Producto
Login
Main Menú Producto
Main Menú Producto
Main Menú Por que Betterfly
ISO 27001
O que a ISO 27001 faz?
O objetivo da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade da informação em uma empresa. Isso é feito investigando os potenciais problemas que poderiam afetar a informação (ou seja, avaliação de riscos) e, em seguida, definindo o que é necessário fazer para evitar que esses problemas ocorram (ou seja, mitigação ou tratamento de riscos).
Portanto, a filosofia principal da norma ISO 27001 baseia-se na gestão de riscos: investigar onde estão os riscos e, em seguida, tratá-los de forma sistemática.
As medidas de segurança (ou controles) a serem implementadas são geralmente apresentadas na forma de políticas, procedimentos e implementação técnica (por exemplo, software e equipamentos). No entanto, na maioria dos casos, as empresas já possuem todo o hardware e software, mas os utilizam de forma não segura; portanto, a maior parte da implementação da ISO 27001 estará relacionada à definição das regras organizacionais (por exemplo, redação de documentos) necessárias para prevenir violações de segurança.
Como esse tipo de implementação demandará a gestão de múltiplas políticas, procedimentos, pessoas, ativos, etc., a ISO 27001 detalhou como amalgamar todos esses elementos dentro do Sistema de Gestão de Segurança da Informação (SGSI).
Portanto, a gestão da segurança da informação não se limita apenas à segurança de TI (por exemplo, firewalls, antivírus, etc.), mas também está relacionada à gestão de processos, recursos humanos, proteção jurídica, proteção física, etc.
O que é a ISO 27001?
A ISO/IEC 27001 é dividida em 11 seções mais o anexo A; as seções 0 a 3 são introdutórias (e não obrigatórias para a implementação), enquanto as seções 4 a 10 são obrigatórias, o que significa que uma organização deve implementar todos os seus requisitos se quiser cumprir com a norma. Os controles do Anexo A devem ser implementados apenas se determinado na Declaração de Aplicabilidade.
De acordo com o Anexo SL das Diretrizes ISO/IEC da Organização Internacional para Normalização, os títulos das seções da ISO 27001 são os mesmos que na ISO 22301:2012, na nova ISO 9001:2015 e em outras normas de gestão, o que permite integrar mais facilmente essas normas.
Seção 0: Introdução – Explica o objetivo da ISO 27001 e sua compatibilidade com outras normas de gestão.
Seção 1: Alcance – Explica que esta norma é aplicável a qualquer tipo de organização.
Seção 2: Referências normativas – Faz referência à norma ISO/IEC 27000 como padrão onde são fornecidos termos e definições.
Seção 3: Termos e definições – Novamente, faz referência à norma ISO/IEC 27000.
Seção 4: Contexto da organização – Esta seção faz parte da fase de Planejamento do ciclo PDCA e define os requisitos para compreender questões externas e internas, também define as partes interessadas, seus requisitos e o escopo do SGSI.
Seção 5: Liderança – Esta seção faz parte da fase de Planejamento do ciclo PDCA e define as responsabilidades da direção, o estabelecimento de papéis e responsabilidades e o conteúdo da política de alto nível sobre segurança da informação.
Seção 6: Planejamento – Esta seção faz parte da fase de Planejamento do ciclo PDCA e define os requisitos para avaliação de riscos, tratamento de riscos, Declaração de Aplicabilidade, plano de tratamento de riscos e determinação de objetivos de segurança da informação.
Seção 7: Apoio – Esta seção faz parte da fase de Planejamento do ciclo PDCA e define os requisitos sobre disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros.
Seção 8: Operação – Esta seção faz parte da fase de Planejamento do ciclo PDCA e define a implementação da avaliação e tratamento de riscos, bem como os controles e outros processos necessários para atender aos objetivos de segurança da informação.
Seção 9: Avaliação do desempenho – Esta seção faz parte da fase de Revisão do ciclo PDCA e define os requisitos para monitoramento, medição, análise, avaliação, auditoria interna e revisão pela direção.
Seção 10: Melhoria – Esta seção faz parte da fase de Melhoria do ciclo PDCA e define os requisitos para tratamento de não conformidades, correções, ações corretivas e melhoria contínua.
Anexo A – Este anexo fornece um catálogo de 114 controles (medidas de segurança) distribuídos em 14 seções (seções A.5 a A.18).
