Em tempos em que os dados e informações são negociados como mercadorias, protegê-los é essencial. Uma maneira de fazê-lo é implementar um sistema de gestão de segurança da informação baseada na série de normas de segurança da informação ISO/IEC 2700x. Esta é uma família internacional de normas para segurança de IT e segurança da informação em organizações privadas, públicas ou sem fins lucrativos. Com base na ISO 27001, um sistema de gestão de segurança da informação (SGSI) pode ser implementado, que as organizações e as autoridades públicas podem criar, operar e ter certificado para sua própria protecção.

Loading...

Normas de segurança da informação: A família de normas ISO 2700X

As normas individuais de segurança da informação da série ISO 2700x tratam de diversos tópicos na área de segurança da informação. Por exemplo, a norma internacional especifica ISO 27001 Um sistema de gestão de segurança da informação (ISMS), ISO 27701 um sistema de gestão de protecção de dados, a ISO 27017 fornece orientações sobre medidas de segurança da informação para computação em cloud, e a ISO 27005 fornece orientações para a gestão de riscos de segurança da informação.

As empresas de todos os sectores podem beneficiar da abordagem sistematicamente estruturada destas normas para a segurança da informação. Esta permite que dados confidenciais sejam protegidos contra perda e mau uso e ajuda a identificar e reduzir (potenciais) ameaças de forma confiável. A abordagem ajuda a garantir a disponibilidade dos sistemas de IT corporativos, contribuindo assim para a optimização dos processos de negócios, custos de IT e processos, e para a minimização dos riscos de negócios e de responsabilidade civil.

 

A certificação é uma vantagem competitiva

A certificação segundo a ISO 27001, por exemplo pela DQS, requer uma certa preparação e esforço. No entanto, a empresa fornece provas documentadas de que cumpre com os requisitos de segurança da informação e implementa medidas para proteger os dados sensíveis da empresa. Esta é uma clara vantagem competitiva.

 

Dez normas ISO sobre segurança da informação com as quais você deve estar familiarizado

A lista abaixo fornece uma visão geral informativa do status actual da série de normas ISO 2700x em segurança da informação. Todas as normas estão disponíveis para compra no website da ISO.

ISO 27001 - Requisitos para sistemas de gestão de segurança da informação

Em tempos em que dados e informações são negociados como mercadorias raras, a sua protecção é essencial. Uma base ideal para a implementação eficaz de uma estratégia de segurança holística é fornecida por um sistema de gestão da segurança da informação (SGSI) bem estruturado, de acordo com a norma ISO 27001. Esta é uma norma reconhecida internacionalmente para segurança da informação em organizações privadas, públicas ou sem fins lucrativos, que não cobre apenas os aspectos da segurança de IT.

Um ISMS ISO 27001 define requisitos, regras e métodos para garantir a segurança das informações que requerem protecção nas organizações. A norma ISO fornece um modelo para estabelecer, implementar, monitorizar e melhorar o nível de protecção. O objectivo é identificar riscos potenciais para a empresa, analisá-los e torná-los controláveis através de medidas apropriadas. A ISO 27001 formula os requisitos para tal sistema de gestão, que são auditados como parte de um processo de certificação externo .

Isto pode ser alcançado com a norma:

  • Tornar a segurança de informações sensíveis uma parte integrante dos processos corporativos.
  • Salvaguarda preventiva dos objectivos de protecção confidencialidade, disponibilidade e integridade da informação
  • Manutenção da continuidade do negócio através da melhoria contínua do nível de segurança
  • Sensibilização dos funcionários e aumento significativo da conscientização de segurança em todos os níveis da empresa
  • Construção de confiança com as partes interessadas
  • Estabelecimento de um processo eficaz de gestão de risco

ISO/IEC 27001:2013
Tecnologias de informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos

A versão revista foi publicada a 25 de Outubro de 2022. A versão corrente ISO/IEC 27001:2013 irá expirar em Outubro de 2025.

ISO 27019 - Medidas de segurança da informação para o fornecimento de energia.

A norma de segurança da informação ISO 27019 formula medidas complementares para o sector da indústria energética.

ISO/IEC 27019:2017
Tecnologia da informação - Técnicas de segurança - Controlos de segurança da informação para a indústria de serviços públicos de energia

Esta norma ajuda-o a proteger os seus sistemas eletrónicos de controlo de processos usados para controlar e monitorizar a produção, transmissão, armazenamento e distribuição de energia elétrica, gás, petróleo e calor, e para controlar os processos de suporte relacionados.

O que você pode fazer com a norma:

  • Assegurar sistematicamente as metas de protecção de confidencialidade, disponibilidade e integridade da informação.
  • Melhorar continuamente o nível de segurança e a resistência ao acesso não autorizado.
  • Alcançar maior segurança de acção e segurança jurídica, melhorar a adesão aos requisitos de conformidade relevantes
  • Aumentar a conscientização de segurança entre funcionários e gestores
  • Atingir um alto nível de confiança e lealdade entre todas as partes interessadas
  • Demonstrar às autoridades provas reconhecidas da eficácia das suas medidas de segurança, tais como a Agência Federal Alemã de Redes (BNetzA)

 

ISO 27006 - Requisitos para organismos de certificação

A ISO 27006 destina-se a organismos como o DQS que realizam certificações de sistemas de gestão da segurança da informação. A norma de acreditação ISO 27006 descreve os requisitos que os organismos de certificação devem seguir ao avaliar os sistemas de gestão dos seus clientes para a certificação ISO 27001.

ISO/IEC 27006:2021
Tecnologia da informação - Técnicas de segurança - Requisitos para organismos de auditoria e certificação de sistemas de gestão da segurança da informação

Isto inclui, por exemplo, a prova dos esforços de auditoria especificados ou especificações sobre as qualificações dos auditores. Os processos de acreditação delineados na norma garantem que os certificados ISO 27001 emitidos por organismos de certificação acreditados têm validade internacional.

O que você pode conseguir com esta norma:

  • Critérios uniformes para procedimentos de certificação, acompanhamento e auditoria de recertificação
  • Assegurar a validade dos certificados ISO 27001
  • Assegurar requisitos mínimos para o esforço de auditoria e qualificação do pessoal que calcula e executa os procedimentos de certificação
Loading...

ISO 27001 na prática

O guia de auditorias DQS

O guia de auditorias DQS  (baseado na ISO 27001:2013)

Beneficie de boas questões de auditoria e possíveis evidências em controlos seleccionados do Anexo A. 

De peritos neste campo.

ISO 27002 - Orientação sobre controlos de segurança da informação

O Sistema de Gestão da Segurança da Informação (SGSI) de acordo com a ISO 27001 contém um anexo normativo A: Objectivos e controlos das medidas de referência.Este anexo contém medidas específicas a serem implementadas como parte do sistema de gestão, como relevantes para a organização. A ISO 27002 é um guia com recomendações para a implementação de medidas da ISO 27001. 

O guia foi compreensivamente revisto e actualizado  no início de 2022. A nova edição fornece aos gestores de segurança de informação um guia preciso de implementação para garantir que nenhuma medida importante para abordar os riscos de segurança de informação é ignorada.

ISO/IEC 27002:2022 Segurança da informação, ciber-segurança e protecção da privacidade - Controlos de segurança da informação

Este anexo contém medidas específicas a serem implementadas como parte do sistema de gestão, conforme relevante para a organização. A ISO 27002 é um guia com recomendações para a implementação das medidas da ISO 27001.

Você pode fazer isto com a norma:

  • Suporte para a implementação da ISO 27001
  • Implementar as recomendações para as medidas do Anexo A da ISO 27001

 

ISO 27000 - Visão geral e vocabulário dos sistemas de gestão da segurança da informação

A ISO 27000 contém termos e definições que são usados na série de normas ISO 2700X. A ISO 27000 fornece uma visão geral dos sistemas de gestão de segurança da informação e da série de normas ISO 2700x com as suas normas de segurança da informação.

ISO/IEC 27000:2018
Tecnologias de informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Visão geral e vocabulário

Num glossário, os termos (técnicos) são definidos explícita e formalmente.

O que você pode fazer com este padrão:

  • Glossário: cobertura da maioria dos termos técnicos utilizados na série de normas ISO2700x no campo da segurança da informação.
  • Clareza sobre a terminologia
  • Compreensão clara do vocabulário entre avaliadores e avaliadores ("uma linguagem comum")
  • Visão geral dos sistemas de gestão da segurança da informação: introdução da segurança da informação, gestão de risco e segurança, e sistemas de gestão

 

ISO 27701 - Orientação sobre gestão de protecção de dados

A norma de segurança da informação especificamente relacionado à privacidade dos dados ISO 27701 especifica um sistema de gestão de protecção de dados baseado nas normas ISO 27001, ISO 27002 (controlos de segurança da informação) e ISO 29100 (estrutura de privacidade de dados) para tratar adequadamente tanto o processamento de dados pessoais como a segurança da informação. Isto aplica-se tanto aos controladores como aos processadores de dados pessoais.

ISO/IEC 27701:2019-08 Técnicas de segurança - Extensão para ISO/IEC 27001 e ISO/IEC 27002 para gestão de informações de privacidade - Requisitos e directrizes

Como você pode ter sucesso com esta norma:

  • Melhor gestão da segurança dos dados pessoais e da informação
  • Aplicação mais fácil dos princípios comuns de gestão de riscos da informação aos dados pessoais
  • Alinhar e ampliar os controlos dentro da ISO 27001, bem como a ISO 27002 relacionada.

ISO 27017 - Guia de medidas de segurança da informação em serviços em cloud

A norma ISO 27017 fornece orientações sobre medidas de segurança da informação na computação em cloud dentro das normas de segurança da informação.

ISO/IEC 27017:2015
Tecnologia da informação - Técnicas de segurança - Código de prática para controlos de segurança da informação baseado na ISO/IEC 27002 para serviços em cloud

Esta recomenda, suporta e fornece medidas adicionais para a implementação de controlos de segurança da informação específicos da cloud.

O que você pode conseguir com esta norma:

  • Compreender os aspectos de segurança da informação da computação em cloud.
  • Projectar e implementar controlos de segurança da informação específicos para o sistema de cloud
  • Controlo sobre as opções de selecção, implementação e gestão da segurança da informação para computação em cloud

 

ISO 27018 - Orientação sobre protecção de dados em serviços na cloud.

A norma ISO 27018 fornece orientações para garantir que os provedores de serviços em cloud ofereçam controlos adequados de segurança de informações para proteger a privacidade dos clientes de seus clientes, protegendo os dados pessoais a eles confiados.

ISO/IEC 27018:2019
Tecnologia da informação - técnicas - Código de prática para protecção de informação pessoalmente identificável (IPI) em clouds públicas actuando como processadores de IPI

Esta norma é seguida pela ISO 27017 (Medidas de segurança da informação em serviços em cloud), que cobre outros aspectos de segurança da informação da computação em cloud que não apenas a protecção dos dados.

Aqui está o que você pode fazer com a norma:

  • Seleccione controlos de proteção PII como parte da implementação de um sistema de gestão de segurança da informação de computação em cloud com base na ISO 27001.
  • Implementar controlos de proteção de IPI comumente aceites.
  • Aprofundar o conhecimento, pois a norma baseia-se na ISO 27002 e amplia seus conselhos gerais em algumas áreas
  • Ligação dos princípios de privacidade da OCDE incorporados em várias leis e regulamentos de protecção de dados

 

ISO 27005 - Orientação sobre gestão de riscos de segurança da informação.

A norma ISO 27005 fornece orientações sobre gestão de riscos de segurança da informação e suporta os conceitos gerais sobre esta matéria estabelecidos na ISO 27001.

ISO/IEC 27005:2018-07
Tecnologias de informação - Técnicas de segurança informática - Gestão de riscos de segurança informática.

A ISO 27005 também se destina a apoiar a implementação da segurança da informação com base num conceito de gestão de risco.

Você pode fazer isto com a norma:

  • Implementar a segurança da informação com base numa abordagem de gestão de risco.
  • Definição do contexto de gestão de risco
  • Avaliação quantitativa ou qualitativa (isto é, identificação, análise e avaliação) dos riscos de informação relevantes
  • Monitorização e revisão contínua dos riscos, tratamentos de risco, requisitos e critérios
  • Tratamento adequado dos riscos
  • Comunicação contínua de todas as partes interessadas
newsletter-dqs-frau schaut auf ihr smartphone
Loading...

Nunca perca nada...

A nossa newsletter gratuita mantém-no actualizado sobre auditorias, sistemas de gestão e certificações. Leia os nossos exemplos de melhores práticas e receba dicas para a sua agenda.

ISO 27007 - Guia de auditoria do ISMS

A ISO 27007 é um guia para a realização de auditorias e destina-se a auditores internos e externos que avaliam um SGSI de acordo com a ISO/IEC 27001.

ISO/IEC 27007:2020
Segurança da informação, ciber-segurança e protecção da privacidade - Directrizes para auditoria de sistemas de gestão de segurança da informação

O guia baseia-se fortemente no Guia de auditoria de sistemas de gestão (ISO 19011) e fornece orientações adicionais para um sistema de gestão da segurança da informação (ISMS).

Veja aqui como você pode ter sucesso com a norma:

  • Orientação específica para auditorias do ISMS ISO 27001
  • Orientação sobre planeamento e realização de auditorias integradas a partir da ISO 19011
  • Informações importantes sobre as competências dos auditores do SGSI
  • Compreender e realizar auditorias do SGSI

 

DQS - o que podemos fazer por si

A DQS tem sido um especialista líder na certificação de sistemas e processos de gestão desde 1985. Desde então, a história da DQS tem estado intimamente ligada à história da ISO 9001. Trazemos nosso know-how mundial e nosso amplo conhecimento de normas aos nossos clientes em cerca de 30.000 dias de auditoria por ano. Assim, você pode ver quais são as suas opções.

Confiança e conhecimento

Os nossos textos e white papers são escritos exclusivamente pelos nossos especialistas em normas ou por auditores de longa data. Assim como a visão geral das normas de segurança da informação. Se você tiver alguma dúvida sobre o conteúdo do texto ou os  nossos serviços para o autor, sinta-se à vontade para entrar em contacto connosco.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Têm questões?

Contacte-nos!

Gratuitamente e sem obrigações

Normas de segurança da informação: Outros tópicos da família de normas ISO 2700X

ISO 27003 - Guia para o desenvolvimento e implementação de um SGSI

ISO/IEC 27003:2017

Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Orientação.

ISO 27004 - Orientação sobre métodos de medição da gestão da segurança da informação

ISO/IEC 27004:2016

Tecnologia da informação - Técnicas de segurança - Gestão da segurança da informação - Monitorização, medição, análise e avaliação.

ISO 27008 - Orientação sobre a avaliação das medidas de segurança da informação

ISO/IEC TS 27008:2019

Tecnologia da informação - Técnicas de segurança - Directrizes para a avaliação dos controlos de segurança da informação

ISO 27009 - Guia para a aplicação sectorial de um sistema de gestão de informação

ISO/IEC 27009:2020

Segurança da informação, ciber-segurança e protecção da privacidade - Aplicação sectorial da ISO/IEC 27001 - Requisitos

ISO 27010 - Orientação sobre gestão de segurança da informação para comunicações intersetoriais e interorganizacionais

ISO/IEC 27010:2015

Tecnologias de informação - Técnicas de segurança - Gestão da segurança da informação para comunicações inter-sectoriais e inter-organizacionais

ISO 27011 - Orientação na gestão da segurança da informação no sector das telecomunicações

ISO/IEC 27011:2016

Tecnologia da informação - Técnicas de segurança - Código de prática para controlos de segurança da informação baseado na ISO/IEC 27002 para organizações de telecomunicações

ISO 27013 - Orientação para a implementação integrada de um SGSI e gestão de serviços de IT

ISO/IEC 27013:2021

Segurança da informação, cibersegurança e protecção da privacidade - Orientação sobre a implementação integrada das normas ISO/IEC 27001 e ISO/IEC 20000-1

ISO 27014 - "Governação" da segurança da informação

ISO/IEC DIS 27014:2020

Segurança da informação, ciber-segurança e protecção da privacidade - Governação da segurança da informação

ISO 27016 - Economia da gestão da segurança da informação

ISO/IEC TR 27016:2014

Tecnologias de informação - Técnicas de segurança - Gestão da segurança da informação - Economia organizacional

ISO 27021 - Requisitos para a competência dos profissionais do SGSI

ISO/IEC 27021:2017/AMD 1:2021

Técnicas - Requisitos de competência para profissionais de sistemas de gestão de segurança da informação - Emenda 1: Adição de cláusulas ou subcláusulas ISO/IEC 27001:2013 aos requisitos de competência

ISO 27031 - Orientação sobre continuidade de negócios

ISO/IEC 27031:2011

Tecnologias de informação - Técnicas de segurança - Orientações para a prontidão das tecnologias de informação e comunicação para a continuidade do negócio

DICA: Leia o nosso post no blog sobre gestão da continuidade de negócios para saber o que a norma ISO 22301 recomenda para garantir a continuidade da existência de uma empresa em situações excepcionais.

ISO 27032 - Guia de Ciber-segurança

ISO/IEC 27032:2012

Tecnologia da informação - Técnicas de segurança - Directrizes para ciber-segurança

ISO 27033 - Orientação sobre segurança de rede

ISO/IEC 27033

Tecnologias de informação - Técnicas de segurança - Segurança de rede
Parte 1: Visão geral e conceitos, Parte 2: Directrizes para o design e implementação da segurança de redes, Parte 3: Cenários de referência de redes - Ameaças, técnicas de design e questões de controlo, Parte 4: Protegendo as comunicações entre redes usando gateways de segurança, Parte 5: Protegendo as comunicações através de redes usando redes privadas virtuais (VPNs), Parte 6: Protegendo o acesso à rede IP sem fio

ISO 27034 - Orientação sobre segurança da aplicação

ISO/IEC 27034

Tecnologia da informação - Técnicas de segurança - Segurança das aplicações
Parte 1: Visão geral e conceitos, Parte 2: Quadro normativo da organização, Parte 3: Processo de gestão da segurança da aplicação, Parte 4: Validação e verificação, Parte 5: Protocolos e estrutura de dados de controlo de segurança da aplicação, Parte 6: Estudos de elenco, Parte 7: Quadro de previsão da garantia

ISO 27035 - Orientação sobre gestão de incidentes de segurança da informação

ISO/IEC 27035

Tecnologia da informação - Práticas de segurança em IT - Gestão de incidentes de segurança da informação
Parte 1: Fundamentos da gestão de incidentes, Parte 2: Directrizes para planeamento e preparação da resposta a incidentes, Parte 3: Directrizes para resposta a incidentes de tecnologia da informação e comunicação (rascunho)

ISO 27036 - Orientação sobre relações com fornecedores

ISO/IEC 27036

Tecnologia da informação - Técnicas de segurança - Segurança da informação para relações com fornecedores
Parte 1: Visão geral e conceitos, Parte 2: Requisitos, Parte 3: Directrizes para segurança da cadeia de fornecimento de tecnologia da informação e comunicação, Parte 4: Directrizes para segurança de serviços em cloud

ISO 27037 - Directrizes para o tratamento de provas digitais.

ISO/IEC 27037:2012

Tecnologia da informação - Técnicas de segurança - Directrizes para identificação, recolha, aquisição e preservação de provas digitais

ISO 27038 - Especificação para redação digital

ISO/IEC 27038:2014

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital

ISO 27039 - Orientação sobre sistemas de detecção de intrusão (IDPS)

ISO/IEC 27039:2015

Tecnologias de informação - Técnicas de segurança - Selecção, implementação e operação de sistemas de detecção e prevenção de intrusões (IDPS)

ISO 27040 - Orientação sobre segurança de armazenamento

ISO/IEC 27040:2015

Tecnologia da informação - Técnicas de segurança - Segurança de armazenamento

ISO 27041 - Orientação sobre métodos de investigação de incidentes

ISO/IEC 27041:2015

Tecnologia da informação - Técnicas de segurança - Orientação para assegurar a adequação do método de investigação de incidentes

ISO 27042 - Orientação sobre análise e interpretação de provas digitais.

ISO/IEC 27042:2015

Tecnologia da informação - Técnicas de segurança - Orientações para a análise e interpretação de provas digitais

ISO 27043 - Orientação sobre processos de investigação de incidentes.

ISO/IEC 27043:2015

Tecnologia da informação - Técnicas de segurança - Princípios e processos de investigação de incidentes

ISO 27050 - Orientação sobre detecção electrónica

ISO/IEC 27050

Tecnologia da informação - Descoberta electrónica
Parte 1: Visão geral e conceitos, Parte 2: Orientação para governação e gestão da descoberta eletrónica, Parte 3: Código de prática para descoberta eletrónica

ISO 27102 - Orientação sobre seguros cibernéticos

ISO/IEC 27102:2019

Gestão da segurança da informação - Directrizes para ciber-seguros

ISO 27103 - Guia de segurança cibernética e normas ISO/IEC

ISO/IEC TR 27103:2018

Tecnologia da informação - Técnicas de segurança - Ciber-segurança e normas ISO e IEC

ISO 27550 - Engenharia de privacidade para processos do ciclo de vida do sistema

ISO/IEC TR 27550:2019-09

Tecnologia da informação - Técnicas de segurança - Engenharia de privacidade para processos do ciclo de vida do sistema

ISO 27799 - Gestão da segurança da informação no sector da saúde

ISO 27799:2016

Informática em saúde - Gestão da segurança da informação em saúde usando ISO/IEC 27002

Autor
André Saeckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista em normas para a área de segurança da informação e catálogo de segurança de IT (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicos da indústria, entre outros: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automóvel). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...