Man and a woman with a laptop in a server room

Certificação ISO 27001

O seu inquérito


Segurança da informação com um sistema

O tema da "Segurança da Informação" está-se a tornar cada vez mais urgente para as empresas no curso da transformação digital. Sem precauções de segurança suficientes, há um risco de perda e roubo de dados por hackers, de quebras de negócios devido a ataques via web ou uso indevido de dados. Uma opção para uma abordagem estruturada é um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma ISO 27001.

Segurança de dados e informações demonstráveis

A segurança de informação como parte da cultura corporativa

Implementação eficaz de um processo de gestão de risco

Melhoria contínua do seu nível de segurança

Business10.png

O que é a ISO 27001?

A ISO/IEC 27001 é a norma internacional líder na implementação de um sistema de gestão holístico para a segurança da informação. Esta concentra-se na identificação, avaliação e gestão dos riscos dos processos de tratamento da informação. A segurança da informação confidencial é enfatizada como um elemento estratégico significativo.

A informação envolve-nos em todos os lugares e faz parte de cada processo. Às vezes pode ser inconsequente, mas com demasiada frequência é crítica e confidencial. Para fazer esta distinção importante para a sua organização, é necessário classificar a informação. Isto porque as medidas de protecção de um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a ISO/IEC 27001 são baseadas nesta classificação.

Um SGSI cria a estrutura para proteger os dados operacionais e a sua confidencialidade. Ao mesmo tempo, a norma globalmente reconhecida garante a disponibilidade dos sistemas de IT envolvidos nos processos corporativos. Neste contexto, a certificação ISO 27001 envia um forte sinal ao mercado: nomeadamente, avaliação externa independente e confirmação da eficácia do seu SGSI.

Com a EN ISO/IEC 27001:2017-06, foi publicada uma versão coordenada pelo Comité Europeu de Normalização (CEN). Esta combina as duas correcções Cor 1:2014 e Cor 2:2015. As alterações associadas à correcção incluem apenas uma descrição melhorada dos requisitos associados, mas sem requisitos novos e adicionais. Os certificados de acordo com a versão ISO/IEC 27001:2013 mantêm assim a sua validade. A norma está correntemente sob revisão, a versão revista é esperada para o final de 2022.

Mostrar mais
Mostrar menos
SEO19.png

Para quem é adequada uma certificação de acordo com a ISO 27001?

A norma ISMS ISO 27001 é aplicável em todo o mundo. Ela fornece às empresas de todas as dimensões e indústrias uma estrutura para o planeamento, implementação e monitorização da sua segurança de informação. Os requisitos são aplicáveis a empresas privadas e públicas, bem como a organizações sem fins lucrativos.

Na Alemanha, por exemplo, as empresas que pertencem a um Sector de Infraestructura Crítica (KRITIS) e excedem um limiar devem fornecer provas de como garantem a sua segurança da informação. Os sectores KRITIS incluem energia, água, saúde, finanças e seguros, alimentação, transporte e tráfego, tecnologia da informação e telecomunicações. A prova correspondente de implementação pode ser fornecida por auditorias, testes ou certificações de segurança. Para este fim, podem ser utilizadas como base de auditoria normas reconhecidas como a ISO 27001 ou, alternativamente, normas de segurança específicas da indústria reconhecidas pelo Escritório Federal Alemão para Segurança da Informação (BSI).

Mostrar mais
Mostrar menos
Business11.png

O que torna a norma ISO 27001 útil para a minha empresa?

A introdução de um ISMS segundo a ISO/IEC 27001 é uma decisão estratégica para a sua empresa. O cumprimento dos requisitos deliberadamente gerais da norma devem reflectir a situação específica da empresa. A implementação na sua empresa depende das necessidades e objectivos, dos requisitos de segurança e dos processos organizacionais, assim como da dimensão e estrutura da empresa.

Particularmente valiosa para a prática é a implementação das medidas do Anexo A da norma. Além da secção de requisitos orientada ao sistema de gestão (capítulos 4 a 10), a norma ISO contém uma extensa lista de 35 metas de medidas (controlos) com 114 medidas concretas para uma ampla variedade de aspectos de segurança em 14 capítulos do Anexo A. As medidas devem ser implementadas dentro da estrutura do sistema de gestão. Estas medidas devem ser implementadas como parte do sistema de gestão, na medida em que sejam relevantes para a sua empresa.

O alinhamento consistente dos processos da empresa com a ISO 27001 comprovou uma série de benefícios:

  • Melhoria contínua do nível de segurança
  • Redução dos riscos existentes
  • Aderência aos requisitos de conformidade
  • Maior consciência entre os funcionários
  • Aumento da satisfação do cliente

Auditorias internas e revisões de gestão com a participação da gestão de topo são as alavancas internas para alcançar este objectivo.

Outros aspectos positivos são que as partes interessadas, como autoridades de supervisão, companhias de seguros, bancos, empresas parceiras, criam um nível mais elevado de confiança na sua empresa. Isto porque um sistema de gestão certificado sinaliza que a sua organização lida com riscos de forma estruturada e subscreve a melhoria contínua (CIP), tornando-a mais resistente a influências indesejadas.

A norma internacional ISO/IEC 27001 também pode ser implementada, operada e certificada independentemente de outros sistemas de gestão como a ISO 9001 (gestão da qualidade) ou a ISO 14001 (gestão ambiental).

 

Mostrar mais
Mostrar menos
Business36.png

Quem está autorizado a realizar a certificação de acordo com a ISO 27001?

Para certificar um sistema de gestão de segurança da informação, o próprio organismo de certificação deve ser acreditado segundo a ISO/IEC 17021 e ISO/IEC 27006. A ISO/IEC 17021 regula tópicos relacionados com a avaliação de conformidade, especificamente requisitos para organismos de inspecção que auditam e certificam sistemas de gestão.

Além disso, a ISO/IEC 27006 define requisitos rigorosos que os organismos de certificação devem cumprir para certificar um SGSI de acordo com a ISO 27001.

Estes incluem:

  • Evidência de esforço de auditoria especificado
  • Requisitos para a qualificação dos auditores.

A DQS é acreditada pelo organismo nacional alemão de acreditação DakkS (Deutsche Akkreditierungsstelle GmbH) e, portanto, autorizada a realizar auditorias e certificações de acordo com a norma ISO 27001.

Independentemente do sector em que sua empresa opera, você pode contar com a experiência distinta dos auditores da DQS. Estes têm muitos anos de experiência na avaliação de sistemas de gestão de segurança da informação em vários sectores.

Mostrar mais
Mostrar menos
Business28.png

Como funciona a certificação ISO 27001?

Uma vez que todos os requisitos da ISO 27001 tenham sido implementados, você pode ter o seu sistema de gestão certificado. Você passará por um processo de certificação em várias etapas na DQS. Se um sistema de gestão certificado já estiver estabelecido na empresa, o processo pode ser encurtado.

Na primeira etapa, você discute connosco a sua empresa e os objectivos da certificação ISO 27001. Com base nisso, você receberá uma oferta detalhada e adaptada às necessidades individuais da sua empresa.

Uma reunião de planeamento de projecto pode ser útil para projectos maiores, por exemplo, a fim de coordenar melhor os cronogramas e a realização de auditorias com vários locais ou divisões. A pré-auditoria oferece-lhe a oportunidade de identificar antecipadamente os pontos fortes e o potencial de melhoria do seu sistema de gestão. Ambos os serviços são opcionais.

A auditoria de certificação começa com a análise e avaliação do sistema do seu SGSI (1ª fase). Aqui, o seu auditor determina se o seu sistema de gestão está suficientemente desenvolvido e pronto para a certificação. Na etapa seguinte (2ª fase), o seu auditor avalia a eficácia de todos os processos de gestão no local, aplicando a norma ISO 27001. O resultado da auditoria é apresentado numa reunião final. Se necessário, são acordados planos de acção.

Após a auditoria de certificação, os resultados são avaliados pelo conselho de certificação independente da DQS. Se todos os requisitos padrão forem cumpridos, você receberá o certificado ISO 27001.

Após a certificação bem sucedida, os componentes-chave do seu SGSI são novamente auditados no local pelo menos uma vez por ano para garantir a melhoria contínua.

O certificado ISO 27001 é válido por um período máximo de três anos. A recertificação é realizada em tempo útil antes de expirar para assegurar o cumprimento contínuo dos requisitos da norma aplicável. Após a conformidade, é emitido um novo certificado.

Banking13.png

Quanto custa a certificação ISO 27001?

Os quatro critérios de avaliação

Embora a auditoria ISO 27001 deva ser realizada de acordo com especificações estruturadas, o custo depende de vários factores, tais como a complexidade da sua organização. Portanto, não pode haver uma oferta única para qualquer empresa.

Os custos da certificação de acordo com a ISO 27001 são estabelecidos de acordo com os quatro critérios seguintes, entre outros:

1. A complexidade do seu sistema de gestão da segurança da informação.

Os valores críticos (por exemplo, patentes, dados pessoais, instalações, processos) da sua empresa são levados em conta. O custo da certificação baseia-se principalmente nos requisitos de segurança da informação e na medida em que a confidencialidade, integridade e disponibilidade (VIV) da informação são afectadas.

2. O negócio principal da sua empresa no âmbito do SGSI

Neste ponto, os riscos associados aos seus processos de negócio em particular desempenham um papel importante na determinação do esforço de auditoria necessário. Os requisitos legais são levados em consideração, bem como os requisitos complexos e individuais do cliente.

3. As principais tecnologias e componentes utilizadas no seu SGSI

Durante a auditoria, a tecnologia bem como os componentes individuais do seu SGSI são examinados. Estes incluem plataformas de IT, servidores, bases de dados, aplicações, assim como segmentos de rede. A regra básica aqui é: Quanto maior a proporção de sistemas padrão e menor a complexidade do seu IT, menor o esforço. Os custos de uma certificação ISO 27001 também dependem disso.

4 A proporção de desenvolvimentos internos no seu SGSI

Se não há desenvolvimento interno e você usa principalmente plataformas de software padronizadas, o esforço de uma avaliação é menor. Se o seu SGSI for caracterizado pelo uso intensivo de software auto-desenvolvido e se este software for usado para áreas centrais de negócios, o esforço para a certificação será maior.

Para que possamos dar-lhe uma visão geral dos custos de uma certificação ISMS, precisamos de informações precisas sobre o seu modelo de negócio e a área de aplicação com antecedência. Desta forma, podemos fornecer-lhe uma oferta à sua medida.

Mostrar mais
Mostrar menos
Business2.png

O que pode esperar de nós

  • Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
  • Auditores e peritos experientes do sector com fortes conhecimentos técnicos
  • Visão de valor acrescentado para a sua empresa
  • Certificados com aceitação internacional
  • Conhecimentos e certificações para todas as normas relevantes
  • Apoio pessoal e sem problemas dos nossos especialistas - a nível regional, nacional e internacional
  • Ofertas individuais com condições contractuais flexíveis e sem custos ocultos
Contact-Europe-man-2-shutterstock_1929520355.jpg

Pedido de orçamento

O seu contacto local

"Teremos todo o prazer em fornecer-lhe uma oferta personalizada para a certificação ISO 27001 do seu ISMS."

Sua questão

Alguma pergunta?

Estamos aqui para si.
Contacte-nos