A ISO 27001 é uma norma internacional emitida pela Organização Internacional de Normalização (ISO), que define os sistemas de gestão da segurança da informação. Seu título completo é ISO/IEC 27001:2013. Esta norma foi desenvolvida a partir da norma britânica BS 7799-2; ela foi primeiramente publicada como ISO/IEC ISO 27001:2005 e se tornou uma norma internacional líder em segurança da informação. Saiba mais aqui…
A implementação da ISO 27001 reduz os riscos relacionados à confidencialidade, disponibilidade e integridade das informações em uma organização. Ela também ajuda a organização a alcançar a conformidade com a legislação que regula a proteção de informações confidenciais, a proteção dos sistemas de informação, a proteção de dados pessoais, etc., que já estão em vigor na maioria dos países. Finalmente, a implementação da norma deve reduzir os custos dos negócios, em função da menor quantidade de incidentes, e aprimorar o marketing da empresa em função da publicidade que pode ser obtida com a norma. Saiba mais aqui…
O norma internacional ISO 27002 (nome completo: ISO/IEC 27002:2005) define diretrizes para a implementação dos controles relacionados na ISO 27001. A ISO 27001 especifica 114 controles que podem ser usados para reduzir os riscos de segurança e a ISO 27002 fornece detalhes sobre como implementar esses controles. As organizações podem obter a certificação para a ISO 27001, mas não para a ISO 27002. A ISO 27002 era chamada anteriormente de ISO/IEC 17799 e surgiu a partir da norma britânica BS 7799-1. Saiba mais aqui…
Esta era uma norma britânica com o nome completo BS 25999-2:2007, que definia sistemas de gestão de continuidade de negócio. Esta norma foi substituída pela ISO 22301 em 2012. Saiba mais aqui…
A ISO 27001 define a gestão de segurança da informação, que inclui também a gestão da continuidade de negócios. No entanto, nem a ISO 27001 nem a ISO 27002 descrevem como a gestão de continuidade de negócios deveria ser implementado, por isso é melhor usar a ISO 22301 (antiga BS 25999-2) para este propósito. Adicionalmente, a ISO 27001 e a ISO 22301 contém elementos que são praticamente idênticos (gestão da documentação, auditorias internas, analise crítica pela direção e ações corretivas e preventivas), então estas duas normas são totalmente compatíveis. Saiba mais aqui…
Sim. Neste caso, a ênfase será sobre como garantir a disponibilidade das informações e dos processos de negócio em caso de desastres, etc., mas não em garantir a confidencialidade e integridade das informações.
Claro que sim! Algumas partes da ISO 27001/ISO 22301 (antiga BS 25999-2) e da ISO 9001 são praticamente iguais. Por exemplo, a gestão da documentação, as auditorias internas, a analise crítica pela direção, e as ações corretivas. Se esses procedimentos já são utilizados para a ISO 9001, eles também podem ser usados para a ISO 27001/ISO 22301, com apenas pequenos ajustes. Em outras palavras, as organizações que já implementaram a ISO 9001 terão mais facilidade na implementação da ISO 27001/ISO 22301 (e vice-versa). Saiba mais aqui…
Isto realmente depende de um grande número de fatores, mas geralmente pequenas organizações podem precisar de 3 a 6 meses; as organizações com até 500 pessoas precisam de 6 a 12 meses e organizações maiores precisam de 1 ano ou mais. Use esta Calculadora de Duração de Implementação para calcular a duração com mais precisão.
Não. É possível definir o objetivo da implementação em apenas uma parte da organização, o que faz sentido no caso de grandes organizações que operam em diferentes locais e/ou em países diferentes. Para organizações de pequeno porte que atuam em uma quantidade menor de locais, é melhor implementar a norma em toda a organização. Saiba mais aqui…
É verdade que a ISO 27001 exige alguns documentos obrigatórios, mas a quantidade depende do tamanho e da complexidade da organização. Uma organização de pequeno porte sem grandes requisitos de segurança precisará de uma dúzia de documentos; um grande banco pode precisar de centenas de documentos. O importante na elaboração da documentação é definir somente as regras que são realmente requeridas pela organização, como forma de não retardar os processos dos negócios. Você pode encontrar uma relação dos documentos necessários aqui.
Não. A segurança de TI é parte da segurança da informação – a segurança da TI inclui, por exemplo, procedimentos de backup ou a utilização de firewall, enquanto a segurança da informação também inclui a definição de responsabilidades claras pela segurança, procedimentos operacionais, treinamento e conscientização, relações jurídicas com funcionários e fornecedores, segurança física, etc. A segurança de TI geralmente corresponde a 50% da segurança da informação. Saiba mais aqui…
É quase impossível calcular os custos antes de concluir a avaliação de riscos e a Declaração de Aplicabilidade. A maioria das despesas geralmente não está relacionada a hardwares ou softwares, mas a definição de procedimentos e a adoção desses procedimentos como rotina, a conscientização e treinamento de funcionários, a certificação, etc. Os custos também dependem do tamanho da organização, mas é bom saber que nem todos os controles de segurança tem de ser implementados imediatamente e que a aplicação de alguns deles pode ser adiada. Saiba mais aqui…
Não. A 27001Academy fornece apenas documentação, treinamento e suporte na implementação da segurança da informação e da continuidade de negócios. Nós podemos ajudá-lo a concluir com êxito todas as etapas que levam à certificação. No entanto, a certificação está nas mãos dos organismos de certificação acreditados.
Você deve ter todos os documentos prescritos pela norma e realizar pelo menos uma auditoria interna e uma análise crítica pela direção. O mais importante: você realmente deve implementar os requisitos da norma e os requisitos estabelecidos na sua documentação. Durante a certificação, o auditor verificará em que medida o sistema de gestão de segurança da informação e/ou de continuidade de negócio realmente se tornou real em sua organização. Saiba mais aqui…
Não. Se você solucionar a não conformidade, o organismo de certificação emitirá a certificação. É essencial que você solucione a não conformidade dentro do prazo estabelecido e de uma forma aceitável para o auditor. Saiba mais aqui…