ISO 27001 contado pela empresa que o possui

O que exatamente é o Sistema de Gestão de Segurança da Informação com certificação ISO 27001 e quais padrões devem ser atendidos para obtê-lo? Ele realmente agrega valor real ao mercado de informações e por que as maiores instituições financeiras, como bancos, dão tanta importância a ele?

(Dados transparentes) (6 de novembro de 2020)

Padrão do sistema de gerenciamento de segurança da informação ISO 27001

Aproveitando o Transparent Data na quarta auditoria sucessiva da ISO 27001, revelamos alguns segredos maiores e menores deste padrão internacional:

  • O que é ISO / IEC 27001 e quem o estabeleceu
  • Por quê diz-se que traz valor para o mercado de informação
  • Por que vale a pena verificar se a empresa que nos fornece os dados ou processa nossos dados os possui
  • TOP ISO 27001 Q & A para com empresas que estão se perguntando se devem obtê-lo (entre outros, qual é a parte mais difícil de todo o processo de certificação)
  • 4 etapas principais de todo o processo de solicitação de um certificado .

O que exatamente é o Sistema de gerenciamento de segurança da informação com certificação ISO / IEC 27001?

De um modo geral, o Sistema de Gestão de Segurança da Informação (ISMS) em conformidade com a norma internacional ISO / IEC 27001 é um conjunto de regras que definem a introdução e melhoria de um sistema de identificação de risco avaliado de forma independente e um sistema de segurança preciso em uma empresa em todas as áreas de atividade .

Este certificado internacional respeitado globalmente e os requisitos para a sua obtenção foram estabelecidos pela Organização Internacional de Normalização (ISO), que é atualmente a maior organização não governamental do mundo que estabelece padrões de negócios, e a International Electrotechnical Commission (IEC), que é a mais conhecida organização global de desenvolvimento de padrões de tecnologia. As normas preparadas por esses organismos constituem a base das normas nacionais e a referência para contratos e licitações internacionais.

Atender à norma ISO / IEC 27001 prova o mais alto nível proteção de todos os dados comerciais e confidenciais, minimizando assim o risco de acesso não autorizado a eles.

A obtenção deste certificado classifica-se ao lado das maiores empresas do mundo mercado. Esta é uma distinção especial, pois ainda são poucas as empresas que lidam com o fornecimento de informações econômicas e de negócios ou a implementação de ferramentas de suporte à análise de informações para negócios podem se orgulhar de atender a esse padrão.

Qual valor faz A ISO 27001 traz para o mercado da informação?

Quando pensamos em apoiar nosso próprio negócio com informações comerciais externas, o que levamos em consideração em primeiro lugar é sua oportunidade e credibilidade. Ninguém precisa de informações desatualizadas, pois há uma versão mais recente e alterada delas. Suposições, opiniões e dados não confiáveis ​​não são algo em que queremos basear nossas decisões.

Se considerarmos cuidadosamente o procedimento de aquisição de informações da empresa, iremos chegar rapidamente a mais uma conclusão – não é importante apenas o que compramos, mas também de quem. Como as informações são armazenadas, quem tem acesso a elas e como elas são protegidas contra vazamentos indesejados são igualmente importantes. Vamos relembrar, por exemplo, a violação de dados de alto perfil deste ano de dados pessoais de clientes da Zoom.

Vamos dizer novamente:

de quem compramos informações.

Esta é uma das razões pelas quais as instituições mais poderosas, como os bancos, decidem cooperar apenas com empresas certificadas pela norma ISO / IEC 27001.

ISO 27001 de a perspectiva da empresa que o possui: TOP Q & A

O que obter a certificação ISO / IEC 27001 significa na prática? Como isso afeta as operações do negócio?

O próprio processo de obtenção do cumprimento da norma traz considerável valor aos processos internos da empresa, sua missão e objetivos – permite organizar as práticas aplicadas e apoiar o desenvolvimento de bons hábitos de cuidar da segurança da informação por parte dos colaboradores da empresa em todos os níveis.

Como único padrão, permite também verificar se as soluções adotadas pela empresa realmente se encontram no mais alto nível ou se o sistema de segurança deve ser melhorado. Esse conhecimento é sempre valioso para uma empresa voltada para o desenvolvimento.

Externamente, porém, a obtenção da ISO 27001 abre a porta para a cooperação com os clientes mais exigentes, como bancos ou corporações globais. Em outras palavras, influencia positivamente o crescimento da confiança dos clientes e a credibilidade da empresa no mercado.

Se o valor da norma ISO 27001 contribui para o aumento da confiança do cliente e da credibilidade da empresa, por que fazer tão poucas empresas que fornecem informações não se candidatam a este certificado?

O procedimento para obter a ISO / IEC 27001 é longo, complicado e exige que a empresa atenda a requisitos muito precisos em relação ao sistema de identificação de risco e à segurança econômica, informações comerciais e confidenciais. Um Sistema de Gestão de Segurança da Informação certificado é comumente associado a muitos meses de preparação e treinamento, razão pela qual a maioria das empresas acredita que ele está disponível apenas para os maiores participantes com capital substancial e centenas de funcionários.

Quer sejam pequenos e empresas de médio porte também podem obter a certificação ISO 27001?

Sim, e sabemos disso por experiência própria. Na Transparent Data não temos centenas de funcionários e ainda assim conseguimos quebrar o estereótipo de que o tamanho importa. Somos uma empresa de software de dados relativamente pequena, mas em troca somos muito ágeis e rápidos, portanto, apesar do aumento do número de obrigações que caíram sobre nós junto com a preparação para a auditoria de certificação, realizamos todo o procedimento sem problemas.

Por quanto tempo a certificação ISO 27001 é válida?

Padrão 3 anos, mas pelo menos uma vez por ano, o organismo de certificação vem à empresa para verificar novamente a conformidade com os padrões ISO 27001 e se a empresa realmente se esforça para melhorar os sistemas. Ao contrário da maioria dos outros padrões, este é, portanto, único. O trabalho não termina com a obtenção. Você ainda precisa estar preparado para mantê-lo.

É difícil atender aos padrões internacionais de segurança de gerenciamento de informações? A ISO 27001 está relacionada à implementação de procedimentos complicados?

Se você é uma empresa que atua no mercado há muitos anos e tem clientes grandes e exigentes em seu portfólio, então a maioria dos procedimentos de segurança são já em prática, e se não, sua implementação não lhe causará muitos problemas. Pelo menos esse foi o nosso caso. Como provedor de dados, tivemos que melhorar nossos procedimentos mais de uma ou duas vezes para atender aos requisitos de segurança muito elevados das instituições financeiras, muito antes de prosseguir com a certificação ISO / IEC 27001. É por isso que a implementação não foi particularmente difícil para nós.

Toda a experiência, no entanto, acabou sendo muito valiosa do ponto de vista da cultura organizacional – já fizemos muitas coisas antes da ISO 27001, mas apenas vê-los escritos na forma de requisitos nos tornou totalmente cientes de por que o fazemos. Como organização, definitivamente nos beneficiamos disso.

Qual é a parte mais difícil de todo o processo de certificação ISO 27001?

Provavelmente não deveríamos falar sobre isso em voz alta, mas sejamos transparentes – o mais difícil é a parte formal, ou seja, pilhas de documentos esperando para serem preenchidos. Infelizmente, você deve reservar algumas semanas para esta atividade e lembrar que cada mudança na empresa, mesmo que seja um pouco parecida a substituição de um computador exige o preenchimento não de um documento adicional, mas de uma pasta completa de documentos.

Existem políticas específicas que definem o padrão de gerenciamento de segurança da informação?

O mais importante o que precisa ser desenvolvido é o Livro do Sistema de Gestão Integrado, que define todo o escopo de obrigações que devem ser cumpridas para o cumprimento da norma ISO. Contém toda a lista de procedimentos, instruções, políticas, recursos da empresa e quadros de responsabilidade gerencial.

A seguir, temos, entre outras, a Política de Segurança da Informação, que define o escopo das responsabilidades e obrigações relacionadas ao processamento de dados pessoais (por exemplo, deveres do Administrador de Segurança da Informação, Administrador de Sistemas de TI, Representante de Gestão do Sistema Integrado e outros funcionários da empresa). Ele também descreve quais tipos de dados gerenciamos como uma empresa, em quais sistemas eles são processados ​​ou de quais conjuntos de dados somos o controlador.

Outras políticas principais incluem, por exemplo, a Política de Gerenciamento de Continuidade de Negócios, que visa garantir a estabilidade do trabalho na área do processamento da informação. Deve incluir, entre outros cenários de conduta em caso de ataque cibernético, falha de sistema, falha de energia, incêndios, desastres, ausência de funcionários-chave ou perda de ativos importantes para a empresa.

Como é todo o processo de inscrição para um certificado ISO 27001?

Todo o processo de inscrição para um certificado ISO 27001 pode ser dividido em 4 etapas principais:

  1. O que você precisa fazer logo no início é um estudo completo dos requisitos contidos na ISO 27001 e, em seguida, analisar todos os documentos que a empresa já possui em termos deles. Se encontrarmos deficiências ou inconsistências, temos que ajustar nossas políticas internas a um padrão internacional e editar ou criar novos documentos.
  2. A próxima etapa é treinar todos os funcionários e toda a equipe de gestão nas políticas em vigor no padrão ISO / IEC 27001. Isso requer , é claro, a nomeação de pessoas adequadas na empresa, que serão responsáveis ​​pelo projeto de A a Z.
  3. Somente então você pode começar a implementar o sistema de segurança necessário caules, e eles devem “trabalhar” no ambiente natural do dia a dia da empresa por um mínimo de vários meses , e se eles realmente funcionam deve ser confirmado por uma auditoria interna, o que significa que alguém na empresa deve ser um auditor interno certificado ou obter as permissões aplicáveis.
  4. Se já tivermos concluído a criação de toda a documentação, o treinamento de funcionários e na prática realmente cumprimos os padrões indicados, só então teremos luz verde para iniciar os esforços oficiais para obter um certificado. Em seguida, precisamos encontrar um organismo externo de certificação de sistemas de gestão e estar prontos para uma auditoria externa independente . É somente após essa avaliação formal que a empresa recebe o certificado.

O valor real da ISO 27001 nos negócios (perspectiva do cliente)

Para explicar a importância do Padrão 27001 na área de dados da empresa, podemos comparar empresas que fornecem informações de negócios para balas. Cada empresa fornece ao mercado informações econômicas, ou seja, ouro. Essas empresas mais conscientes tentam aumentar a segurança de seus clientes e da própria, tomando precauções especiais, como proteger o comboio ou travas de segurança adicionais. A ISO 27001 nesta comparação é uma unidade especial e uma corrente de 15 mm de espessura com três cadeados – um para a combinação, outro para a impressão digital e o terceiro para o que você acabou de comer no café da manhã.

Você também pode gostar :

(

O problema dos sistemas legados – o ABC da dívida tecnológica

Sistemas legados – este nome reflete perfeitamente sua natureza obsoleta e problemática. Esses aplicativos e…

medium.com

) (

Como lidar com sistemas legados? Estratégias para se livrar da dívida tecnológica

Construindo um novo sistema do zero, refatoração de código e reescrita de código – essas são três estratégias para sair de…

medium.com

) (

Automatizando a integração do cliente B2B com dados regulatórios

Como encurtar o processo de registro do cliente empresarial e acelerar a integração? Quais campos do registro…

medium.com

)