• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Sua organização deve buscar a certificação ISO 27001 ou ISO 22301?

    Caso a sua organização esteja no processo de implementação da ISO 27001 ou ISO 22301, você provavelmente deve estar considerando ir em busca da certificação. E, como você já deva saber, a certificação não é obrigatória – então deve perguntar a si mesmo uma importante questão: nós realmente precisamos da certificação?

    Muitas organizações implementaram a(s) norma(s) sem partir para a certificação – exemplos óbvios são os bancos e outras instituições financeiras. Regulamentações em muitos países são tais que as organizações tem de implementar procedimentos e salvaguardas de de segurança da informação e de continuidade de negócio muito rígidas, e a maioria deles fez isso utilizando a ISO 27001 e ISO 22301. Mas, muito poucas se certificaram – elas concluíram que não havia uma justificativa de negócio para isso.

    E é exatamente isso que você precisa fazer – considerar cuidadosamente se você precisa do certificado. Aqui estão algumas razões em potencial sobre o porquê a certificação poderia ser útil:

    1) Marketing. Você pode utilizar o certificado para conseguir novos clientes (para participar, e.g., de concursos), ou para permanecer no negócio (e.g., todos os seus competidores tem o certificado).

    2) Conformidade. Em casos raros algumas regulamentações irão requerer que você implemente a ISO 27001 ou ISO 22301, mas você pode encontrar casos onde assinará contratos com clientes que o obrigarão a implementar segurança da informação ou continuidade de negócio em conformidade com estas normas. E ao invés de se submeter aos auditores de cada um dos seus clientes que queiram verificar se você esta em conformidade com o contrato, você pode ter o auditor da certificação realizando este trabalho, e então mostrar a todos o certificado.

    3) Pressão interna. Em algumas organizações, estes tipos de projetos nunca terminarão a menos que haja uma forte pressão – e.g., uma data limite definida. Então, se você acordou com o organismo de certificação uma data para a auditoria de certificação, tanto a equipe de gestão quanto os empregados terão um senso de urgência muito mais forte para a implementação.

    4) Entradas objetivas. Se você quer que sua continuidade de negócio esteja realmente em alto nível, é bom contar com pessoas com alta experiência e com quem saiba comparar você com as melhores práticas da indústria. Auditores de certificação estarão mais do que felizes em auditar alguém que esteja tentando com afinco e disponibilizarão entradas sobre onde você pode melhorar.

    Caso você não tenha se identificado em nenhuma destas situações, você provavelmente não precisa do certificado – você pode estar entre muitas das organizações que implementaram a ISO 27001 e/ou ISO 22301 porque estas entenderam que o maior valor está na metodologia que estas duas normas disponibilizam.

    Este artigo é uma passagem do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

    Agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: