Tradicionalmente, a segurança da informação tem sido percebida como uma atividade que foi construída em torno da proteção de ativos de informações sensíveis – afinal, era isso que a primeira revisão (2005) da ISO 27001, e sua predecessora BS 7799-2, também enfatizavam. Essas normas exigiam que as empresas identificassem todos …
Leia mais ...Há um requisito da ISO 27001 que é muito raramente mencionado, ainda que seja provavelmente crucial para a “sobrevivência” de longo prazo de um Sistema de Gestão de Segurança da Informação SGSI) em uma organização: este é o requisito da cláusula 5.1 que diz que a alta direção precisa assegurar que …
Leia mais ...Frequentemente, ouço discussões controversas sobre se a segurança da informação é parte da TI, ou se ela deveria estar separada dela, parte de algum departamento de conformidade ou de riscos, etc. Mas, antes de determinarmos quem deveria estar lidando com a segurança da informação e a partir de qual unidade …
Leia mais ...Não espere que sua gerência entenda por conta própria por que a ISO 27001 é boa para a organização deles – você tem que trabalhar duro para convence-los. Essencialmente, você precisa ter dois elementos para ser bem-sucedido neste processo: (1) preparar uma lista de benefício de negócio que são realmente aplicáveis …
Leia mais ...Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário. Assim, vejamos o que você …
Leia mais ...Profissionais de segurança da informação que são novos na ISO 27001 frequentemente tendem a pensar que esta norma requer uma definição muito centralizada e muito detalhada de papéis e responsabilidades. Na verdade, isto não é verdade. Por favor não me entenda errado: definir e comunicar papéis e responsabilidades é importante, porque é …
Leia mais ...O conteúdo da Política de Segurança da Informação é certamente um dos maiores mitos relacionados a ISO 27001 – muito frequentemente o propósito deste documento é mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua segurança neste documento. Bem, isto não …
Leia mais ...Se você iniciou uma implementação da ISO 27001, você certamente encontrou o termo Sistema de Gestão de Segurança da Informação ou SGSI. Termo muito vago, não é? E ainda, o SGSI é o principal “produto” da implementação da ISO 27001. Assim, o que exatamente é um SGSI? A ISO 27001 basicamente …
Leia mais ...Muitas pessoas pensam que a avaliação de riscos é a parte mais difícil da implementação da ISO 27001 – verdade, a avaliação de riscos é provavelmente a mais complexa, mas o tratamento de riscos é definitivamente a mais estratégica e mais onerosa. O propósito do tratamento de riscos parece bastante simples: …
Leia mais ...Se você está considerando a implementação da ISO 27001, ISO 9001, ISO 14001, ISO 20000, ou qualquer outra norma de gestão ISO, você provavelmente está sobrecarregado com várias abordagens sobre como iniciar e terminar tal projeto com sucesso. Na minha opinião, existem três opções básicas para se implementar estar normas: …
Leia mais ...Coisa com as normas ISO podem se tornar realmente complicadas: existem muitas normas de gestão ISO – as mais populares são ISO 9001, ISO 14001, ISO 27001, ISO 22301, ISO 20000, etc. – e há uma infinidade de maneiras de se tornar acreditado / certificado / registrado com relação a …
Leia mais ...A cláusula 4.1 é um requisito completamente novo na versão 2013 da ISO 27001, e tem causado alguma confusão porque é bem vaga. (A propósito, há confusão muito similar com a ISO 22301, então este artigo também é aplicável a cláusula 4.1 da ISO 22301.) Então, vejamos sobre o que …
Leia mais ...how to Um dos maiores mistérios na implementação da ISO 27001 é a seção A.17 do Anexo A, que trata da gestão da continuidade do negócio. Como a continuidade do negócio se relaciona à segurança da informação, e por que ela é incluída na ISO 27001? Infelizmente, a ISO 27001 não …
Leia mais ...Se você está avaliando riscos de segurança da informação em sua organização, então a identificação de ativos, ameaças e vulnerabilidades é apenas a primeira metade do trabalho. (Veja também Avaliação de riscos da ISO 27001: Como combinar ativos, ameaças e vulnerabilidades.) A segunda parte do trabalho, não menos importante e …
Leia mais ...