A indústria 4.0, a chamada quarta revolução industrial, representa uma rede inteligente de desenvolvimento, produção, logística e clientes. Representa uma multiplicidade de informações e dados que muitas vezes são de valor existencial para as organizações. Proteger a sua disponibilidade, integridade e confidencialidade é uma tarefa central. A segurança de informação engloba todas as medidas que ajudam a tomar consciência dos riscos existentes, identificá-los e tomar as medidas apropriadas e adequadas para os proteger.

Segurança de informação - Perguntas e respostas sobre a ISO 27001

Devido à insuficiente segurança no processamento da informação, só a economia alemã sofre anualmente danos no valor de milhares de milhões de euros. Os motivos são complexos e vão desde perturbações externas, erros técnicos, espionagem industrial até ao uso indevido da informação por parte de antigos funcionários. Mas apenas aqueles que reconhecem os desafios podem também iniciar medidas apropriadas. Um sistema de gestão de segurança da informação bem estruturado, de acordo com a norma ISO 27001 reconhecida internacionalmente, é a base ideal para a implementação eficaz de uma estratégia de segurança holística. O que significa isso exatamente e o que precisa ser considerado? Obtenha respostas a perguntas importantes sobre a ISO 27001 aqui mesmo.

CONTEÚDO

  • O que é a segurança da informação?
  • Quais são os objectivos de protecção da segurança de informação?
  • O que é um sistema de gestão de segurança de informação?
  • Para que organizações é útil a ISO 27001?
  • Quais são os benefícios de um sistema de gestão de segurança de informação?
  • Qual é o papel das pessoas?
  • ISO 27001 - Perguntas sobre a introdução
  • Porquê a certificação ISO 27001?
  • DQS - O que podemos fazer por si

O que é a segurança da informação?

A resposta a esta pergunta é bastante simples em termos da família internacional de normas para a segurança de informação ISO 2700x:

"Informação é um dado que é valioso para a organização."

ISO/IEC 27000:2020-06: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Visão geral e vocabulário

A informação é um bem que não deve cair nas mãos de pessoas não autorizadas e que requer protecção adequada.

A segurança de informação é, portanto, tudo o que tem a ver com a protecção dos bens de informação da sua empresa. O factor decisivo aqui é estar ciente dos riscos que existem no contexto da empresa, ou descobri-los e contrariá-los com medidas apropriadas baseadas nas necessidades.

"A segurança de informação não é segurança informática".

Segurança de IT refere-se apenas à segurança da tecnologia implantada e não aos activos corporativos a serem protegidos. As preocupações organizacionais, por exemplo, autorizações de acesso, responsabilidades ou procedimentos de aprovação, bem como os aspectos psicológicos, também desempenham um papel essencial na segurança de informação. Contudo, a IT segura também protege a informação na empresa.

Quais são os objectivos de protecção da segurança de informação?

De acordo com a norma internacional ISO/IEC 27001, as metas de protecção da segurança da informação compreendem três aspectos principais:

  • Confidencialidade - protecção de informações confidenciais contra acesso não autorizado, seja por motivos de leis de proteção de dados ou com base em segredos comerciais cobertos, por exemplo, por uma lei Trade Secrets Act. É o nível de confidencialidade que é relevante aqui.
  • Integridade - minimizar quaisquer riscos, garantindo a integridade e confiabilidade de todos os dados e informações.
  • Disponibilidade - garantindo o acesso e a usabilidade para o acesso autorizado à informação, edifícios e sistemas. Isto é essencial para a manutenção dos processos.

Segurança de informação certificada de acordo com a norma ISO 27001

Proteja as suas informações com um sistema de gestão que seja conforme com as normas internacionais ✓ DQS oferece mais de 35 anos de experiência em certificação ✓

Questões-chave sobre segurança da informação

  • Quais são os valores da minha empresa?
  • Quais os valores da minha empresa que precisam de ser protegidos?
  • A que ataques estão expostos os bens da empresa?
  • Quem tem interesse em proteger esta informação?
  • Quais são as medidas apropriadas?

O que é um sistema de gestão de segurança da informação?

Um sistema de gestão da segurança de informação (SGSI) de acordo com a ISO/IEC 27001 define directrizes, regras e métodos para garantir a segurança de informação que vale a pena proteger numa organização. Este fornece um modelo para introduzir, implementar, monitorizar e melhorar o nível de protecção - de acordo com o procedimento sistemático do ciclo PDCA (Plan-Do-Check-Act) familiarizado com a ISO 9001.

O objectivo é identificar e analisar potenciais riscos e torná-los controláveis através de medidas adequadas.

Por que a gestão da segurança de informação é importante?

Organizações bem sucedidas utilizam a estrutura e a transparência dos sistemas de gestão modernos para detectar ameaças e visar a implementação de sistemas de segurança contemporâneos. No coração de um sistema de gestão de segurança de informação está a segurança dos seus próprios activos de informação, tais como propriedade intelectual, dados financeiros e pessoais, bem como as informações que lhe são confiadas por clientes ou terceiros.

"Segurança de informação significa sempre proteger informações significativas ou dados de valor".

Os riscos aos quais os dados que vale a pena proteger são muitos. Eles podem surgir de ameaças materiais, humanas e técnicas à segurança. Mas apenas uma abordagem holística e preventiva do sistema de gestão de um SGSI pode abordar todo o espectro de ameaças e garantir a continuidade dos negócios de uma empresa.

Para que organizações é útil a ISO 27001?

A resposta a essa pergunta é muito simples: para todos. A ISO 27001 pode basicamente ser aplicada em todas as organizações, independentemente do seu tipo, tamanho e indústria. E: todas as organizações beneficiam das vantagens de um sistema de gestão estruturado. A implementação de um SGSI é influenciada pelos seguintes factores:

  • Os requisitos e objectivos de negócio
  • As necessidades de segurança
  • Os processos de negócio aplicados
  • O tamanho e a estrutura da organização

Quais são os benefícios de um sistema de gestão de segurança de informação?

Uma pergunta importante. A ISO 27001 formula os requisitos para a concepção e implementação sistemática de um sistema de gestão orientado para o processo de segurança de informação. Vantagens decisivas podem ser alcançadas através desta abordagem holística:

  • A segurança da informação sensível torna-se parte integrante dos processos da empresa.
  • Salvaguarda preventiva dos objectivos de protecção confidencialidade, disponibilidade e integridade da informação
  • Manutenção da continuidade do negócio através da melhoria contínua do nível de segurança
  • Sensibilização dos funcionários e aumento significativo da conscientização de segurança em todos os níveis da empresa
  • Estabelecer um processo eficaz de gestão de risco
  • Construir confiança com as partes interessadas (por exemplo, concursos) através de um tratamento comprovadamente seguro de informações sensíveis
  • Adesão aos requisitos de conformidade relevantes, maior segurança de acção e segurança jurídica

Como podem ser geridos os riscos potenciais?

Os riscos de segurança podem surgir de ameaças materiais, humanas e técnicas. Para alcançar um nível de segurança rastreável e apropriado na organização, é necessário um processo ou método definido de gestão de riscos para avaliação, tratamento e monitorização de riscos. A ISO/IEC 27005 fornece uma boa orientação sobre a gestão dos riscos de segurança da informação.

Que papel as pessoas desempenham?

As pessoas também são um factor de risco, pois o tratamento de informações sensíveis afecta todos os funcionários e parceiros de uma empresa, sem excepção. Elas representam um aumento do risco de segurança, seja por ignorância ou por erro humano. Mas apenas muito poucas organizações regulam quem pode ter acesso a que informação, e como esta deve ser tratada.

"A nova fonte de poder já não é dinheiro nas mãos de poucos, mas informação nas mãos de muitos". John Naisbitt, *1929, americano. Futurologista

Por isso, regulamentos vinculativos e uma consciência pronunciada de todas as preocupações de segurança da informação são um pré-requisito básico. A adaptação da política corporativa ou o desenvolvimento de uma política de segurança da informação adequada é aqui considerada essencial. A sensibilização necessária dos colaboradores a todos os níveis (de gestão) é uma questão para o chefe e pode ocorrer, por exemplo, através de cursos de formação, workshops ou discussões pessoais.

ISO 27001 - Questões de implementação

A questão sobre se uma empresa já deve ter introduzido um sistema de gestão, por exemplo, de acordo com a ISO 9001, pode ser claramente respondida com "não". A ISO 27001 é uma norma genérica e - tal como todas as normas de sistemas de gestão - mantém-se por si só. Isto significa que uma organização pode criar e implementar um sistema de gestão de segurança da informação a qualquer momento e independentemente de qualquer estrutura existente.

No entanto, as empresas que possuem um sistema de gestão de qualidade de acordo com a ISO 9001 já criaram uma boa base para a introdução passo-a-passo de uma segurança de informação abrangente.

Na sua estrutura e abordagem, a ISO 27001 baseia-se na estrutura básica obrigatória para todas as normas de sistemas de gestão orientada a processos, a Estrutura de Alto Nível. Consequentemente, isto oferece a possibilidade de integrar facilmente um sistema de gestão da segurança de informação num sistema de gestão já existente. Da mesma forma, é possível uma certificação conjunta de acordo com a ISO 27001 com a ISO 20000-1 (IT Service Management) ou ISO 22301 (Business Continuity Management) pela DQS.

Que documentos podem suportar a introdução?

A base preferida para a introdução de um sistema de gestão holístico de segurança da informação é a família internacional de normas ISO/IEC 2700x. Esta destina-se a apoiar organizações de todos os tipos e tamanhos na implementação e operação de um SGSI. O grau de implementação dentro da organização pode ser verificado por meio de uma auditoria interna.

Os componentes úteis da série standard são

  • ISO/IEC 27000:2018: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Visão geral e vocabulário
  • ISO/IEC 27001:2013: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos
  • ISO/IEC 27002:2013: Tecnologia da informação - Técnicas de segurança - Código de Prática para controles de segurança da informação
  • ISO/IEC 27003:2017: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Orientação
  • ISO/IEC 27004-2016: Tecnologia da informação - Técnicas de segurança - Gestão da segurança da informação - Monitorização, medição, análise e avaliação
  • ISO/IEC 27005:2018: Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação

Todos os regulamentos estão disponíveis no website da ISO.

ISO 27001 - Perguntas sobre o oficial de segurança de IT?

A ISO 27001 requer um responsável de segurança de IT? A resposta é "sim".

Uma tarefa dentro do sistema de gestão de segurança da informação é a nomeação de um oficial de segurança de IT pela gestão de topo. O oficial de segurança de IT é a pessoa de contacto para todas as questões de segurança de IT. Ele ou ela deve ser integrado em todos os processos do SGSI e estreitamente interligado com os gestores de IT- por exemplo, ao seleccionar novos componentes de IT e aplicações de IT.

Porquê a certificação ISO 27001?

A certificação baseada num procedimento acreditado é a prova de que um sistema de gestão e medidas foram implementadas para proteger sistematicamente os activos de informação. Com o certificado você demonstra "em preto sobre branco" que estabeleceu com sucesso este sistema e está comprometido com a melhoria contínua do mesmo.

O certificado DQS, que é valorizado mundialmente, é a expressão visível de uma avaliação neutra e reforça a confiança na sua empresa. Esta é uma vantagem de mercado e fornece um bom pré-requisito em concursos e negócios de clientes críticos para a segurança, tais como fornecedores de serviços financeiros.

ISO 27001 - Perguntas sobre o processo de certificação

Todos os sistemas de gestão que são avaliados com base em regras internacionais (ISO 17021) por um organismo de certificação acreditado, como a DQS, estão sujeitos ao mesmo processo de certificação.

A certificação inicial consiste na análise do sistema (auditoria de 1ª fase) e na auditoria do sistema (auditoria de 2ª fase), durante a qual os auditores verificam no local se o sistema geral está a funcionar correctamente e se todos os requisitos foram implementados. O certificado é então válido por 3 anos.

Para poder garantir a validade durante todo o período, o sistema de gestão deve ser verificado anualmente. No primeiro e segundo ano após a emissão do certificado, os auditores da DQS realizam, portanto, auditorias ISMS (auditorias de acompanhamento), nas quais consideram, por exemplo, a eficácia dos componentes-chave do sistema ou de medidas correctivas e preventivas. A recertificação é então realizada após três anos.

As empresas que já possuem um sistema de gestão existente devem combinar os seus programas de auditoria e procurar a certificação conjunta do seu sistema de gestão integrado (SGI).

A certificação matricial é possível?

A certificação matricial é possível para empresas com múltiplos locais. Em princípio, os mesmos requisitos aplicam-se à ISO 27001 e a outras normas ISO, como a ISO 9001 ou a ISO 14001. A DQS pode assegurar a integração da ISO 27001 nos procedimentos de matriz existentes, ou seja, a auditoria externa conjunta com as outras normas.

Quais são as vantagens da ISO 27001 em relação ao TISAX?

TISAX® (Trusted Information Security Assessment Exchange) foi desenvolvido como uma norma industrial específica para a indústria automóvel e adaptado às necessidades específicas da indústria. A base para uma avaliação TISAX® é o catálogo de testes VDA Information Security Assessment (VDA ISA), que se baseia, entre outras coisas, nos requisitos da ISO 27001 ou ISO 27002 e os estende para incluir tópicos como a protecção de protótipos ou a protecção de dados.

Você pode encontrar mais conhecimentos valiosos na nossa página de produtos TISAX®.

O objectivo do TISAX® é garantir uma segurança (de informação) abrangente para todas as etapas da cadeia de fornecimento. Além disso, o registo numa base de dados simplifica o procedimento de reconhecimento mútuo. No entanto, o TISAX® só é reconhecido na indústria automóvel. Clientes de outras indústrias só podem reconhecer a ISO 27001 como prova de um SGSI.

DQS - O que podemos fazer por si

DQS é o seu especialista para auditorias e certificações - para sistemas e processos de gestão. Com mais de 35 anos de experiência e o know-how de 2.500 auditores em todo o mundo, somos o seu competente parceiro de certificação, fornecendo respostas a todas as perguntas da ISO 27001.

Auditamos de acordo com cerca de 200 normas e regulamentos reconhecidos, assim como normas específicas de empresas e associações. Fomos o primeiro organismo de certificação alemão a receber a acreditação para o BS 7799-2, o predecessor da ISO/IEC 27001, em dezembro de 2000. Esta expertise ainda é uma expressão da nossa história de sucesso mundial.

Estamos felizes em responder às suas perguntas.

Quanto trabalho você tem que fazer para ter seu ISMS certificado de acordo com a ISO 27001? Obtenha informações gratuitamente e sem compromisso.

Estamos ansiosos para falar consigo.

Mostrar mais
Mostrar menos

Segurança da Informação e Gestão de Riscos

Segurança da Informação e Gestão de Riscos

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Gestão de vulnerabilidades no contexto da ISO 27001

Segurança da Informação e Protecção de Dados

Segurança da Informação e Protecção de Dados

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Protecção de dados e segurança da informação - com a ISO 27001 e ISO 27701

Segurança da Informação versus Segurança de IT

Segurança da informação versus segurança informática

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

ISO 27001 Anexo A: Responsabilidades e Funções dos Funcionários

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Segurança informática vs. segurança da informação - qual é a diferença?

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Normas para a segurança da informação - uma visão geral

TISAX (Segurança da Informação na Indústria Automóvel)

TISAX (Segurança da Informação na Indústria Automóvel)

Blog
automotive-dqs-kfz in futuristischer farbgebung
Loading...

TISAX® - Respostas a perguntas importantes

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Segurança Cibernética Automóvel: Novos regulamentos obrigatórios

Normas de Segurança da Informação

A família ISO/IEC 2700x é uma série de normas reconhecidas internacionalmente para a introdução de um sistema holístico de gestão da segurança da informação. No seu núcleo está a ISO/IEC 27001, que contém requisitos certificáveis para identificar, avaliar e gerir os riscos das operações de processamento de informação.

Blog
datenschutz it-dqs-mensch bewegt digitale anzeige
Loading...

Normas para a segurança da informação - uma visão geral