ISO 27001

A ISO 27001 é uma norma que possui como princípio a adoção de conjuntos de requisitos, processos e controles, com o objetivo de moderar e medir adequadamente os riscos de uma organização. A norma é referência internacional de padrão para a gestão da Segurança da Informação, assim como a ISO 9001 é referência para a certificação de gestão de Qualidade.

É composta por dois componentes, relativamente distintos, o Sistema de Gestão e o Anexo A. Os componentes são formados por:

Sistema de Gestão

• 4. Contexto da Organização
• 5. Liderança
• 6. Planejamento
• 7. Suporte
• 8. Operação
• 9. Avaliação de Desempenho
• 10. Melhoria

Anexo A

• 5. Políticas de Segurança
• 6. Organização da Segurança da Informação
• 7. Segurança em Recursos Humanos
• 8. Gestão de Ativos
• 9. Controle de Acessos
• 10. Criptografia
• 11. Segurança Física e do Ambiente
• 12. Segurança nas Operações
• 13. Segurança nas Comunicações
• 14. Aquisição, Desenvolvimento e Manutenção de Sistemas
• 15. Relacionamento na Cadeia de Suprimentos
• 16. Gestão de Incidentes de Segurança da Informação
• 17. Aspectos da Segurança da Informação na Gestão de Continuidade de Negócio
• 18. Conformidade

Quais os benefícios para quem adota a ISO 27001?

Independente da certificação, a adoção das práticas de gestão da Segurança da Informações de acordo com a norma representa um conjunto de benefícios:

• Demonstra um compromisso dos executivos da organização para com a Segurança da Informação;
• Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos apenas baseados em tendências;
• Aumenta a confiabilidade e a Segurança da Informação dos sistemas, em termos de confidencialidade, integridade e disponibilidade;
• Aumenta a confiança e a satisfação dos clientes e parceiros, providenciando um maior potencial para a realização de mais negócios;
• A implantação dos controles provenientes da normal e da análise de riscos, melhora o desempenho operacional das organizações.

Quanto tempo leva até a certificação?

O tempo até a certificação depende de algumas variáveis levadas em consideração para cálculo.

• Equipe: quem são as pessoas que farão parte desse projeto, juntamente com o nível de conhecimento dos processos internos da organização;
• Tempo: qual a disponibilidade das pessoas para a dedicação total ao projeto;
• Investimento: qual o valor que deverá ser investido para que todos os requisitos, considerados aplicáveis pela organização, sejam adotados em sua completude.

Dessa forma, uma empresa leva em média 12 meses para a obtenção do certificado.

Nota

A Senior possui o Sistema de Gestão de Segurança da Informação (SGSI), certificado pela ISO 27001:2013, e pode tirar dúvidas referentes à adoção da norma por parceiros, clientes e fornecedores.

Fontes:

• Site ISO 27001.
• Site Certificação ISO.