O que é ISO 27001?
ISO é a abreviação de International Organization for Standardization. Traduzindo para a língua portuguesa, temos: Organização Internacional de Normalização.
Portanto, é uma entidade que tem como função promover a padronização dos serviços e produtos. Isso a partir de normas técnicas, processos e procedimentos que determinam um nível de qualidade aceito e padrões para que esta seja sempre melhorada.
Para que esses padrões possam compreender o máximo de serviços e produtos, para cada área é criada uma “família” de normas. Portanto, a norma ISO 27001 compete à família da ISO 27000. Esta, por sua vez, está relacionada à normalização dos serviços que envolvem segurança da informação.
Assim, ela organiza um modelo de Sistema de Gestão de Segurança da Informação (SGSI) que deve ser adotado de maneira estratégica em cada empresa. Por isso que estar em conformidade com a norma, é possível prevenir riscos e danos.
E com a sua implementação, nota-se alguns benefícios como:
- Redução de custos. Por conta da diminuição de riscos e danos que causam gastos desnecessários.
- Vantagem no Mercado. Por causa da confiança que passa para os potenciais clientes.
- Organização da empresa. Ao implementar ISO 27001, há um grande auxílio no crescimento da empresa pelos novos modos de tomadas de decisão.
Para isso, a norma ISO 27001 possui alguns que requisitos são fundamentais na sua obtenção.
Requisitos: O que é preciso fazer?
A norma está dividida em 5 grandes etapas para sua implementação. A partir delas, há uma série de requisitos que se especificam para alcançar o máximo de soluções possível.
Veja:
1 . Entender o contexto da organização
Nesta etapa os requisitos necessários são justamente para a análise e compreensão da empresa e da liderança:
- Como a empresa lida com Segurança da Informação?
- Ela tem um SGSI?
- Como a liderança da empresa lida com as políticas de um SGSI, responsabilidades e suas funções?
- Qual o nível de comprometimento da liderança com a Segurança da Informação?
Perguntas como essas podem facilitar no processo de compreender onde a empresa se encontra na implementação do SGSI, por exemplo.
2 . Avaliação de Riscos
Na etapa de avaliação de riscos, é necessário que monte o planejamento e se avalie o suporte.
Você já viu no nosso artigo ISO 27001 – Como implementar? Tudo o que você precisa saber que a ISO 27001 é uma norma de gestão de riscos e por isso nessa segunda etapa avaliamos todos os processos internos da organização e os riscos relacionados à segurança da informação e criamos uma classificação de riscos para todos os pontos identificados”.
Isso quer dizer que:
Planejamento
Por isso, no caso do planejamento, são realizadas ações para identificar riscos e oportunidades. Além de estabelecer objetivos de Segurança da Informação e planejamento para que sejam alcançados.
Suporte
No caso do suporte, cabe compreender os recursos, as competências e a comunicação. Além de buscar a conscientização sobre Segurança da Informação. Bem como a criação e/ou atualização com controle das informações documentadas.
Ou seja, é a formação de uma fundação que dará suporte a todo o resto da implementação ISO 27001.
3 . Controles operacionais
Nessa etapa é feita a implementação dos controles operacionais. Depois de uma avaliação, é feito o tratamento de risco. Assim, com a finalidade de controlar e/ou eliminar os riscos identificados.
4 . Análise da eficácia
É nessa etapa que a avaliação de desempenho é feita. Isso a partir de um monitoramento, uma medição análise e avaliação. Ou seja, é o momento da Auditoria Interna, também.
5 . Melhoria
A partir do que foi identificado como um problema na Auditoria Interna, as ações corretivas são colocadas em prática.
Porém, um fato muito interessante da última etapa é a melhoria contínua. E isso significa que, mesmo depois da Certificação, é preciso continuar avaliando o que foi atingido. Com isso, é possível estar sempre em conformidade com a norma e atualizando seus processos – evitando o máximo possível de riscos.
Agora que você conhece os Requisitos da ISO 27001, que tal começar já a transformação e o fortalecimento do seu negócio com a consultoria e certificação ISO 27001?
