ISO 27001: Sistemas de gestão da segurança da informação
O que é a ISO 27001?
A ISO 27001:2022 é a norma internacional que fornece uma estrutura para os sistemas de gestão da segurança da informação (ISMS), de modo a garantir a confidencialidade, integridade e disponibilidade contínua das informações, bem como a conformidade legal. A certificação ISO 27001 é essencial para proteger os seus activos mais importantes, as informações dos clientes e dos funcionários, a imagem da empresa e outras informações privadas. A norma ISO inclui uma abordagem baseada em processos para lançar, implementar, operar e manter um ISMS.
A norma ISO 27001:2022 foi publicada em 2022 e substitui as versões anteriores de 2018 e 2013.
A implementação da norma ISO 27001 é a resposta ideal aos requisitos legislativos e dos clientes, incluindo o RGPD e outras potenciais ameaças, nomeadamente: cibercrime, violações de dados pessoais, vandalismo/terrorismo, incêndio/danos, utilização maliciosa, roubo e ataque de vírus.
Em 2019, cerca de 32% das empresas sofreram uma violação de dados pessoais ou foram atacadas nos últimos 12 meses.
A ISO 27001 está estruturada de forma a ser compatível com outras normas de sistemas de gestão, como a ISO 9001, e é neutra em termos de tecnologia e de fornecedores, o que significa que é completamente independente da plataforma de TI. Por conseguinte, todos os membros da organização devem ser informados sobre o significado da norma e a forma como esta se aplica à organização.
A obtenção da certificação ISO 27001 acreditada demonstra que a sua empresa está empenhada em seguir as melhores práticas de segurança da informação. Além disso, a certificação ISO 27001 fornece uma avaliação especializada sobre se as informações da sua empresa estão adequadamente protegidas. Continue a ler para saber mais sobre os benefícios da certificação ISO 27001.
A ISO 27001 registou um aumento de 24,7% nos certificados globais em 2020, demonstrando o crescimento e a importância da certificação acreditada pelo UKAS. Estatísticas retiradas diretamente da última ISO Survey.
Tem alguma questão sobre a norma ISO 27001? Temos a resposta para algumas das perguntas mais frequentes aqui.
Quer implementar um sistema de gestão ISO 27001 e não sabe por onde começar? Consulte o nosso Guia de implementação da ISO 27001 aqui.
Como obter a certificação ISO 27001
Útil com
- Proteção de activos
- Política de segurança
- Estratégia de cibersegurança
- Gestão das tecnologias da informação
- Gestão de incidentes
- Atenuação de ameaças
- Redução do tempo de inatividade
- Prevenção de perdas
- Violações de dados
- Lista de controlo de conformidade
- Sistema de gestão
- RGPD
Outras normas de gestão do risco:
Benefícios da certificação ISO 27001
A ISO 27001 é adequada para a minha empresa?
A certificação ISO 27001 é adequada para a sua empresa se precisar de garantias de que o seu ativo mais importante está protegido contra utilização indevida, corrupção ou perda. Se está à procura de uma forma de proteger informações confidenciais, cumprir os regulamentos do sector, trocar informações de forma segura ou gerir e minimizar a exposição ao risco, a certificação ISO 27001 é uma excelente solução.
Certificámos organizações com a ISO 27001 numa variedade de sectores, incluindo empresas como a America Movil Peru (Claro), Plain Concepts, J.A. del Rio, Icon Multimedia e o Ministério da Defesa do Peru.
A ISO 27001 é adequada para muitos sectores, incluindo agências governamentais, empresas financeiras e de TI, telecomunicações e qualquer outra organização que trabalhe com dados sensíveis.
O QUE É UM SGSI?
Um Sistema de Gestão da Segurança da Informação (SGSI) é uma abordagem sistemática à gestão da informação empresarial sensível, de modo a que esta permaneça segura. Envolve pessoas, processos e sistemas de TI, aplicando um processo de gestão de riscos para ajudar as organizações de qualquer dimensão, em qualquer sector, a manterem seguros os activos de informação empresarial.
Com a crescente gravidade das violações de dados no mundo digitalizado, o ISMS é crucial para reforçar a cibersegurança da sua organização. Alguns dos benefícios do ISMS são
-
Maior resiliência a ataques: O SGSI melhora a sua capacidade de se preparar, responder e recuperar de ciberataques.
-
Gerir todos os dados num único local: Como estrutura central para a informação da sua organização, o SGSI permite-lhe gerir tudo num único local.
-
Proteger facilmente qualquer informação: Quer pretenda proteger informações em papel, na nuvem ou em formato digital, o SGSI pode tratar todos os tipos de dados.
-
Reduzir os custos da segurança da informação: Com a avaliação de riscos e a abordagem de prevenção proporcionadas pelo ISMS, a sua organização pode reduzir os custos de adicionar camadas de tecnologia defensiva após um ciberataque, cujo funcionamento não é garantido.
RGPD e ISO 27001
O Regulamento Geral sobre a Proteção de Dados (RGPD) é muito mais abrangente do que o anterior regulamento sobre a proteção de dados e foi concebido para se adaptar ao atual panorama digital. Proporciona mais direitos aos indivíduos e exige que as empresas desenvolvam políticas, procedimentos e controlos técnicos para proteger os dados pessoais.
O RGPD distingue dois tipos de utilizadores: os responsáveis pelo tratamento e os subcontratantes. O responsável pelo tratamento determina como e porquê as informações são utilizadas e o subcontratante actua sob as ordens do responsável pelo tratamento. Os subcontratantes estão expostos a muitas obrigações legais em caso de violação e o responsável pelo tratamento será responsável por garantir que os contratos com o subcontratante cumprem o RGPD.
Este não é um resumo completo da norma e não deve ser utilizado como tal. Descubra os principais pontos do RGPD e como ele corresponde à ISO 27001 aqui.
Cursos de formação ISO 27001
- Implementador y auditor interno de sistemas de gestión de seguridad de la información ISO 27001:2013
- Auditor jefe IRCA - Sistemas de gestión de seguridad de la información ISO 27001:2013
- Doble titulación: Implementador y auditor interno de sistemas de gestión de seguridad de la información ISO 27001:2013 y de sistemas de gestión de continuidad de negocio ISO 22301:2019
PROCESSO DE CERTIFICAÇÃO
-
Passo 1
Terá de preencher o formulário de candidatura para que o NQA possa compreender as necessidades e os requisitos da sua empresa. Também pode apresentar o seu pedido preenchendo o orçamento rápido ou formal. Utilizaremos as informações fornecidas para definir o âmbito da auditoria e fornecer-lhe um orçamento de certificação.
-
Passo 2
Depois de ter aceite e assinado o orçamento, marcaremos uma data para a auditoria. A certificação inicial é composta por duas visitas (fase 1 e fase 2). O seu sistema de gestão deve estar a funcionar há pelo menos 3 meses e ter sido aprovado numa análise da gestão e numa auditoria interna.
-
Passo 3
Se passar com sucesso a fase 1 e a fase 2 da auditoria, o NQA emitirá um certificado para a norma auditada. Receberá uma cópia do seu certificado válida por 3 anos, sujeita à aprovação em auditorias de manutenção anuais e à recertificação trienal.