DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits, exames de cursos e planos anuais do Conformio.
Oferta por tempo limitado – termina em 25 de abril de 2024
Use o código promocional:
SPRING30

Como é o treinamento de Implementador da ISO 27001?

Advisera Nina Ugrinoska Nina Ugrinoska
dezembro 5, 2016

O SGSI (Sistema de Gestão de Segurança da Informação) tem um papel importante em todo o negócio nos dias de hoje. Uma vez que a implementação do SGSI pode ser um processo complexo (e geralmente difere em cada setor de mercado), de forma a participar e construir este sistema, uma boa abordagem é aprender como implementá-lo dentro de sua organização.

Basicamente, você precisa estar preparado para entender todos os aspectos do SGSI em vários mundos de informação e como implementá-lo. O treinamento de Implementador Líder da  ISO 27001 é a resposta para estes requisitos. A seguir estão as coisas mais importantes com relação a como este treinamento se parece, e onde você precisa focar durante o treinamento.

Duração do treinamento, pré-requisitos e exames

A duração pode variar com base em diferentes provedores de treinamento. Em muitos casos, é um treinamento de cinco dias. Ele tipicamente terminará com o exame no último dia, o qual você terá que passar com uma certa percentagem (se você quiser ganhar o certificado). O exame geralmente contém questões adicionais e cenários de caso, que são algumas vezes relacionados a conhecimento de tecnologia da informação (que tem que estar em um certo nível, com base no setor onde o SGSI precisa ser implementado).

Uma vez que muitos dos processos nas organizações contemporâneas usam informações sensíveis suportadas por infraestrutura de tecnologia da informação, é crucial estar atento a ligação entre segurança da informação, tecnologia, e processo de negócio. Entender como a tecnologia suporta a operação do negócio e lida com a informação seria, na verdade, um pré-requisito que qualquer participante de treinamento de Implementador Líder deveria ter.

Assim, é um fato que as organizações precisem implementar certos controles da ISO 27001, e os participantes precisarão entender princípios do ambiente de TIC (ao menos o básico).

Tópicos e domínios do treinamento – Sistema de Gestão

Geralmente, o treinamento começará com uma introdução e explanação sobre sistemas de gestão. Aqui eu gostaria de apontar a importância que durante o treinamento os participantes aprenderão o significado do contexto da organização, juntamente com a definição do escopo para a implementação. É muito importante porque os processos de avaliação de risco e gestão de riscos usam isto como fundamento. Leia o artigo Como definir o escopo do SGSI para saber mais sobre o escopo.

O treinamento continuará com liderança e planejamento, onde os principais princípios dos riscos serão explicados. Treinamentos incluem metodologia do risco, mas algumas vezes eles apenas explicam os princípios básicos dos requisitos obrigatórios para a avaliação de riscos e plano de tratamento de riscos. Eu sugiro que você verifique como os tópicos de riscos são cobertos (pelo seu provedor de treinamento) no escopo do treinamento. Se o treinamento explica ao menos os fundamentos da metodologia de avaliação de riscos, você está no grupo certo. Leia o artigo Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas para aprender mais sobre avaliação e tratamento de risco.

O próximos tópicos são sobre suporte, que está relacionado a recursos, conscientização e competência. Você aprenderá a seguir definições de informação documentada e outras formas que serão usadas no sistema SGSI. Em operações, você aprenderá principalmente sobre planejamento e controle operacional, e como implementar controles para gestão de riscos (i.e., plano de tratamento de riscos), baseados nos resultados da avaliação de risco e aceitação da gestão dos controles propostos (planos).

Para avaliações de desempenho, os instrutores ensinarão você a como fazer o monitoramento e medição do sistema, auditorias internas, e análises críticas pela direção (será apenas uma abordagem básica da auditoria interna, uma vez que ela está incluída em treinamentos diferentes para de Auditor Interno para a ISO 27001).

Melhorias contínuas nas sessões de treinamento estão mais relacionadas a melhorias na adequação, pertinência e eficácia do SGSI.

Anexo A, workshops e trabalhos práticos

O Anexo A consiste de 14 domínios e 114 controles. Geralmente, será a implementação de requisitos tomados como resultado da avaliação de riscos. Você aprenderá como identificar certos controles que são aplicáveis ao seu sistema de gestão, e definir a SoA (Declaração de Aplicabilidade).

A SoA é o documento onde você tem que definir a implementação ou exclusão de controles do Anexo A e explicar todas as justificativas. Leia o artigo A importância da Declaração de aplicabilidade da ISO 27001 para saber mais sobre a SoA e sua importância para a implementação do SGSI.

O treinamento cobre todos os controles e explica os detalhes mais importantes de forma a ajudar você a gerir riscos no escopo do SGSI. Leia o artigo Visão geral do Anexo A da ISO 27001:2013 para saber mais sobre o Anexo A.

Os workshops são uma importante parte do treinamento. Muitos deles cobrem certos estudos de caso, e você terá que identificar lacunas de requisitos da ISO 27001 e propor a implementação de certos controles e cenários. Dependendo do provedor de treinamento, é possível que sua participação em workshops e discussões serão um certo percentual da pontuação para os resultados finais do seu teste de Implementador Líder.

Treinamento de Implementador Líder – Aspectos mais importantes

Lembrando o estágio inicial do meu começo, de volta a 2005, se eu tivesse orientação sobre como me preparar para o treinamento de Implementador Líder da ISO 27001, isso teria me ajudado a focar mais nas discussões, questões, e mais ter mais participação ao invés de apenas ficar escutando durante o treinamento. Agora, olhando para trás, eu vejo que benefícios deste treinamento são que você ganhará conhecimento sobre:

  • Aprender sobre os principais princípios do SGSI
  • Entendimento da diferença entre segurança de TI e segurança da informação
  • Aplicabilidade dos controles na SoA
  • Complexidade da implementação em todos os segmentos de organizações dentro do escopo
  • Avaliação de riscos e melhoria contínua
  • Como aplicar controles do Anexo A

Assim, você precisa se preparar da melhor forma possível para obter o máximo do que é oferecido nas sessões de treinamento. E, ao ser bem sucedido ao passar neste treinamento, você estará pronto para iniciar a uma implementação de um SGSI em sua organização, ou em outra organização se você está no negócio de consultoria em SGSI.

Por que não frequentar o curso completamente grátis? Você pode fazer isso com este curso gratuito de ISO 27001 Lead Implementer course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Tag: #ISO 27001
Post anterior Além do Gerente de GCN: Papéis adicionais a considerar durante um incidente de interrupção
Próximo post Segregação de funções em seu SGSI de acordo com a ISO 27001 A.6.1.2

Próximo webinar grátis

Advisera Carlos Pereira da Cruz
Apresentador
Carlos Pereira da Cruz
How to Perform an ISO Internal Audit
Quinta-feira – 2 de maio de 2024
Registrar agora

Suggested reading

Requisitos para implementar segregação de rede de acordo com o controle A.13.1.3 da ISO 27001
by Rhand Leal
Classificação da Informação de acordo com a ISO 27001
by Dejan Kosutic
Qual é o custo da implementação da ISO 27001?
by Dejan Kosutic