ISO/IEC 27001 | Sistemas de Gestão da Segurança da Informação
O que é a ISO 27001 | Requisitos
Um Sistema de Gestão da Segurança da Informação (SG-SI) é constituído por políticas, procedimentos, diretrizes, recursos e atividades associadas que, coletivamente geridas por uma organização, protegem os ativos de informação.
É baseado na gestão efetiva e tratamento dos riscos, analisando os requisitos para a proteção de ativos de informação e aplicando controles para garantir a proteção dos mesmos.
Os seguintes princípios fundamentais também contribuem para o sucesso da implementação de um SGSI:
- consciência da necessidade de segurança da informação;
- atribuição de responsabilidade pela mesma;
- incorporar o compromisso de gestão e os interesses das partes interessadas;
- valorização dos valores sociais;
- avaliações de risco que determinam controlos apropriados para atingir níveis aceitáveis de risco;
- segurança incorporada como elemento essencial das redes e sistemas de informação;
- prevenção ativa e deteção de incidentes de segurança de dados;
- garantia de uma abordagem abrangente para a Gestão da Segurança da Informação;
- reavaliação contínua da segurança dos dados e realização de modificações, conforme apropriado.
Atividades a implementar
- Identificação dos ativos (informação);
- Identificação das ameaças e respetivas medidas de controlo;
- Definição e Implementação de procedimentos operacionais;
- Controlo e monitorização de processos;
- Definição e monitorização de Objetivos de Segurança da Informação;
- Formalização de uma Política de Segurança da Informação;
- Sensibilização dos Colaboradores para as Boas Práticas;
- Realização de auditorias internas;
- Gestão da manutenção.
Processo de implementação:
- Formação
- Workshop com a Administração
- Formação da Equipa Coordenadora
- Diagnóstico
- Nomeação dos consultores e da equipa interna
- Recolha de informação
- Elaboração do Relatório de Diagnóstico
- Aprovação do Plano de Implementação
- Implementação
- Formação da equipa interna e colaboradores-chave
- Implementação das ações
- Verificação da implementação das ações e execução do Plano de implementação
- Auditoria Interna
- Realização da auditoria interna
- Entrega e discussão do Relatório à Gestão de Topo
- Resolução de questões que possam ter sido identificadas
Certificação:
A certificação é atribuída por um Organismo Certificador credível para as partes interessadas.
Quando este organismo verifica, através de uma auditoria de concessão, a conformidade com os requisitos normativos e legais emite um certificado e concede o direito de usar a marca ‘empresa certificada’.
A nossa equipa de consultores acompanha-o desde a seleção do Organismo Certificador até à emissão do certificado.