Consultoria | CONSULTORIA ISO 27001 Brasil

Consultoria | CONSULTORIA ISO 27001 Brasil

Consultoria Brasil, CONSULTORIA ISO 27001 Brasil, Iso 27001, Iso 27001 gestão da segurança da informação, Consultoria iso 27001,

CONSULTORIA ISO 27001

A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade. 

A norma ISO 27001 tem vindo, de forma continuada, a ser melhorada ao longo dos anos e deriva de um conjunto anterior de normas, nomeadamente a ISO 27001 e a BS7799 (British Standards). A sua origem remota na realidade a um documento publicado em 1992 por um departamento do governo Britânico que estabelecia um código de práticas relativas à gestão da Segurança da Informação. 

Ao longo dos anos, milhares de profissionais contribuíram com o seu know-how e experiência para o estabelecimento de um Standard estável e maduro, mas que certamente continuará a evoluir ao longo dos tempos. 

A norma tem como principio geral a adopção pela organização de um conjunto de requisitos, processos e controlos com o objetivo de mitigarem e gerirem adequadamente o risco da organização. 

Milhões de entidades no mundo utilizam as práticas documentadas no Standard e usufruem dos benefícios da sua adopção, sendo que, as entidades que assim o desejem podem também certificarem-se, demonstrando assim de forma idónea que cumprem os requisitos e os processos constantes na norma. 

Determinadas organizações, obrigam a que os seus fornecedores ou parceiros detenham certificações, nomeadamente a ISO 27001, como garante do cumprimento dos princípios estabelecidos pela mesma, providenciando assim aos seus clientes e parceiros um nível extra de conforto no que concerne à Segurança da Informação. As organizações que adoptam e se certificam nesta norma, atribuem especial importância à proteção da informação e demonstram-no através da certificação na mesma.

 

Para que serve?

 

A adopção da norma ISO 27001 serve para que as organizações adoptem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação. 

Este Sistema de Gestão de Segurança da Informação (SGSI) é, de acordo com os princípios da norma ISO 27001, um modelo holístico de abordagem à Segurança e independente de marcas e fabricantes tecnológicos. 

É holístico porque acaba por ser uma abordagem 360º à Segurança da Informação, tratando de múltiplos temas tais como as telecomunicações, segurança aplicacional, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento, etc. 

É independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados à realidade de cada organização de forma diferente e com a especificidade de cada ambiente tecnológico e organizacional.

 

Em que consiste?

A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 

- A primeira componente, é onde são definidas as regras e os requisitos de cumprimento da norma. Nesta componente, são endereçados os aspectos explícitos no seguinte diagrama:

 

 

- A segunda componente da norma, é denominada de ANEXO A e é na realidade composta por um conjunto de controlos que as organizações devem adoptar, em diferentes temas:

 

 

 

 

 

 

 

 

 

 

A estrutura global da norma ISO 27001 pode ser apresentada da seguinte forma:

 

 

Em que as cláusulas com os requisitos correspondentes ao ciclo de melhoria continua estão representados a azul, as cláusulas com os requisitos gerais do SGSI encontram-se a verde e o anexo com os objetivos de controlo e controlos aparecem a castanho.

 

Quais os benefícios para quem a adota-la?

Independentemente das empresas se certificarem ou não, a adopção das práticas de gestão documentadas na norma, representa um conjunto de benefícios, nomeadamente: 

1. Demonstra um compromisso dos Executivos da Organização para com a segurança da informação. 

2. Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade. 

3. Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos com apenas baseados em tendências. 

4. Incrementa os níveis de sensibilidade, participação e motivação dos colaboradores da Organização para com a Segurança da Informação. 

5. Identifica e endereça de forma continuada a oportunidade para melhorias, sendo um processo em contínua melhoria. 

6. Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios. 

7. A implementação dos controlos provenientes da norma e da análise de risco, melhora o desempenho operacional das organizações. 

8. Dotar a organização de um sistema de controlo da gestão, incrementando a eficácia da organização. 

 

Quais os benefícios para os clientes, fornecedores ou parceiros?

As entidades "pares" de uma entidade certificada em ISO 27001, nomeadamente os seus clientes, fornecedores e parceiros, também obtêm benefícios na interação com a organização certificada. 

Uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado da informação sensível da sua organização. 

A implementação da norma ISO 27001 providencia um elevado compromisso com a proteção da informação, o que representa um nível considerável de conforto para as organizações que interagem com a entidade certificada. 

Assim, os clientes, parceiros e fornecedores desta entidade sabem que a informação da sua organização será tratada de acordo com elevados padrões de gestão e proteção ao nível da Segurança da Informação, já que a empresa certificada foi auditada por uma entidade externa e idónea. 

 

Quanto tempo demora a preparação da certificação?

A preparação da certificação requer a implementação e adopção dos requisitos, políticas, procedimentos, controlos e práticas requeridas pela norma ISO 27001, ajustadas ao âmbito e à realidade tecnológica e organizacional de cada entidade que a resolva adoptar e certificar-se. 

Assim, o tempo de implementação do sistema, varia de acordo com a realidade, maturidade e dimensão de cada organização. 
O roadmap típico de implementação de um SGSI é o apresentado na seguinte:
 

 

FIGURA

 

Qual a contribuição que a Consultoria ISO pode dar no processo?

 

 

 

 

A CONSULTORIA ISO detém consultores formados e certificados, nomeadamente como ISO 27001 Lead Auditors, preparados para prestar assessoria e consultoria no ato da preparação, implementação e adopção da norma a qualquer entidade que esteja determinada a fazê-lo. 

Para além da formação e certificações que os consultores da CONSULTORIA ISO detêm, há que destacar que a própria certificação ISO 27001 da CONSULTORIA ISO foi implementada e é operada pelos seus próprios consultores, fator de demonstração inequívoca de conhecimento e experiência no processo de preparação e certificação. 

Acresce-se também que a CONSULTORIA ISO tem vindo a ajudar os seus Clientes a implementar os seus SGSI sendo que em alguns desses casos os projetos de implementação já terminaram, tendo sido obtida a respetiva certificação formal pelos organismos de certificação. 

 

Qual é o custo estimado da implementação e certificação?

O custo da implementação e da certificação varia de acordo com a realidade organizacional e especificidades de cada entidade, nomeadamente o processo sobre o qual incide a certificação, o número de colaboradores intervenientes nesse processo, o número de locais envolvidos e o número de ativos de informação a considerar no âmbito da certificação. 

De forma a que possamos estimar o potencial custo, será necessário o preenchimento dos seguintes ponderadores, com base nos quais a CONSULTORIA ISO dará início ao processo de estimativa de custo: 


Tags:
Orçamento Online