Sistema de Gestão da Segurança da Informação (ISMS)

O tema da "Segurança da Informação" é cada vez mais um assunto de extrema urgência para as empresas nessa era da transformação digital.

As empresas precisam estar suficientemente seguras e sempre tomar as devidas precauções de segurança para que toda a sua infraestrutura de hardware e softwares estejam plenamente seguras, evitando assim riscos de perda e/ou roubo de dados por invasão de hackers, de quebras de negócios devido a ataques via web ou uso indevido de dados.

A ISO/IEC 27001 é uma norma mundial com uma abordagem estruturada para a certificação do Sistema de Gestão de Segurança da Informação (SGSI / Information Security Management System - ISMS). A norma traz os requisitos mínimos e também as melhores práticas mundiais aplicadas ao tema de segurança da informação nas empresas e todos os pontos e ações importantes relacionados a esse tema.

Demonstre que a sua empresa tem um sistema de gestão de segurança de dados e informações

Segurança da informação parte da cultura corporativa

Gestão dos riscos: Implementado e eficaz

Monitoramento contínuo dos níveis de segurança

Business10.png
Loading...

O que é a ISO/IEC 27001?

A ISO/IEC 27001 é a norma internacional líder na implementação de um sistema de gestão para a segurança da informação. Ela se concentra na identificação, avaliação e gestão dos riscos dos processos de tratamento da informação e toda a infraestrutura de hardware e softwares que dão suporte para as operações de tecnologia das empresas.

A sistema de gestão de segurança da informação é enfatizada como um elemento estratégico e significativo na gestão das empresas e seus negócios.

Atualmente, a informação nos envolve em todos os lugares e faz parte de cada processo. Às vezes pode ser inconsequente, mas com demasiada frequência a informação pode ser crítica e confidencial. Para que todos possam entender e fazer esta importante distinção para a sua empresa, é necessário classificar a informação. Isto porque as medidas de proteção de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO/IEC 27001 são baseadas nesta classificação.

Um SGSI cria uma estrutura para proteger os dados operacionais e a sua confidencialidade. Ao mesmo tempo, a norma ISO/IEC 27001 globalmente reconhecida garante a segurança e a disponibilidade dos sistemas de TI envolvidos nos processos corporativos. Neste contexto, a certificação ISO/IEC 27001 envia um forte sinal ao mercado:

Uma empresa certificada ISO/IEC 27001 por uma certificadora independente, devidamente acreditada, confirma que a empresa segue uma norma internacional e as melhores práticas de segurança da informação através da implementação e manutenção de um sistema de gestão da segurança da informação (SGSI).

Mostrar mais
Mostrar menos
SEO19.png
Loading...

Para empresa a certificação de acordo com a ISO/IEC 27001 é adequada?

A norma ISO/IEC 27001 é aplicável para todas as empresas, independente do tamanho, segmento ou ramo de atuação. A implementação e certificação do sistema de gestão da informação fornece às empresas uma estrutura para o planejamento, implementação e monitoramento de sua segurança de informação e todos os tópicos relacionados. A ISO/IEC 27001 é muito utilizada por empresas na área de tecnologia, mas a certificação do sistema de gestão de segurança da informação é muito abrangente e pode beneficiar empresas de vários ramos, tamanhos e segmentos de atuação, inclusive podem ser aplicados em empresas do ramo de empresas privadas e públicas, bem como a organizações sem fins lucrativos.

Na Alemanha, por exemplo, as empresas que pertencem ao setor de Infraestrutura Crítica (KRITIS) devem fornecer comprovação que garantam a implementação de gestão da segurança da informação.

Os setores críticos incluem empresas de: energia, água, saúde, finanças e seguros, alimentação, transporte e tráfego, tecnologia da informação e telecomunicações.

Estas empresas realizam a implementação do sistema de gestão de segurança da informação e das melhores práticas mundiais sobre esse tema e garantem assim uma gestão eficiente e eficaz da segurança da informação, através de auditorias e certificação com a norma ISO/IEC 27001.

Mostrar mais
Mostrar menos
Business11.png
Loading...

O que torna a norma ISO/IEC 27001 útil para a minha empresa?

A introdução de um SGSI segundo a ISO/IEC 27001 é uma decisão estratégica para a sua empresa.

A implementação e o cumprimento dos requisitos da norma fornecem para a empresa uma visão geral e estratégica de pontos importantes que devem ser observados, para garantir que a gestão de TI e toda a segurança da informação da empresa possam ser monitoradas de forma contínua visando manter a segurança, estabilidade, continuidade dos sistemas, equipamentos e informações para a correta operação da empresa, minimizando dessa forma riscos e paradas não planejadas.

A implementação da norma e seus requisitos na empresa depende das necessidades e objetivos, dos requisitos de segurança e dos processos organizacionais, assim como do tamanho e da estrutura da empresa.

Anexo A:

O anexo A da norma ISO/IEC 27001 é extremamente valioso e serve como guia das melhores práticas mundiais dos pontos importantes que devem ser observados/implementados, tornando-se assim uma ferramenta extremamente valiosa.

Além da seção dos requisitos orientada ao sistema de gestão (requisitos de 4 a 10), a norma ISO contém uma extensa lista de 35 (controles) com 114 ações concretas para uma ampla variedade de aspectos de segurança em 14 capítulos do Anexo A.

Os controles devem ser implementados dentro da estrutura do sistema de gestão de segurança da informação como parte do sistema de gestão, na medida em que sejam relevantes para a sua empresa.

O alinhamento consistente dos processos da empresa com a ISO/IEC 27001 comprova uma série de benefícios:

  • Melhoria contínua do nível de segurança
  • Redução dos riscos existentes
  • Aderência aos requisitos de conformidade
  • Maior conscientização entre os funcionários
  • Aumento da satisfação do cliente

Auditorias internas e revisões de gestão com a participação da alta direção são ferramentas imprescindíveis para alcançar este objetivo.

Outros aspectos positivos são que as partes interessadas, como autoridades de supervisão, companhias de seguros, bancos, empresas parceiras, criam um nível mais elevado de confiança na sua empresa. Isto porque um sistema de gestão de segurança da informação certificado sinaliza que a sua organização lida com riscos de forma estruturada e busca a melhoria contínua, tornando a sua empresa mais eficiente e eficaz resistente a influências externas indesejadas.

A norma internacional ISO/IEC 27001 também pode ser implementada, operada e certificada independentemente de outros sistemas de gestão como a ISO 9001 (gestão da qualidade) ou a ISO 14001 (gestão ambiental). Mas caso a empresa já possua uma certificação como por exemplo a ISO 9001 (SGQ) a empresa poderá realizar um sistema de gestão integrado (SGI) junto com a norma ISO/IEC 27001.

Mostrar mais
Mostrar menos
Business36.png
Loading...

Quais certificadores estão autorizadas a realizar a certificação ISO/IEC 27001?

Para certificar um sistema de gestão da segurança da informação de acordo com a norma ISO/IEC 27001, o próprio organismo de certificação deve ser acreditado segundo a ISO/IEC 17021 e ISO/IEC 27006. A ISO/IEC 17021 regula tópicos relacionados com a avaliação de conformidade, especificamente requisitos para organismos de avaliação que auditam e certificam sistemas de gestão.

Além disso, a ISO/IEC 27006 define requisitos rigorosos que os organismos de certificação devem cumprir para certificar um SGSI de acordo com a ISO 27001.

Estes incluem:

  • Evidência da realização de auditorias específicas e auditorias de testemunho
  • Requisitos mundiais para a qualificação dos auditores

A DQS é acreditada pelo organismo nacional alemão de acreditação DakkS (Deutsche Akkreditierungsstelle GmbH) e, portanto, autorizada a realizar auditorias e certificações de acordo com a norma ISO 27001 em todo o mundo.

Independentemente do setor em que sua empresa opera, você pode contar com a experiência distinta dos auditores da DQS. Eles têm muitos anos de experiência na avaliação de sistemas de gestão de segurança da informação em vários setores.

Mostrar mais
Mostrar menos
Business28.png
Loading...

Como funciona a certificação ISO 27001?

Inicialmente você nos fornecerá informações sobre a sua empresa, seus sistema de gestão de segurança da informação e os objetivos da certificação ISO/IEC 27001. Com base nessas informações, você receberá uma proposta detalhada e transparente adaptada às necessidades da sua empresa ou organização.

 

As reuniões de projeto podem ser uma ferramenta muito útil para o planejamento de projetos maiores, a fim de planejar, elaborar os cronogramas e as etapas para a realização das auditorias para a sua empresa, além de esclarecer dúvidas do processo de certificação.

Após a aprovação da proposta de certificação, nós realizamos o planejamento e o cronograma da auditoria de certificação o qual envolverá as etapas iniciais de auditoria que será realizada na empresa envolvendo todos os departamentos.

Mediante solicitação, a DQS poderá realizar uma pré-auditoria como primeira avaliação do sistema de gestão, identificando pontos fortes e eventuais necessidades de ajustes, além de verificar se a empresa se encontra apta para o processo de certificação. Ambos os serviços são opcionais.

A auditoria de certificação começa com a auditoria conhecida como uma análise do sistema de gestão (1ª fase). Nesta etapa é realizada a avaliação da documentação do sistema de gestão, objetivos resultados das auditorias internas e da reunião da alta direção. Ao fazer isso, determinamos se o sistema de gestão da sua empresa está suficientemente desenvolvido e pronto para a próxima etapa da certificação.

Na etapa seguinte conhecida como auditoria do sistema (2ª fase), o seu auditor avalia a eficácia de todos os processos do sistema de gestão localmente na empresa, tendo como base a norma ISO/IEC 27001 seus requisitos e anexo A, além de eventuais obrigações legais e legislações que eventualmente sua empresa tenha que cumprir. O resultado da auditoria é apresentado em uma reunião de fechamento, com apresentação do andamento da auditoria e pontos fortes. Caso seja necessário, planos de ação são acordados. 

Após a auditoria de certificação, os resultados da auditoria são avaliados pelo comitê de certificação independente da DQS e a sua empresa receberá um relatório documentando os resultados da auditoria. Se todos os requisitos da norma, anexo A e eventualmente requisitos regulamentares e legais estiverem sido cumpridos, sua empresa receberá o certificado da DQS de acordo com a ISO/IEC 27001, reconhecido internacionalmente, com um período de validade de três anos.

Com vistas a manter à melhoria contínua e à manter a eficácia do sistema de gestão de segurança da informação, auditorias de manutenção devem ser realizadas na empresa, verificando os processos-chave do seu sistema de gestão visando garantir que a empresa continue a cumprir com todos os critérios importantes da ISO/IEC 27001, anexo A e requisitos regulamentares, pelo menos uma vez por ano.

O certificado de acordo com a norma ISO/IEC 27001 é válido por um período de três anos. A auditoria de recertificação deve ser realizada com bastante antecedência com relação a data de expiração do ciclo de auditoria e do certificado. Isso assegura a conformidade contínua dos requisitos da norma aplicável. Após a realização com sucesso da auditoria de recertificação é emitido um novo certificado com duração de mais um ciclo de 3 anos.

Banking13.png
Loading...

Quanto custa a certificação ISO 27001?

Critérios importantes para a ISO/IEC 27001

A segurança das operações de uma empresa é um item muito importante e estratégico e geralmente possui um valor muito grande.

Por esse motivo, ter na sua empresa um sistema de gestão de segurança da informação implementado e certificado trará inúmeros benefícios e muitas vezes diferenciais competitivos para a sua empresa. Por isso, investir na segurança da informação da sua empresa torna o investimento um fator viável.

O valor da certificação com a ISO/IEC 27001 pode variar de empresa para empresa, dependendo de vários fatores, tais como: o tamanho da sua empresa, quantidade de funcionários, a complexidade da sua organização e os processos.

Os custos da certificação de acordo com a ISO/IEC 27001 são estabelecidos de acordo com os quatro critérios seguintes, dentre outros:

1. A complexidade do seu sistema de gestão da segurança da informação.

Os valores críticos (por exemplo, patentes, dados pessoais, instalações, processos) da sua empresa são levados em conta. O custo da certificação baseia-se principalmente nos requisitos de segurança da informação e na medida em que a confidencialidade, integridade e disponibilidade da informação são afetadas.

2. O negócio principal da sua empresa no âmbito do SGSI

Neste ponto, os riscos associados aos seus processos de negócio em particular desempenham um papel importante na determinação do tempo de auditoria que será necessário. Os requisitos legais são levados em consideração, bem como os requisitos complexos e individuais de clientes.

3. As principais tecnologias e componentes utilizadas no seu SGSI

Durante a auditoria, a sua infraestrutura de tecnologia bem como os componentes internos do seu SGSI são examinados. Estes incluem plataformas de TI, servidores, bases de dados, aplicações, assim como segmentos de rede. A regra básica é: Quanto maior a proporção de sistemas padronizados e menor a complexidade da sua TI, menor o tempo de auditoria. Os valores de uma certificação ISO/IEC 27001 também dependem de fatores como hardware, software, treinamentos dos colaboradores, segurança, disponibilidade dentre outros.

4 A proporção de desenvolvimentos internos no seu SGSI

Se não há desenvolvimento interno de sistemas e se a sua empresa se utiliza principalmente plataformas de software padronizadas, o esforço de uma avaliação poderá ser menor, mas depende de uma avaliação rigorosa de sistemas terceirizados, suas regras contratuais, de segurança e SLA de suporte. Se o seu SGSI for caracterizado pelo uso intensivo de software desenvolvidos internamente e se este softwares forem usados para áreas centrais de negócios, o esforço para a certificação poderá maior.

Para que possamos elaborar uma proposta de certificação personalizada e adaptada às necessidades da sua empresa, precisamos que você nos forneça as informações sobre o sistema de gestão da sua empresa e os objetivos da certificação ISO/IEC 27001 além das informações sobre a sua infraestrutura de TI, softwares, hardwares e demais informações de tecnologia relevantes. Com base nessas informações, você receberá uma proposta de certificação detalhada e transparente personalizada para a sua empresa.

Mostrar mais
Mostrar menos
Business2.png
Loading...

Porquê a DQS?

  • Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
  • Auditorias que agregam valor a sua organização
  • Auditores com experiência prática e alto nível de competência no ramo de atuação da sua empresa
  • Certificados com aceitação internacional
  • Presença global com mais de 80 escritório em aproximadamente 66 países
  • Portfólio de serviços que incluem mais de 200 serviços em certificações de sistemas de gestão
  • A DQS entende o seu negócio e trabalha de forma a dar suporte a sua empresa através dos nossos especialistas - a nível local, nacional e internacional
  • Relatórios de auditoria significativos, incluindo recomendações de ações e pontos de melhoria
  • Propostas claras e transparentes de acordo com as características da empresa
  • Auditores multi-normas (ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001, etc), proporcionando a sua empresa uma amplo atendimento as normas de Tecnologia
  • Pronto atendimento para a sua empresa, através de equipe da DQS localmente
Mostrar mais
Mostrar menos
Contact-Asia-man-shutterstock_770429164.jpg
Loading...

Peça uma proposta

Sua pessoa de contato local

Teremos todo o prazer de oferecer uma proposta de certificação personalizada para a certificação ISO 27001 da sua empresa.