dispositivos de processamento, dispositivos de armazenamento, etc.) sejam identificados, que as responsabilidades por sua segurança sejam designadas e que as pessoas saibam como lidar com eles de acordo com a classificação predefinida níveis.
A.9. Controle de acesso: os controles nesta seção limitam o acesso a informações e ativos de informações de acordo com as necessidades reais do negócio. Os controles são para acesso físico e lógico.
A.10. Criptografia: Os controles nesta seção fornecem a base para o uso adequado de soluções de criptografia para proteger a confidencialidade, autenticidade e / ou integridade das informações.
A.11. Segurança física e ambiental: Os controles nesta seção evitam o acesso não autorizado às áreas físicas e protegem os equipamentos e instalações de serem comprometidos por intervenção humana ou natural.
A.12. Segurança de operações: os controles nesta seção garantem que os sistemas de TI, incluindo sistemas operacionais e software, estejam seguros e protegidos contra perda de dados. Além disso, os controles nesta seção requerem meios para registrar eventos e gerar evidências, verificação periódica de vulnerabilidades e tomar precauções para evitar que as atividades de auditoria afetem as operações.
A.13. Segurança das comunicações: os controles nesta seção protegem a infraestrutura e os serviços da rede, bem como as informações que trafegam por eles.
A.14. Aquisição, desenvolvimento e manutenção do sistema: Os controles nesta seção garantem que a segurança da informação seja levada em consideração ao comprar novos sistemas de informação ou atualizar os existentes.
A.15.Relacionamentos com fornecedores: os controles nesta seção garantem que as atividades terceirizadas realizadas por fornecedores e parceiros também usem controles de segurança da informação apropriados e descrevem como monitorar o desempenho da segurança de terceiros.
A.16. Gerenciamento de incidentes de segurança da informação: Os controles nesta seção fornecem uma estrutura para garantir a comunicação e o tratamento adequados de eventos e incidentes de segurança, para que possam ser resolvidos em tempo hábil; eles também definem como preservar as evidências, bem como aprender com os incidentes para prevenir sua recorrência.
A.17. Aspectos da segurança da informação do gerenciamento da continuidade do negócio: Os controles nesta seção garantem a continuidade do gerenciamento da segurança da informação durante as interrupções e a disponibilidade dos sistemas de informação.
A.18. Conformidade: os controles nesta seção fornecem uma estrutura para evitar violações legais, estatutárias, regulamentares e contratuais e auditar se a segurança da informação está implementada e é eficaz de acordo com as políticas, procedimentos e requisitos definidos do padrão ISO 27001.
Uma análise mais detalhada desses domínios nos mostra que o gerenciamento da segurança da informação não envolve apenas a segurança de TI (ou seja, firewalls, antivírus, etc.), mas também sobre o gerenciamento de processos, proteção legal, gerenciamento de recursos humanos, físico proteção, etc.
O que são os controles ISO 27001?
Os controles ISO 27001 (também conhecidos como salvaguardas) são as práticas a serem implementadas para reduzir os riscos a níveis aceitáveis. Os controles podem ser técnicos, organizacionais, legais, físicos, humanos, etc.
Quantos controles existem na ISO 27001?
A ISO 27001 Anexo A lista 114 controles organizados nas 14 seções numerados de A.5 a A.18 listados acima.
Como você implementa os controles ISO 27001?
Os controles técnicos são implementados principalmente em sistemas de informação, usando componentes de software, hardware e firmware adicionado ao sistema. Por exemplo. backup, software antivírus, etc.
Os controles organizacionais são implementados por meio da definição de regras a serem seguidas e do comportamento esperado dos usuários, equipamentos, software e sistemas. Por exemplo. Política de controle de acesso, política de BYOD, etc.
Os controles legais são implementados garantindo que as regras e os comportamentos esperados sigam e façam cumprir as leis, regulamentos, contratos e outros instrumentos legais semelhantes que a organização deve cumprir. Por exemplo. NDA (acordo de não divulgação), SLA (acordo de nível de serviço), etc.
Os controles físicos são implementados principalmente pelo uso de equipamentos ou dispositivos que têm uma interação física com pessoas e objetos. Por exemplo. Câmeras de CFTV, sistemas de alarme, travas, etc.
Os controles de recursos humanos são implementados fornecendo conhecimento, educação, habilidades ou experiência às pessoas para permitir que realizem suas atividades de maneira segura. Por exemplo. treinamento de conscientização de segurança, treinamento de auditor interno ISO 27001, etc.
Documentos obrigatórios ISO 27001
ISO 27001 especifica um conjunto mínimo de políticas, procedimentos, planos, registros e outras informações documentadas que são necessárias para se tornarem compatíveis.
A ISO 27001 exige que os seguintes documentos sejam escritos:
E estes são os registros obrigatórios:
Claro, uma empresa pode decidir escrever documentos de segurança adicionais se achar necessário.
Para ver uma explicação mais detalhada de cada um desses documentos, baixe a Lista de verificação de documentação obrigatória exigida pela ISO 27001 (revisão de 2013) do white paper gratuito.
Quanto custa a ISO 27001 ?
Os custos de implementação e certificação do SGSI dependerão do tamanho e da complexidade do escopo do SGSI, que varia de organização para organização. O custo também dependerá dos preços locais dos vários serviços que você utilizará para a implementação.
Em termos gerais, estes são alguns dos custos que você deve considerar:
- Treinamento e literatura
- Assistência externa
- Tecnologias a ser atualizado / implementado
- esforço e tempo dos funcionários
- O custo do organismo de certificação
Para ver uma explicação mais detalhada da certificação custos, baixe o white paper gratuito Como fazer o orçamento de um projeto de implementação ISO 27001.
O que é “certificado pelo ISO 27001”?
Uma empresa pode ir para a certificação ISO 27001 convidando um credenciado organismo de certificação para realizar a auditoria de certificação e, se a auditoria for bem-sucedida, emitir o certificado ISO 27001 para a empresa. Este certificado significa que a empresa está em total conformidade com o padrão ISO 27001.
Um indivíduo pode obter a certificação ISO 27001 passando pelo treinamento ISO 27001 e passando no exame. Este certificado significa que essa pessoa adquiriu as habilidades adequadas durante o curso.
Por quanto tempo a ISO 27001 é válida uma vez certificada?
Uma vez que um organismo de certificação emite um certificado ISO 27001 para uma empresa, ele é válido por um período de três anos, durante o qual o organismo de certificação realizará auditorias de supervisão para avaliar se a organização está mantendo o SGSI adequadamente, e se as melhorias necessárias estão sendo implementadas no devido tempo.
Quais empresas são certificadas pela ISO 27001?
O site ISO.org fornece uma visão geral das organizações certificadas, categorizadas por setor, país, número de sites, etc. Você pode encontrar o Pesquisa ISO neste link: https://www.iso.org/the-iso-survey.html.
Para verificar se uma determinada empresa é certificada pela ISO 27001, você deve entrar em contato com o organismo de certificação, porque não há banco de dados centralizado oficial de empresas certificadas.
Uma pessoa pode ser certificada pela ISO?
Sim, um indivíduo pode obter a certificação ISO 27001 participando de um ou mais dos seguintes treinamentos e passando o exame:
- Curso de Implementador Líder ISO 27001 – este treinamento é destinado a profissionais e consultores avançados.
- Curso de Auditor Líder ISO 27001 – este treinamento é destinado a auditores em certificação órgãos e para consultores.
- Curso de Auditor Interno ISO 27001 – este treinamento é destinado a pessoas que irão realizar auditorias internas em suas empresas.
- Curso de fundamentos ISO 27001 – este treinamento é direcionado a pessoas que desejam aprender os fundamentos do padrão e as principais etapas de implementação.
Quais são os padrões ISO 27000?
Por definir os requisitos para um ISMS, o ISO 27001 é o principal padrão na família de padrões ISO 27000. Porém, como define principalmente o que é necessário, mas não especifica como fazê-lo, vários outros padrões de segurança da informação foram desenvolvidos para fornecer orientação adicional. Atualmente, existem mais de 40 padrões na série ISO27k, e os mais comumente usados são os seguintes:
ISO / IEC 27000 fornece termos e definições usados na série de padrões ISO 27k.
A ISO / IEC 27002 fornece diretrizes para a implementação dos controles listados no ISO 27001 Anexo A. Pode ser bastante útil, pois fornece detalhes sobre como implementar esses controles.
ISO / IEC 27004 fornece diretrizes para a medição da segurança da informação – se encaixa bem com a ISO 27001, porque explica como determinar se o SGSI atingiu seus objetivos.
A ISO / IEC 27005 fornece diretrizes para o gerenciamento de riscos de segurança da informação. É um suplemento muito bom para a ISO 27001, porque fornece detalhes sobre como realizar a avaliação e o tratamento de riscos, provavelmente a etapa mais difícil da implementação.
ISO / IEC 27017 fornece diretrizes para segurança da informação em ambientes de nuvem.
ISO / IEC 27018 fornece diretrizes para a proteção da privacidade em ambientes de nuvem.
A ISO / IEC 27031 fornece diretrizes sobre o que considerar ao desenvolver a continuidade dos negócios para Tecnologias de Informação e Comunicação (TIC). Este padrão é um ótimo elo entre as práticas de segurança da informação e continuidade de negócios.
Qual é a versão atual da ISO 27001?
Na data de publicação deste artigo, a versão atual do ISO 27001 é ISO / IEC 27001: 2013.
A primeira versão da ISO 27001 foi lançada em 2005 (ISO / IEC 27001: 2005), a segunda versão em 2013 e o padrão foi revisado pela última vez em 2019 , quando a versão de 2013 foi confirmada (ou seja, nenhuma alteração foi necessária).
É importante observar que diferentes países que são membros da ISO podem traduzir o padrão em seus próprios idiomas, fazendo pequenos acréscimos (por exemplo , prefácios nacionais) que não afetem o conteúdo da versão internacional da norma. Essas “versões” possuem letras adicionais para diferenciá-las do padrão internacional, por exemplo, NBR ISO / IEC 27001 designa a “versão brasileira”, enquanto a BS ISO / IEC 27001 designa a “versão britânica”. Essas versões locais da norma também contêm o ano em que foram adotadas pelo organismo de normalização local, portanto, a versão britânica mais recente é BS EN ISO / IEC 27001: 2017, o que significa que a ISO / IEC 27001: 2013 foi adotada pela British Standards Institution em 2017.
Qual é a diferença entre a ISO 27001 e 27002?
A ISO 27001 define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), enquanto a ISO 27002 fornece orientação sobre a implementação de controles da ISO 27001 Anexo A.
Em outras palavras, para cada controle, a ISO 27001 fornece apenas uma breve descrição, enquanto a ISO 27002 fornece orientação detalhada.
Qual é a diferença entre NIST e ISO 27001?
Embora ISO 27001 seja um padrão internacional, o NIST é uma agência governamental dos Estados Unidos que promove e mantém padrões de medição nos Estados Unidos – entre eles a série SP 800, um conjunto de documentos que especifica melhores práticas para segurança da informação.
Embora não sejam iguais, a série NIST SP 800 e a ISO 27001 podem ser usadas juntas para implementação de segurança da informação.
A ISO 27001 é obrigatória?
Na maioria dos países, a implementação da ISO 27001 não é obrigatória. No entanto, alguns países publicaram regulamentações que exigem que certas indústrias implementem a ISO 27001.
Para determinar se a ISO 27001 é obrigatória ou não para sua empresa, você deve procurar aconselhamento jurídico especializado no país onde opera.
O que são os controles ISO 27001?
Organizações públicas e privadas podem definir a conformidade com a ISO 27001 como um requisito legal em seus contratos e acordos de serviço com seus fornecedores. Além disso, conforme mencionado acima, os países podem definir leis ou regulamentos que tornem a adoção da ISO 27001 um requisito legal a ser cumprido pelas organizações que operam em seu território.
Para saber mais sobre o GDPR da UE e por que ele é aplicável em todo o mundo, consulte este artigo.