O Sistema de Gestão da Segurança da Informação ISO 27001 é de grande importância para as actividades da sua organização e talvez para a sua continuidade.
No que diz respeito à Segurança da Informação, ajuda a determinar quais os activos de informação que temos, a consciência do valor desses activos, a protegê-los com um sistema e a determinar os controlos e métodos de protecção que iremos estabelecer. O Sistema de Gestão da Segurança da Informação ISO 27001 é de grande importância para as actividades da sua organização e talvez para a sua continuidade.
O certificado ISO / IEC 27001 ajuda-o a gerir e a proteger os seus valiosos activos de informação. A ISO / IEC 27001 é a única norma internacional auditável que define os requisitos do Sistema de Gestão da Segurança da Informação (SGSI). Foi concebido para garantir a selecção de controlos de segurança adequados e proporcionais.
Esta norma foi preparada para fornecer um modelo para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI).
A concepção e implementação do SGSI de uma organização é afectada pelas suas necessidades e objectivos, pelos requisitos de segurança, pelos processos utilizados e pela dimensão e estrutura da organização.
A informação pode ser definida como um recurso que acrescenta valor às organizações e que, por isso, deve ser devidamente protegido. Hoje em dia, a informação está disponível em muitos locais, especialmente nos meios impressos, verbais e electrónicos, é armazenada e pode ser transferida de muitas formas, como o correio e o e-mail.
A segurança da informação tem por objectivo proteger a informação contra muitos perigos, a fim de garantir a continuidade da actividade, minimizar os danos que possam ocorrer e aumentar os ganhos e as oportunidades de negócio. Esta norma adopta uma abordagem por processos para criar, implementar, operar, monitorizar, rever, manter e melhorar o seu Sistema de Gestão da Segurança da Informação.
A protecção e a retenção de informações sob todas as formas são essenciais de acordo com a norma, especialmente se for responsável por ocultar as informações dos seus clientes. Se não o fizer, terá como consequência perdas comerciais e de reputação, que podem resultar em litígios dispendiosos.
A norma ISO 27001: 2013 garante a fiabilidade, a confidencialidade e a validade das informações armazenadas e proporciona protecção e controlo.
A norma ISO 27001: 2013 é a base do Sistema de Gestão da Segurança da Informação (SGSI) e aplica-se a organizações de todas as dimensões e em todos os sectores. O certificado ISMS demonstra que a sua empresa garante a segurança da informação perante os seus clientes, fornecedores e instituições governamentais.
O que é a segurança da informação?
Actualmente, as empresas comerciais e as instituições do Estado recorrem à utilização intensiva da informação para prosseguirem as suas actividades. Com o passar do tempo, a importância da informação aumentou, e não só o armazenamento seguro e o armazenamento não podiam satisfazer as necessidades em desenvolvimento, como também a sua transferência de um local para outro tornou-se uma necessidade inevitável. Esta dependência da informação fez surgir a necessidade de a proteger. Neste sentido, a informação ocupa um lugar muito importante entre os activos da instituição. Possíveis ataques à informação, sua destruição, apagamento, danos à sua integridade e/ou confidencialidade, deterioração da infra-estrutura de informação, o que provoca perturbações na actividade. Segurança da informação; Assegura a protecção da informação contra ameaças de grande alcance, a fim de garantir a continuidade da actividade da organização, reduzir as perturbações que possam ocorrer na actividade e aumentar o benefício dos investimentos.
As informações podem ser escritas em papel, armazenadas electronicamente, transmitidas por correio ou correio electrónico de um local para outro, ou expressas verbalmente entre indivíduos. Qualquer que seja a forma da informação, esta deve ser devidamente protegida. Para garantir a segurança da informação, é necessário assegurar a confidencialidade, a integridade e a facilidade de utilização da informação a níveis suficientes.
A segurança da informação visa essencialmente os três elementos seguintes:
- Confidencialidade
- Integridade
- Disponibilidade
Controlos de segurança a aplicar pelas organizações com a norma ISO 27001
O Sistema de Gestão da Segurança da Informação (SGSI) ISO / IEC 27001 é uma norma internacional auditável que define a segurança da informação como um sistema de gestão. Foi concebido para proporcionar controlos de segurança adequados e proporcionais que protejam os activos de informação e dêem confiança às partes interessadas.
Este Sistema de Gestão inclui a estrutura da empresa, as políticas, as actividades de planeamento, as responsabilidades, as práticas, os procedimentos, os processos e os recursos.
O Sistema de Gestão da Segurança da Informação ISO 27001 é uma norma que pode ser aplicada a qualquer sector e dimensão de organização.
Esta norma abrange os requisitos para estabelecer, realizar, monitorizar, rever, manter e melhorar um SGSI documentado no contexto de todos os riscos comerciais da organização.
Informação que é valiosa para as organizações actualmente; deve ser protegida, ter continuidade e ser sistematizada em termos de confidencialidade, integridade e acessibilidade.
Para uma organização, a adopção do Sistema de Gestão da Segurança da Informação deve ser uma decisão estratégica. A organização é afectada pela concepção e implementação do sistema de gestão, pelas suas necessidades e objectivos, pelos requisitos de segurança, pelos processos utilizados, pela dimensão e pela estrutura da organização.
Porque é que a ISO 27001 é necessária?
Mostra que os seus controlos internos são fornecidos de forma independente e cumprem os requisitos de governação empresarial e de continuidade das actividades.
Benefícios para as organizações;
- Proteger a confidencialidade dos activos de informação,
- Assegurar uma gestão eficaz dos riscos através da identificação de ameaças e riscos,
- Protecção do prestígio institucional,
- Assegurar a continuidade das actividades,
- Controlo do acesso aos recursos de informação,
- Sensibilizar o pessoal, os contratantes e os subcontratantes para a segurança e informá-los sobre questões de segurança importantes,
- Estabelecer um sistema de controlo realista em sistemas automáticos e geridos manualmente para garantir que as informações sensíveis são utilizadas de forma adequada,
- Garantir a integridade e a exactidão dos activos de informação,
- Evitar que o pessoal seja suspeito de abuso e assédio por terceiros,
- Garantir que as informações sensíveis sejam devidamente disponibilizadas a terceiros e a auditores.
- Indica de forma independente que as leis e regulamentos aplicáveis são respeitados.
- Proporciona uma vantagem competitiva, cumprindo os requisitos contratuais e prestando atenção à segurança das informações dos seus clientes.
- Verifica de forma independente que os riscos da sua empresa são correctamente definidos, avaliados e geridos enquanto as suas transacções, procedimentos e documentos de segurança da informação estão a ser formados.
- A avaliação regular ajuda-o a monitorizar e melhorar continuamente o seu desempenho. Prova o empenhamento dos seus quadros superiores na segurança das suas informações.
- Os activos de informação podem ser protegidos,
- É assegurada a continuidade das actividades,
- É estabelecida uma estrutura saudável com clientes e fornecedores,
- A vantagem competitiva é proporcionada,
- A conformidade legal é assegurada.
Procedimento de certificação ISO 27001
- Preenchimento do formulário de informação,
- Apresentação de uma oferta,
- Pedir um certificado,
- Revisão da documentação,
- Pré-auditoria (opcional),
- Auditoria da empresa (tem 2 fases em datas diferentes)
- Aprovação do Comité de Certificação
- Emissão do documento
- Auditorias periódicas de acompanhamento
- Renovação de documentos