O que é ISO 27001 e como obter essa certificação? Parte 2
Como implementar a ISO 27001
A implementação da norma ISO 27001 pode ser realizada utilizando os quatro passos do ciclo PDCA (Planejar, Executar, Verificar e Agir), podendo ou não ser gerenciado por outras metodologias mais específicas. É importante que a ISO 27001 seja vista como um projeto de implementação de um Sistema de Gestão da Segurança da Informação e siga alguns passos como, por exemplo:
1: Estudo de escopo
Esta etapa inicial define o escopo do projeto. O escopo deve refletir os objetivos claros do negócio e do projeto de implementação da ISO 27001, incluindo quaisquer requisitos, locais e departamentos específicos. Este escopo irá guiá-lo mais adiante no processo, mantendo você focado em sua tarefa.
2: Avaliação de risco
Uma avaliação de risco é usada para identificar todos os seus ativos de informação e considerar os riscos, ameaças e vulnerabilidades associados. Isso permitirá que você elabore uma lista de ameaças de informações, que podem ser priorizadas com base no nível de risco que elas representam aos seus ativos de informação.
3: Análise de lacunas
Uma análise de lacunas é uma revisão do seu progresso até agora e analisa como você implementou os requisitos da ISO 27001 e os controles de segurança aplicáveis. Alguns controles definidos na ISO 27001 podem não se aplicar à sua organização e aos riscos de segurança da informação aos quais ela está exposta. Se determinadas atividades, como a realização de transações eletrônicas, não forem realizadas em sua organização, o controle associado poderá ser formalmente excluído.
4: Declaração de aplicabilidade
A declaração de aplicabilidade deve listar todos os controles e referências a como e por que elas se aplicam ao seu escopo.
5: Programa de melhoria de segurança
Por esta altura, você terá uma boa compreensão da sua situação de segurança da informação. Políticas e procedimentos revisados agora precisam ser desenvolvidos para proteger os ativos de informação contra os riscos que você identificou, como problemas de pessoal, recursos técnicos e melhorias. Alguns podem exigir uma ação imediata, enquanto outros simplesmente exigirão regras ou instruções atualizadas.
6: Teste, revisão e auditoria interna
À medida que você realiza ações destinadas a melhorar a segurança das informações, cada ação ou mudança no processo deve ser testada para garantir que ela forneça as melhorias necessárias. Isso pode incluir uma avaliação externa, testes de penetração ou revisão por pares. Auditorias internas do SGSI também podem ser realizadas, mas uma visão de fora fará com que você tenha maior êxito na obtenção da ISO 27001.
7: Implementação
Uma vez que suas políticas, procedimentos e controles tenham sido desenvolvidos, você precisará implantá-los. Como toda organização é diferente, as práticas de trabalho também diferem. A implementação de políticas pode ser auxiliada por treinamento, discussão e promoção. O envolvimento positivo da alta administração também é necessário para fazer essas mudanças.
8: Documento final
A declaração de aplicabilidade (SOA) deve ser clara, concisa e de fácil compreensão. Como a ISO 27001 requer aprimoramento contínuo, sua documentação deve ser revisada e corrigida regularmente para refletir as mudanças nas práticas de negócios, nos processos e nos resultados de seu programa contínuo de melhoria de segurança.
9: Revisão da gestão
A gerência deve revisar o SGSI da organização regularmente para garantir sua adequação e efetividade contínuas. A segurança da informação deve ser fundamental para as operações diárias de uma organização e ajustes feitos conforme apropriado para melhorar o desempenho geral do sistema.
10: Melhoria contínua e ação corretiva
Tal como acontece com todos os padrões do sistema de gestão, é necessário rever o que foi alcançado. Auditorias internas e análises gerenciais continuam a ser os principais métodos de avaliação do desempenho do SGSI e das ferramentas para a sua melhoria contínua. As não conformidades do SGSI precisam ser tratadas com ações corretivas para garantir que elas não ocorram novamente. Como em todos os padrões do sistema de gestão, a melhoria contínua é um requisito fundamental do padrão.
Resultados da ISO 27001
A norma ISO 27001 traz benefícios diretos e indiretos para a sua empresa, dentre eles estão:
- Menores custos com tratamento de incidentes de segurança da informação.
- Maior credibilidade da marca, pois demonstra preocupação com os dados do cliente.
- Risco gerenciado por políticas de segurança claras e documentadas.
Diante das crescentes ameaças à segurança da informação, a certificação ISO 27001 é um atestado que sua empresa cumpre os parâmetros necessários para uma boa gestão da segurança da informação.
Contar com a experiência de uma consultoria especializada para a obtenção da ISO 27001 será essencial para encurtar sua jornada para a criação do SGSI e tornará sua obtenção de certificação mais assertiva.
Saiba como está o sistema de gestão de segurança da informação da sua empresa, de acordo com a ISO 27001. Clique na imagem abaixo e realize um autodiagnóstico gratuitamente!
Quer saber mais sobre como obter a certificação da ISO 27001? A ProMove pode te ajudar! Entre em contato conosco.