Rhand Leal
março 14, 2016
Produtos para implementação, manutenção, treinamento, e conhecimento para Sistemas de Gestão de Segurança da Informação (SGSI) de acordo com a norma ISO 27001.
Automatize a implementação e manutenção do seu SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSI de acordo com a ISO 27001.
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um SGSI bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de conformidade e treinamento para organizações de infraestrutura crítica para a diretiva de cibersegurança de Rede e Sistemas de Informação da União Europeia.
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com a diretiva de cibersegurança NIS 2.
Programa corporativo de treinamento para empregados e gestão sênior para conformidade com o Artigo 20 da diretiva de cibersegurança NIS 2.
Produtos de conformidade e treinamento para proteção de dados pessoais de acordo com o Regulamento Geral de Proteção de Dados da União Europeia (EU GDPR).
Todas as políticas, procedimentos e formulários requeridos para estar em conformidade com o regulamento de privacidade EU GDPR.
Cursos acreditados para indivíduos e profissionais de privacidade que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão da Qualidade (SGQ) de acordo com a norma ISO 9001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ de acordo com a ISO 9001.
Cursos acreditados para indivíduos e profissionais de qualidade que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e ao SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para Sistemas de Gestão Ambiental (SGA) de acordo com a norma ISO 14001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGA de acordo com a ISO 14001.
Cursos acreditados para indivíduos e profissionais ambientais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 14001 e ao SGA usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação e treinamento para Sistemas de Gestão de Saúde e Segurança Ocupacional (SGSSO) de acordo com a norma ISO 45001.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSSO de acordo com a ISO 45001.
Cursos acreditados para indivíduos e profissionais de saúde & segurança que querem treinamento e certificação da mais alta qualidade.
Produtos para implementação e treinamento para Sistemas de Gestão da Qualidade (SGQ) de dispositivos médicos de acordo com a norma ISO 13485.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ para dispositivos médicos de cordo com a norma ISO 13485.
Cursos acreditados para indivíduos e profissionais de dispositivos médicos que querem treinamento e certificação da mais alta qualidade.
Produtos de compliance para o Regulamento de Dispositivos Médicos da União Europeia (EU MDR).
Todas a políticas, procedimentos e formulários para estar em conformidade com a EU MDR.
Produtos para implementação de Sistemas de Gestão de Serviços de Tecnologia da Informação (SGSTI) de acordo com a norma ISO 20000.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGSTI de acordo com a ISO 20000.
Produtos para implementação de Sistemas de Gestão de Continuidade de Negócio (SGCN) de acordo com a norma ISO 22301.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGCN de acordo com a ISO 22301.
Produtos para implementação para laboratórios de teste e calibração de acordo com a norma ISO 17025.
Todas as políticas, procedimentos e formulários requeridos para implementar a ISO 17025 em um laboratório.
Produtos para implementação de Sistemas de Gestão da Qualidade automotiva (QMS) de acordo com a norma IATF 16949.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ automotivo de acordo com a IATF 16949.
Produtos para implementação de Sistemas de Gestão da Qualidade (SGQ) aeroespacial de acordo com a norma AS9100.
Todas as políticas, procedimentos e formulários requeridos para implementar um SGQ aeroespacial de acordo com a AS9100.
Produtos para implementação, manutenção, treinamento, e conhecimento para consultores.
Lide com múltiplos projetos ISO 27001 automatizando tarefas repetitivas durante a implementação do SGSI.
Todas as políticas, procedimentos e formulários requeridos para implementar várias normas e regulamentos para seus clientes.
Organize um programa corporativo de cibersegurança para os empregados do seu cliente, e apoie um programa de cibersegurança bem-sucedido.
Cursos acreditados ISO 27001, 9001, 14001, 45001, e 13485 para profissionais que querem treinamento e certificação reconhecidas da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (QMS), e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Encontre novos clientes, parceiros potenciais, e colaboradores e encontre uma comunidade de profissionais com ideias semelhantes local e globalmente.
Produtos para implementação, manutenção, treinamento, e conhecimento para a indústria de TI.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos de compliance, treinamento, e conhecimento para organizações essenciais e importantes.
Documentação para estar em conformidade com a NIS 2 (cibersegurança), GDPR (privacidade), ISO 27001 (cibersegurança), e ISO 22301 (continuidade de negócio).
Programa de treinamento corporativo para empregados e gestão sênior para estar em conformidade com o Artigo 20 da diretriz de segurança NIS 2.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de manufatura.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para empresas de transporte & distribuição.
Documentação para estar em conformidade com a ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para escolas, universidades e outras organizações educacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), e GDPR (privacidade).
Programa corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes e apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para empresas de telecomunicações.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 22301 (continuidade de negócio), ISO 20000 (gestão de serviços de TU), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, manutenção, treinamento, e conhecimento para bancos, seguradoras, e outras organizações financeiras.
Automatize a sua implementação e manutenção do SGSI com o Registro de Riscos, Declaração de Aplicabilidade, e assistentes para todos os documentos requeridos.
Documentação para estar em conformidade com a ISO 27001 (cibersecurança), ISO 22301 (continuidade de negócio), GDPR (privacidade), e NIS 2 (ciberseurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 e ao SGSI usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para entidades governamentais locais, regionais e nacionais.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), GDPR (privacidade), e NIS 2 (cibersegurança).
Programa Corporativo de conscientização em cibersegurança para todos os empregados, para reduzir incidentes a apoiar um programa de cibersegurança bem-sucedido.
Cursos acreditados para indivíduos e profissionais de segurança que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI) e ISO 9001 (SGQ) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para hospitais e outras organizações de saúde.
Documentação para estar em conformidade com a ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor de dispositivos médicos.
Documentação para estar em conformidade com a MDR e ISO 13485 (dispositivos médicos), ISO 27001 (cibersegurança), ISO 9001 (qualidade), ISO 14001 (ambiental), ISO 45001 (saúde & segurança), e GDPR (privacidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 27001 (SGSI), ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para o setor aeroespacial.
Documentação para estar em conformidade com a AS9100 (aeroespacial), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para a indústria automotiva.
Documentação para estar em conformidade com a IATF 16949 (automotiva), ISO 9001 (qualidade), ISO 14001 (ambiental), e ISO 45001 (saúde & segurança).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 (SGQ) e ISO 14001 (SGA) usando a base de conhecimento alimentada por IA proprietária da Advisera.
Produtos para implementação, treinamento, e conhecimento para laboratórios.
Documentação para estar em conformidade com a ISO 17025 (laboratórios de teste e calibração) e ISO 9001 (qualidade).
Cursos acreditados para indivíduos e profissionais que querem treinamento e certificação da mais alta qualidade.
Obtenha respostas instantâneas para quaisquer questões relacionadas à ISO 9001 e o SGQ usando a base de conhecimento alimentada por IA proprietária da Advisera.
Os serviços de TI estão entre as principais vias para o fluxo de informações entre organizações, seus clientes e parceiros, e com requisitos legais e contratuais demandando cada vez mais medidas de proteção da informação (o setor de saúde é um exemplo), estes serviços e suas práticas de gestão devem evoluir para se adaptar a este novo cenário. Mas como fazer isso de forma apropriada e de forma eficiente em custo?
Este artigo apresentará uma visão geral de como a ISO 27001, uma norma ISO com foco na gestão da segurança da informação, e o ITIL, um framework público-privado que foca na gestão de serviços de TI, estão relacionado considerando a proteção de informações e como ele podem ser usados em conjunto para aumentar seus benefício para o negócio de uma organização.
Aqui estão algumas informações que você pode achar úteis para um entendimento inicial da ISO 27001 e ITIL:
ISO 27001 | ITIL |
Norma internacional | Estrutura de boas práticas |
Define requisitos para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). | Apresenta um conjunto de boas práticas para a gestão de serviços de TI, dando orientações para a provisão de serviços de TI de qualidade e os processos, funções e outras capacidades necessárias para suportá-los. |
Aplicável para qualquer tipo e tamanho de organização. | Aplicável para quase todos os tipos de ambiente de TI. |
Implementação e certificação são opcionais. | Implementação não está sujeita a certificação. |
Versão atual: ISO 27001:2013 | Versão atual: ITIL edição 2011 |
Como você pode ver, a ISO 27001 possui uma definição direta com relação a proteção da informação, enquanto que no ITIL ela é mais indireta. Isso é desta forma porque o termo “ITIL” se refere a múltiplas práticas para gestão e provisão de serviços de TI de qualidade, como gestão financeira e atendimento a solicitações. Contudo, uma vez que a segurança da informação também é um aspecto crítico na gestão de serviços de TI e na qualidade de serviços de TI, o ITIL trata da segurança da informação como um de seus processos de apoio (gestão da segurança), e integra a segurança da informação em muitos dos processos presentes no framework.
A ISO 27001 consiste de 11 cláusulas e 114 controles de segurança genéricos agrupados em 13 seções (o Anexo A). Para maiores informações, leia estes artigos: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.
Uma das limitações da ISO 27001 é que ela não prove detalhes sobre como atender os requisitos ou implementar controles, apenas sobre o que você precisa atingir. Para maiores detalhes, você pode usar a ISO 27002 como guia. Para mais informações, leia este artigo: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.
Por outro lado, a estrutura do ITIL consiste de 26 processos e quarto funções, baseados em uma abordagem de ciclo de vida de serviço com cinco estágios:
Estratégia de serviço (4 processos): envolve o alinhamento da estratégia de TI com as metas e expectativas gerais do negócio, para assegurar a agregação de valor para a organização. Este estágio pode ser relacionado a cláusula 4 (Contexto da organização) da ISO 27001.
Design de serviço (7 processos): envolve assegurar que os serviços de TI atendam os objetivos de negócio equilibrando custo, funcionalidade e desempenho. Um dos processos no design de serviço e a gestão de segurança, e devido ao uso de muitos conceitos similares (e.g., tríade CIA, controles de segurança, etc.), ele pode ser coberto pela cláusula 6 (Planejamento) da ISO 27001. Para mais informações, leia este artigo: If anything shouldn’t be taken for granted… it’s Information Security Management.
Transição de serviço (7 processos): envolve assegurar que serviços de TI novos, modificados e retirados estejam atendendo as necessidades do negócio, e que as mudanças sejam geridas e controlada de forma eficiente. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001 e ao controle A.12.1.2 – Gestão de mudança.
Operação de serviço (5 processos): envolve assegurar que os serviços de TI são operados de forma segura e confiável para apoiar as necessidades do negócio. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001.
Melhoria continua de serviço (3 processos): envolve a melhoria da qualidade, eficiência e eficácia dos serviços de TI, ao mesmo tempo reduzindo custos. Este estágio pode ser relacionado às cláusulas 9 (Avaliação de desempenho) e 10 (Melhoria contínua) da ISO 27001.
Como você pode ver, embora a ISO 27001 e o ITIL tenham apresentações diferentes, eles compartilham uma abordagem similar ao ciclo PDCA, o que facilita trabalhar com ambos em conjunto.
Ciclo PDCA | Cláusulas da ISO 27001:2013 | Estágios do ITIL |
Plan (planejar) |
Cláusula 4 – Contexto da organização Cláusula 5 – Liderança Cláusula 6 – Planejamento Cláusula 7 – Suporte |
Estratégia de serviço Design de serviço |
Do (executar) | Cláusula 8 – Operação |
Transição de serviço Operação de serviço |
Check (checar) | Cláusula 9 – Avaliação de desempenho | Melhoria contínua de serviço |
Act (ajustar) | Cláusula 10 – Melhoria contínua | Melhoria contínua de serviço |
Adicionalmente, como na ISO 27001, ao ITIL faltam detalhes sobre “como fazer” com relação a como os processos deveriam ser implementados, embora ele forneça descrições detalhadas com relação a objetivos, atividades a serem feitas, entradas e saídas, em adição a listas de verificação, tudo para prover espaço para que as organizações possam adequá-los de acordo com suas necessidades. Uma comparação grosseira seria pensar no ITIL como se o conteúdo da ISO 27002 estive incluído na ISO 27001.
Não há resposta exata para esta questão, uma vez que ela depende da organização e de seus requisitos. Uma abordagem é começar a implementação da ISO 27001 primeiro, porque ela cobre a gestão de segurança da informação de forma geral (da qual o ambiente de TI é apenas uma parte), e após isso ir para o ITIL, o qual fornecerá mais detalhes para implementação.
Outra alternativa é considerar os elementos da ISO 27001 para cada estágio do ITIL e implementá-los em sequência de acordo com um cronograma de implementação do ITIL.
Para mais informações sobre a implementação da ISO 27001 e ITIL, veja estes materiais: Diagrama para a implementação da ISO 27001:2013 e ITIL implementation diagram.
O importante aqui é que você veja a ISO 27001 e o ITIL como materiais complementares que podem ajudar uma organização a prover serviços ao cliente com a segurança apropriada.
Para saber mais sobre como implementar a ISO 27001, veja este ISO 27001:2013 Lead Implementer Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.
Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.
Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.
Você pode cancelar sua inscrção a qualquer momento. Para mais informações por favor veja nosso aviso de privacidade.