Na era da digitalização, é uma informação valiosa que deve ser preservada ou protegida acima de tudo. Para as empresas, isto significa que, a par da proteção de dados, a segurança da informação é uma necessidade absoluta. A boa notícia é: as empresas que possuem um sistema de gestão de qualidade certificado de acordo com a ISO 9001 já criaram uma boa base para a introdução passo a passo de uma segurança de informação totalmente abrangente.
Loading...
CONTEÚDO
- Passo a passo para mais segurança da informação
- Segurança da informação e gestão da qualidade
- Segurança da informação - riscos e oportunidades
- Identificar e lidar com os riscos
- O Anexo A da ISO 27001 fornece orientações
- ISMS e QMS - qual é a melhor abordagem
- Quais são os benefícios
- DQS: Simply leveraging Quality
O tema da segurança da informação não é novo. Os perigos que ameaçam o extenso panorama da informação nas organizações são conhecidos há muito tempo. De acordo com o BSI "Cyber Security Survey" de abril de 2019, 43% das grandes empresas relataram ter sido afetadas por incidentes de segurança cibernética em 2018.
Para as pequenas e médias empresas, o número foi de 26%. E de acordo com o "Relatório da Situação da Segurança Informática na Alemanha 2021" do Escritório Federal Alemão para Segurança da Informação (BSI), os casos de crimes cibernéticos aumentaram mais uma vez significativamente. No período de 1 de junho de 2020 a 31 de maio de 2021, não só houve um aumento de 22% em novas variantes de malware (cerca de 144 milhões), mas a qualidade dos ataques também continuou a aumentar consideravelmente. No processo, muitos perpetradores exploraram a angústia da Covid-19 de muitas empresas e pessoas.
No entanto, a segurança das informações confidenciais da empresa ainda é negligenciada. Muitas vezes há uma falta de cautela e de consideração no processamento e armazenamento de informações. A conscientização das consequências do roubo de dados e de outros elementos similares também está longe de estar suficientemente desenvolvida em todos os lugares. Em alguns lugares, as empresas também estão relutantes em investir o tempo e o esforço necessários para proteger eficazmente as suas informações sensíveis.
Passo a passo para uma maior segurança da informação
Mas o esforço necessário para a segurança dos dados não tem de ser tão grande. A boa notícia é que muitas empresas não têm de implementar um sistema de gestão de segurança de informação abrangente de uma só vez. Para infraestruturas críticas (CRITIS), por outro lado, isto é exigido pela lei alemã de segurança informática.
Uma abordagem passo a passo também é concebível. Isto significa que o primeiro passo, pelo menos em empresas que têm um sistema de gestão de qualidade (QM) de acordo com a ISO 9001, pode ser uma atualização da abordagem baseada no risco necessária, mas já com vista aos requisitos correspondentes da importante norma de segurança da informação ISO 27001.
Loading...
ISO 9001 e ISO 27001 na era da digitalização
Tema emocionante? Agora disponível como um White Paper gratuito!
Do conteúdo:
Quanto papel para a qualidade?
Protegendo informações documentadas de forma eficaz
ISO 27001: Base para digitalização segura
Este White Paper é baseado na versão ISO 27001:2013.
Segurança da informação e gestão da qualidade
ISO 27001 vs. ISO 9001: Onde estão as conexões? Em primeiro lugar, deve ser notado que a norma de gestão da qualidade ISO 9001 exige uma abordagem baseada no risco em toda a linha. No entanto, a implementação deste requisito do sistema de gestão depende, em grande parte, da sua organização. Por exemplo, a gestão da qualidade não requer um processo separado para a avaliação de riscos, mas isto é inquestionavelmente muito pouco no que diz respeito à segurança da informação. No entanto, isso é muito pouco:
A avaliação de risco para questões de gestão da qualidade pode ser facilmente ampliada para incluir a segurança da informação.
Para isso, é útil analisar os requisitos para identificar e lidar com os riscos de segurança da ISO 27001 para um sistema de gestão da segurança da informação (ISMS). A maioria dos aspectos pode ser implementada pelos usuários de um sistema de gestão de qualidade com esforço razoável - como um primeiro passo no caminho para a segurança abrangente da informação, pense em você.
Segurança da informação - riscos e oportunidades
As duas normas internacionais, ISO 27001 para segurança da informação e ISO 9001 para gestão da qualidade, tratam dos temas relevantes no Capítulo 6.1 "Medidas para lidar com os riscos e oportunidades". Em essência, o objetivo é assegurar três aspectos essenciais no sistema de gestão:
- Atingir os resultados pretendidos pela sua organização
- Prevenir ou reduzir os efeitos indesejáveis
- Atingir a melhoria contínua através do cumprimento de certas normas
No que diz respeito à segurança da informação, estes são principalmente os três objetivos essenciais de proteção:
- Perda de confidencialidade
- Integridade da informação
- Disponibilidade da informação
A norma ISMS ISO 27001 especifica os seguintes requisitos (seção 6.1.1):
- Determinação de riscos e oportunidades
- Medidas de planejamento para lidar com os riscos e oportunidades identificados
- Planejar como as medidas serão integradas nos processos da empresa e implementadas
Identificar e lidar com os riscos
O próximo subcapítulo (6.1.2) da ISO 27001 requer o estabelecimento e aplicação de um processo de avaliação de risco de segurança da informação. Este processo deve estabelecer e manter critérios de risco de segurança da informação. Isto inclui, em particular, os critérios de aceitação de riscos e a realização de avaliações de risco de segurança da informação.
Além disso, o processo deve garantir que "avaliações repetidas de risco de segurança da informação produzam resultados consistentes, válidos e comparáveis", como diz a norma ISMS. Os seguintes subitens podem ser significativos com um primeiro passo em mente:
- Identificar os riscos de segurança da informação
- Analisar os riscos de segurança da informação
- Avaliar os riscos de segurança da informação
Os requisitos em 6.1.3 requerem o estabelecimento e aplicação de um processo para abordar o risco de segurança da informação, a fim de alcançar o seguinte:
- Selecionar opções apropriadas para tratar o risco de segurança, com respeito aos resultados da avaliação de risco
- Determinar todas as ações necessárias para implementar as opções selecionadas para enfrentar o risco de segurança
- Comparar as medidas definidas com os controles especificados no Anexo A da ISO 27001 (ações alvo)
- Preparar uma declaração de aplicabilidade relativamente aos motivos para (não) incluir os controles do Anexo A
- Formular um plano para o tratamento de riscos de segurança
- Obter a aprovação e aceitação deste plano por parte dos proprietários de risco
Loading...
Certificação de acordo com a ISO 27001
Que esforço você precisa esperar para ter seu sistema de gestão de segurança da informação certificado pela ISO 27001? Descubra.
O Anexo A da ISO 27001 oferece orientação
O Anexo A da conhecida norma de sistema de gestão ISO/IEC 27001 tem um caráter normativo explícito. Pode ser entendido como uma espécie de checklist de 93 possíveis controles de segurança da informação, com foco nos quatro tópicos a seguir:
A.5 Controles organizacionais (com 37 controles)
A.6 Controles pessoais (com 8 controles)
A.7 Controles físicos (com 14 controles)
A.8 Controles técnicos (com 34 controles).
Uma organização pode usar o Anexo A para garantir que não tenha negligenciado nenhum item essencial para lidar com os riscos de segurança. No entanto, não pretende ser exaustiva.
Fonte: ISO/IEC 27001:2022
Dica de leitura:
Leia também o post do blog sobre o Anexo A da ISO 27001: Responsabilidades e funções dos funcionários e ganhe conhecimento especializado valioso com nosso Guia de Auditoria Anexo A gratuito!
Todas as informações baseadas na ISO 27001:2013.
Segurança da informação e gestão da qualidade - qual é a melhor abordagem?
A ISO 27001 requer, portanto, dois processos separados para avaliar e lidar com os riscos de segurança da informação. Para o primeiro passo, porém, estes poderiam ser combinados em um processo que amplia especificamente a avaliação dos riscos da gestão da qualidade de acordo com os requisitos acima mencionados para incluir o aspecto da segurança da informação. As duas normas proporcionam assim uma boa base para a implementação de medidas de proteção de dados e de segurança da informação.
Loading...
Assista agora: O que está mudando com a nova ISO/IEC 27001:2022
A nova versão da ISO/IEC 27001, adaptada aos riscos de informação contemporâneos, foi publicada em 25 de outubro de 2022. O que isso significa para os usuários da norma? Em nossa gravação gratuita de webinar , você aprenderá sobre
- Novos recursos da ISO/IEC 27001:2022 - Estrutura e Anexo A
- ISO/IEC 27002:2022-02 - estrutura, conteúdo, atributos e hashtags
- Linha do tempo para a transição e seus próximos passos
ISO 27001 vs. ISO 9001: A profundidade do processo acima mencionado, em última análise, depende diretamente da complexidade do cenário de informação da sua organização e dos dados que requerem proteção. De qualquer forma, é aconselhável que sua eficácia seja verificada em uma auditoria externa. Isto é aconselhável, por exemplo, no decurso de uma auditoria de certificação do seu sistema de gestão da qualidade de acordo com a ISO 9001, que está planejada de qualquer forma.
A segurança da informação vai de encontro à gestão da qualidade - quais são os benefícios?
- Um processo que olha fundamentalmente os riscos de segurança da informação pode servir como um primeiro e importante passo para um sistema de gestão abrangente de segurança da informação de acordo com a ISO/IEC 27001.
- Ao implementar tal processo, a alta gestão fortalece a consciência da segurança da informação e dos dados (proteção de dados) a todos os níveis.
- Com a consideração orientada dos riscos de segurança da informação, uma empresa tem a oportunidade de descobrir a necessidade de ação e de tomar as medidas adequadas (orientadas para a ISO 27001, Anexo A).
- A avaliação de risco ampliada para incluir a segurança da informação, por exemplo, como parte da gestão da qualidade, reforça a abordagem global baseada no risco de uma empresa.
- Tanto os recursos financeiros como humanos necessários para a implementação e os testes de eficácia são manejáveis.
DQS: Simply leveraging Quality
No ato de equilíbrio entre dinâmica e estabilidade, os sistemas de gestão certificados estão se tornando cada vez mais importantes, um desenvolvimento que a DQS sente de forma positiva. Porque as empresas e organizações de sucesso utilizam os resultados de nossas auditorias para melhorar continuamente seus resultados. E usam nossos certificados reconhecidos globalmente como prova objetiva de sua capacidade de qualidade. Isto cria confiança, tanto interna como externamente à sua organização.
A DQS emitiu o primeiro certificado de gestão de qualidade da Alemanha em 1986. A primeira auditoria em agosto de 1986 foi baseada em um rascunho da norma. Em 1991, a DQS recebeu sua primeira certificação para ISO 9001/2/3 pela então TGA Trägergemeinschaft für Akkreditierung GmbH (hoje: DAkkS). A acreditação para certificação de segurança da informação de acordo com a norma britânica BS 7799-2 foi seguida em 2000.
Loading...
Confiança e experiência
Nossos textos e folhetos são escritos exclusivamente por nossos especialistas em normas ou auditores com muitos anos de experiência. Se você tiver alguma dúvida ao autor sobre o conteúdo ou nossos serviços, não hesite em nos contatar.
Boletim Informativo DQS
Inscreva-se na nossa newsletter e mantenha-se informado!
Autor
André Säckel
Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.
Loading...