Saiba como a certificação do SGSI com a ISO/IEC 27001 é essencial para a sua empresa

Na era da transformação digital, a "Segurança da Informação" é essencial para as empresas protegerem sua infraestrutura digital contra hackers e perdas de dados. A norma ISO/IEC 27001 é uma abordagem reconhecida globalmente, que define requisitos e melhores práticas para a certificação do Sistema de Gestão de Segurança da Informação (SGSI/ISMS), capacitando as empresas a enfrentar desafios de segurança com eficácia. A DQS está pronta para ajudar a sua empresa no rumo da Certificação ISO/IEC 27001, abrangendo desde ameaças cibernéticas até o uso indevido de informações, garantindo um ambiente seguro e resiliente.

Gestão de Riscos de Segurança da Informação

Melhoria de Processos e Eficiência

Conformidade Legal e Regulatória

Reputação e Confiança

Business10.png
Loading...

O que é a ISO/IEC 27001?

A ISO/IEC 27001 destaca-se como a principal norma internacional para estabelecer um sistema de gestão destinado à segurança da informação. Seu foco reside na identificação, avaliação e administração dos riscos inerentes aos processos de manipulação da informação, bem como à infraestrutura de hardware e software que sustenta as operações tecnológicas das organizações.

A ênfase recai sobre o sistema de gestão de segurança da informação como um elemento estratégico e de grande importância na administração das empresas e de suas atividades comerciais.

Atualmente, a informação nos envolve em todos os lugares e faz parte de cada processo. Às vezes pode ser inconsequente, mas com demasiada frequência a informação pode ser crítica e confidencial. Para que todos possam entender e fazer esta importante distinção para a sua empresa, é necessário classificar a informação. Isto porque as medidas de proteção de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO/IEC 27001 são baseadas nesta classificação.

A sua empresa pode conquistar a Certificação ISO/IEC 27001 por meio da DQS, estamos devidamente acreditados confirmando nosso alinhamento com padrões internacionais e melhores práticas de segurança da informação para manter um Sistema de Gestão de Segurança da Informação (SGSI).

 

Um SGSI cria uma estrutura para proteger os dados operacionais e a sua confidencialidade. Ao mesmo tempo, a norma ISO/IEC 27001 globalmente reconhecida garante a segurança e a disponibilidade dos sistemas de TI envolvidos nos processos corporativos. Neste contexto, a certificação ISO/IEC 27001 envia um forte sinal ao mercado:

Uma empresa certificada ISO/IEC 27001 por uma certificadora independente, devidamente acreditada, confirma que a empresa segue uma norma internacional e as melhores práticas de segurança da informação através da implementação e manutenção de um sistema de gestão da segurança da informação (SGSI).

A segunda edição da ISO/IEC 27001 data de 2013. Agora, a norma internacionalmente reconhecida para ISMS foi atualizada e republicada em sua terceira edição como ISO/IEC 27001:2022 em 25 de outubro de 2022. A revisão é uma consequência inevitável após ISO/IEC 27002, como a orientação de implementação que rege o Anexo A da ISO 27001, foi amplamente revisada e publicada em fevereiro de 2022. 

O período de transição para os certificados ISO 27001 existentes é de três anos a partir do último dia do mês de publicação da nova ISO/IEC 27001:2022, o que significa que todos os certificados de acordo com a ISO/IEC 27001:2013 devem ter sido convertidos para a versão 2022 da ISO 27001 até 31 de outubro de 2025, você pode ler sobre os novos recursos da atualização da ISO 27001 em nosso artigo "A nova ISO/IEC 27001:2022 - principais mudanças".

Mostrar mais
Mostrar menos
SEO19.png
Loading...

Para empresa a certificação de acordo com a ISO/IEC 27001 é adequada?

A norma ISO/IEC 27001 é aplicável para todas as empresas, independente do tamanho, segmento ou ramo de atuação. A implementação e certificação do sistema de gestão da informação fornece às empresas uma estrutura para o planejamento, implementação e monitoramento de sua segurança de informação e todos os tópicos relacionados. A ISO/IEC 27001 é muito utilizada por empresas na área de tecnologia, mas a certificação do sistema de gestão de segurança da informação é muito abrangente e pode beneficiar empresas de vários ramos, tamanhos e segmentos de atuação, inclusive podem ser aplicados em empresas do ramo de empresas privadas e públicas, bem como a organizações sem fins lucrativos.

Na Alemanha, por exemplo, as empresas que pertencem ao setor de Infraestrutura Crítica (KRITIS) devem fornecer comprovação que garantam a implementação de gestão da segurança da informação.

Os setores críticos incluem empresas de: energia, água, saúde, finanças e seguros, alimentação, transporte e tráfego, tecnologia da informação e telecomunicações.

Estas empresas realizam a implementação do sistema de gestão de segurança da informação e das melhores práticas mundiais sobre esse tema e garantem assim uma gestão eficiente e eficaz da segurança da informação, através de auditorias e certificação com a norma ISO/IEC 27001.

Mostrar mais
Mostrar menos
Business11.png
Loading...

O que torna a norma ISO/IEC 27001 útil para a minha empresa?

A introdução de um SGSI de acordo com a ISO/IEC 27001 é uma decisão estratégica para sua empresa. O cumprimento dos requisitos deliberadamente gerais da norma deve refletir a situação específica da empresa. A implementação na sua empresa depende das necessidades e objetivos, dos requisitos de segurança e dos processos organizacionais, bem como do tamanho e estrutura da empresa.

A implementação da norma e seus requisitos na empresa depende das necessidades e objetivos, dos requisitos de segurança e dos processos organizacionais, assim como do tamanho e da estrutura da empresa.

A introdução de um SGSI de acordo com a ISO/IEC 27001 é uma decisão estratégica para sua empresa. O cumprimento dos requisitos deliberadamente gerais da norma deve refletir a situação específica da empresa. A implementação na sua empresa depende das necessidades e objetivos, dos requisitos de segurança e dos processos organizacionais, bem como do tamanho e estrutura da empresa.

O Anexo A da ISO 27001, que deve ser usado em conexão com a seção 6.1.3 com base em análises de risco específicas da empresa, é particularmente valioso na prática. Os controles de segurança da informação listados no Anexo A são diretamente derivados e alinhados com as medidas listadas na atual ISO 27002, Seções 5 a 8. 

Anteriormente, o Anexo A da ISO/IEC 27001:2013 incluía um total de 114 controles para tratar dos riscos de segurança da informação, subdivididos em 14 seções e 35 objetivos de controle. Na nova ISO/IEC 27001:2022-10, o Anexo A agora contém 93 controles sobre aspectos de segurança relevantes, que são atribuídos a 4 áreas temáticas.

O alinhamento consistente dos processos da empresa com a ISO/IEC 27001 comprova uma série de benefícios:

  • Melhoria contínua do nível de segurança
  • Redução dos riscos existentes
  • Aderência aos requisitos de conformidade
  • Maior conscientização entre os funcionários
  • Aumento da satisfação do cliente

Auditorias internas e revisões de gestão com a participação da alta direção são ferramentas imprescindíveis para alcançar este objetivo.

Outros aspectos positivos são que as partes interessadas, como autoridades de supervisão, companhias de seguros, bancos, empresas parceiras, criam um nível mais elevado de confiança na sua empresa. Isto porque um sistema de gestão de segurança da informação certificado sinaliza que a sua organização lida com riscos de forma estruturada e busca a melhoria contínua, tornando a sua empresa mais eficiente e eficaz resistente a influências externas indesejadas.

A norma internacional ISO/IEC 27001 também pode ser implementada, operada e certificada independentemente de outros sistemas de gestão como a ISO 9001 (gestão da qualidade) ou a ISO 14001 (gestão ambiental). Mas caso a empresa já possua uma certificação como por exemplo a ISO 9001 (SGQ) a empresa poderá realizar um sistema de gestão integrado (SGI) junto com a norma ISO/IEC 27001.

Mostrar mais
Mostrar menos
Business36.png
Loading...

Quais certificadores estão autorizadas a realizar a certificação ISO/IEC 27001?

Para certificar um sistema de gestão da segurança da informação de acordo com a norma ISO/IEC 27001, o próprio organismo de certificação deve ser acreditado segundo a ISO/IEC 17021 e ISO/IEC 27006. A ISO/IEC 17021 regula tópicos relacionados com a avaliação de conformidade, especificamente requisitos para organismos de avaliação que auditam e certificam sistemas de gestão.

Além disso, a ISO/IEC 27006 define requisitos rigorosos que os organismos de certificação devem cumprir para certificar um SGSI de acordo com a ISO 27001.

Estes incluem:

  • Evidência da realização de auditorias específicas e auditorias de testemunho
  • Requisitos mundiais para a qualificação dos auditores

A DQS é acreditada pelo organismo nacional alemão de acreditação DakkS (Deutsche Akkreditierungsstelle GmbH) e, portanto, autorizada a realizar auditorias e certificações de acordo com a norma ISO 27001 em todo o mundo.

Independentemente do setor em que sua empresa opera, você pode contar com a experiência distinta dos auditores da DQS. Eles têm muitos anos de experiência na avaliação de sistemas de gestão de segurança da informação em vários setores.

Mostrar mais
Mostrar menos
Business28.png
Loading...

Como funciona a certificação ISO 27001?

Inicialmente você nos fornecerá informações sobre a sua empresa, seus sistema de gestão de segurança da informação e os objetivos da certificação ISO/IEC 27001. Com base nessas informações, você receberá uma proposta detalhada e transparente adaptada às necessidades da sua empresa ou organização.

 

As reuniões de projeto podem ser uma ferramenta muito útil para o planejamento de projetos maiores, a fim de planejar, elaborar os cronogramas e as etapas para a realização das auditorias para a sua empresa, além de esclarecer dúvidas do processo de certificação.

Após a aprovação da proposta de certificação, nós realizamos o planejamento e o cronograma da auditoria de certificação o qual envolverá as etapas iniciais de auditoria que será realizada na empresa envolvendo todos os departamentos.

Mediante solicitação, a DQS poderá realizar uma pré-auditoria como primeira avaliação do sistema de gestão, identificando pontos fortes e eventuais necessidades de ajustes, além de verificar se a empresa se encontra apta para o processo de certificação. Ambos os serviços são opcionais.

A auditoria de certificação começa com a auditoria conhecida como uma análise do sistema de gestão (1ª fase). Nesta etapa é realizada a avaliação da documentação do sistema de gestão, objetivos resultados das auditorias internas e da reunião da alta direção. Ao fazer isso, determinamos se o sistema de gestão da sua empresa está suficientemente desenvolvido e pronto para a próxima etapa da certificação.

Na etapa seguinte conhecida como auditoria do sistema (2ª fase), o seu auditor avalia a eficácia de todos os processos do sistema de gestão localmente na empresa, tendo como base a norma ISO/IEC 27001 seus requisitos e anexo A, além de eventuais obrigações legais e legislações que eventualmente sua empresa tenha que cumprir. O resultado da auditoria é apresentado em uma reunião de fechamento, com apresentação do andamento da auditoria e pontos fortes. Caso seja necessário, planos de ação são acordados. 

Após a auditoria de certificação, os resultados da auditoria são avaliados pelo comitê de certificação independente da DQS e a sua empresa receberá um relatório documentando os resultados da auditoria. Se todos os requisitos da norma, anexo A e eventualmente requisitos regulamentares e legais estiverem sido cumpridos, sua empresa receberá o certificado da DQS de acordo com a ISO/IEC 27001, reconhecido internacionalmente, com um período de validade de três anos.

Com vistas a manter à melhoria contínua e à manter a eficácia do sistema de gestão de segurança da informação, auditorias de manutenção devem ser realizadas na empresa, verificando os processos-chave do seu sistema de gestão visando garantir que a empresa continue a cumprir com todos os critérios importantes da ISO/IEC 27001, anexo A e requisitos regulamentares, pelo menos uma vez por ano.

O certificado de acordo com a norma ISO/IEC 27001 é válido por um período de três anos. A auditoria de recertificação deve ser realizada com bastante antecedência com relação a data de expiração do ciclo de auditoria e do certificado. Isso assegura a conformidade contínua dos requisitos da norma aplicável. Após a realização com sucesso da auditoria de recertificação é emitido um novo certificado com duração de mais um ciclo de 3 anos.

Banking13.png
Loading...

Quanto custa a certificação ISO 27001?

Critérios importantes para a ISO/IEC 27001

A segurança das operações de uma empresa é um item muito importante e estratégico e geralmente possui um valor muito grande.

Por esse motivo, ter na sua empresa um sistema de gestão de segurança da informação implementado e certificado trará inúmeros benefícios e muitas vezes diferenciais competitivos para a sua empresa. Por isso, investir na segurança da informação da sua empresa torna o investimento um fator viável.

O valor da certificação com a ISO/IEC 27001 pode variar de empresa para empresa, dependendo de vários fatores, tais como: o tamanho da sua empresa, quantidade de funcionários, a complexidade da sua organização e os processos.

Os custos da certificação de acordo com a ISO/IEC 27001 são estabelecidos de acordo com os quatro critérios seguintes, dentre outros:

1. A complexidade do seu sistema de gestão da segurança da informação.

Os valores críticos (por exemplo, patentes, dados pessoais, instalações, processos) da sua empresa são levados em conta. O custo da certificação baseia-se principalmente nos requisitos de segurança da informação e na medida em que a confidencialidade, integridade e disponibilidade da informação são afetadas.

2. O negócio principal da sua empresa no âmbito do SGSI

Neste ponto, os riscos associados aos seus processos de negócio em particular desempenham um papel importante na determinação do tempo de auditoria que será necessário. Os requisitos legais são levados em consideração, bem como os requisitos complexos e individuais de clientes.

3. As principais tecnologias e componentes utilizadas no seu SGSI

Durante a auditoria, a sua infraestrutura de tecnologia bem como os componentes internos do seu SGSI são examinados. Estes incluem plataformas de TI, servidores, bases de dados, aplicações, assim como segmentos de rede. A regra básica é: Quanto maior a proporção de sistemas padronizados e menor a complexidade da sua TI, menor o tempo de auditoria. Os valores de uma certificação ISO/IEC 27001 também dependem de fatores como hardware, software, treinamentos dos colaboradores, segurança, disponibilidade dentre outros.

4 A proporção de desenvolvimentos internos no seu SGSI

Se não há desenvolvimento interno de sistemas e se a sua empresa se utiliza principalmente plataformas de software padronizadas, o esforço de uma avaliação poderá ser menor, mas depende de uma avaliação rigorosa de sistemas terceirizados, suas regras contratuais, de segurança e SLA de suporte. Se o seu SGSI for caracterizado pelo uso intensivo de software desenvolvidos internamente e se este softwares forem usados para áreas centrais de negócios, o esforço para a certificação poderá maior.

Para que possamos elaborar uma proposta de certificação personalizada e adaptada às necessidades da sua empresa, precisamos que você nos forneça as informações sobre o sistema de gestão da sua empresa e os objetivos da certificação ISO/IEC 27001 além das informações sobre a sua infraestrutura de TI, softwares, hardwares e demais informações de tecnologia relevantes. Com base nessas informações, você receberá uma proposta de certificação detalhada e transparente personalizada para a sua empresa.

Mostrar mais
Mostrar menos
Business2.png
Loading...

Por que a DQS?

  • Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
  • Auditorias que agregam valor a sua organização
  • Auditores com experiência prática e alto nível de competência no ramo de atuação da sua empresa
  • Certificados com aceitação internacional
  • Presença global com mais de 80 escritório em aproximadamente 66 países
  • Portfólio de serviços que incluem mais de 200 serviços em certificações de sistemas de gestão
  • A DQS entende o seu negócio e trabalha de forma a dar suporte a sua empresa através dos nossos especialistas - a nível local, nacional e internacional
  • Relatórios de auditoria significativos, incluindo recomendações de ações e pontos de melhoria
  • Propostas claras e transparentes de acordo com as características da empresa
  • Auditores multi-normas (ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001, etc), proporcionando a sua empresa uma amplo atendimento as normas de Tecnologia
  • Pronto atendimento para a sua empresa, através de equipe da DQS localmente
Mostrar mais
Mostrar menos
Contact-Asia-man-shutterstock_770429164.jpg
Loading...

Peça uma proposta

Sua pessoa de contato local

Teremos todo o prazer de oferecer uma proposta de certificação personalizada para a certificação ISO 27001 da sua empresa.

As principais mudanças na nova ISO/IEC 27001:2022

Neste post do blog DQS, você encontrará as informações mais importantes sobre as principais mudanças e adições na revisão da norma ISO 27001:2022.

Confira o blog