O que é a norma ISO 27001?

A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, assim como a ISO 9001 é a referência Internacional para a certificação de gestão em Qualidade.

A norma ISO 27001 tem vindo, de forma continuada, a ser melhorada ao longo dos anos e deriva de um conjunto anterior de normas, nomeadamente a ISO 27001 e a BS7799 (British Standards). A sua origem remota na realidade a um documento publicado em 1992 por um departamento do governo Britânico que estabelecia um código de práticas relativas à gestão da Segurança da Informação.

Ao longo dos anos, milhares de profissionais contribuíram com o seu know-how e experiência para o estabelecimento de um Standard estável e maduro, mas que certamente continuará a evoluir ao longo dos tempos.

Em 2022 a norma sofreu alterações, tendo sido disponibilizada uma nova versão da mesma, as alterações vieram clarificar alguns pontos e alinhar a norma com as novas tecnologias emergentes.

A norma tem como princípio geral a adoção pela organização de um conjunto de requisitos, processos e controlos com o objetivo de mitigarem e gerirem adequadamente o risco da organização, promovendo uma abordagem completa para a segurança da informação: avaliando pessoas, políticas e tecnologias.

Milhões de entidades no mundo utilizam as práticas documentadas no Standard e usufruem dos benefícios da sua adoção, sendo que, as entidades que assim o desejem podem também certificarem-se, demonstrando assim de forma idónea que cumprem os requisitos e os processos constantes na norma.

Determinadas organizações, obrigam a que os seus fornecedores ou parceiros detenham certificações, nomeadamente a ISO 27001, como garante do cumprimento dos princípios estabelecidos pela mesma, providenciando assim aos seus clientes e parceiros um nível extra de conforto no que concerne à Segurança da Informação. As organizações que adotam e se certificam nesta norma, atribuem especial importância à proteção da informação e demonstram-no através da certificação na mesma.

Para que serve?

A adoção da norma ISO 27001 serve para que as organizações adotem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.

Este Sistema de Gestão de Segurança da Informação (SGSI) é, de acordo com os princípios da norma ISO 27001, um modelo holístico de abordagem à Segurança e independente de marcas e fabricantes tecnológicos.

É holístico porque acaba por ser uma abordagem 360º à Segurança da Informação, tratando de múltiplos temas tais como as telecomunicações, segurança aplicacional, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento, etc.

É independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados à realidade de cada organização de forma diferente e com a especificidade de cada ambiente tecnológico e organizacional.

Principais alterações introduzidas na ISO 27001:2022

Principais alterações introduzidas na ISO 27001:2022
Títulos dos novos controlos
Threat Intelligence
5.23 Information Security for use of cloud services
5.30 ICT readiness for business continuity
7.4 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.16 Monitoring activities
8.23 Web filtering
8.28 Secure coding

Adicionalmente, foram clarificados dois dos termos adotados na versão anterior, a saber:

  1. Políticas - O Comité ISO clarifica e direciona o significado de "Política" da anterior edição da norma (2013), distinguindo três variantes ou níveis hierárquicos na nova edição da mesma (20222):
    • Política de SI (Política corporativa de alto nível;
    • Política de Tópico Específico (Políticas de nível médio - específicas de tópico);
    • Regra (o nível mais baixo, mais detalhado / específico).
  2. Ativos de Informação - este termo, que era o termo comumente adotado para todos os tipos de ativos com valor para a organização, é agora alterado utilizando o conceito de "Ativos Primários" e "Ativos de Suporte / Ativos Associados".
explanation assets

Qual a estrutura da norma?

A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas:

- A primeira componente, é onde são definidos as regras e os requisitos de cumprimento da norma. Nesta componente, são endereçados os aspetos explícitos no seguinte diagrama:

Requisitos

- A segunda componente da norma, é denominada de ANEXO A e é na realidade composta por um conjunto de controlos que as organizações devem adotar, em diferentes temas.

Anexo A

Desta forma, o Anexo A estabelece um “conjunto de referência” de 93 controlos genéricos de segurança da informação, cibersegurança, proteção de privacidade e orientações de implementação, categorizados em 4 domínios com base nos seguintes temas:

Controlos

Os 93 controlos constituem uma lista não exaustiva de controlos que endereçam preocupações comuns e outras organizações no que concerne à Segurança da Informação (Anexo A).

Devem ser considerados como um ponto de partida. Mediante justificação, podem ser excluídos e/ou incluídos outros controlos.

A estrutura global da norma ISO 27001 pode ser apresentada da seguinte forma:

Estrutura

Em que as cláusulas com os requisitos correspondentes ao ciclo de melhoria continua estão representados a azul, as cláusulas com os requisitos gerais do SGSI encontram-se a verde e anexo com os objetivos de controlo e controlos aparecem a castanho.

Migração da versão 2013 para a 2022

Face às alterações supra mencionadas, as organizações que obtiveram a certificação pela versão 2013 devem proceder à migração para a nova versão de 2022.

A Devoteam Cyber Trust aborda os projetos de migração de SGSI com uma metodologia de "formação-ação". De facto, a grande diferenciação de um projeto de migração de SGSI que contemple a "formação" para além da "ação" é a efetividade do projeto.

Quais os benefícios para quem a adota?

Independentemente das empresas se certificarem ou não, a adoção das práticas de gestão documentadas na norma, representa um conjunto de benefícios, nomeadamente:

  1. Demonstra um compromisso dos Executivos da Organização para com a segurança da informação.
  2. Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade.
  3. Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos com apenas baseados em tendências.
  4. Incrementa os níveis de sensibilidade, participação e motivação dos colaboradores da Organização para com a Segurança da Informação.
  5. Identifica e endereça de forma continuada a oportunidade para melhorias, sendo um processo em contínua melhoria.
  6. Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios.
  7. A implementação dos controlos provenientes da norma e da análise de risco, melhora o desempenho operacional das organizações.
  8. Dotar a organização de um sistema de controlo da gestão, incrementando a eficácia da organização.
  9. Aumenta a preparação da organização face aos riscos associados às tecnologias emergentes.
  10. Maior conformidade legal no âmbito da privacidade e segurança (RGPD).
  11. Maior flexibilidade e integração com outras normas.

Quais os benefícios para os clientes, fornecedores e parceiros?

As entidades "pares" de uma entidade certificada em ISO 27001, nomeadamente os seus clientes, fornecedores e parceiros, também obtêm benefícios na interação com a organização certificada.

Uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado da informação sensível da sua organização.

A implementação da norma ISO 27001 providencia um elevado compromisso com a proteção da informação, o que representa um nível considerável de conforto para as organizações que interagem com a entidade certificada.

Assim, os clientes, parceiros e fornecedores desta entidade sabem que a informação da sua organização será tratada de acordo com elevados padrões de gestão e proteção ao nível da Segurança da Informação, já que a empresa certificada foi auditada por uma entidade externa e idónea.

Quanto tempo demora a preparação da certificação?

A preparação da certificação requer a implementação e adoção dos requisitos, políticas, procedimentos, controlos e práticas requeridas pela norma ISO 27001, ajustadas ao âmbito e à realidade tecnológica e organizacional de cada entidade que a resolva adotar e certificar-se.

Assim, o tempo de implementação do sistema, varia de acordo com a realidade, maturidade e dimensão de cada organização.

Consulte o roadmap típico de implementação de um SGSI aqui.

Qual o contributo que a Devoteam Cyber Trust pode dar no processo?

A Devoteam Cyber Trust detém consultores formados e certificados, nomeadamente como ISO 27001 Lead Auditors, preparados para prestar assessoria e consultoria no ato da preparação, implementação e adoção e migração da norma a qualquer entidade que esteja determinada a fazê-lo.

Para além da formação e certificações que os consultores da Devoteam Cyber Trust detêm, há que destacar que a certificação ISO 27001 da Integrity SA foi implementada e é operada pelos seus próprios consultores, fator de demonstração inequívoca de conhecimento e experiência no processo de preparação e certificação.

Acresce-se também que a Devoteam Cyber Trust tem vindo a ajudar os seus Clientes a implementar os seus SGSI sendo que em alguns desses casos os projetos de implementação já terminaram, tendo sido obtida a respetiva certificação formal pelos organismos de certificação.

Qual é o custo estimado da implementação e certificação?

O custo da implementação e da certificação varia de acordo com a realidade organizacional e especificidades de cada entidade, nomeadamente o processo sobre o qual incide a certificação, o número de colaboradores intervenientes nesse processo, o número de locais envolvidos e o número de ativos de informação a considerar no âmbito da certificação.

De forma a que possamos estimar o potencial custo, será necessário o preenchimento dos seguintes ponderadores, com base nos quais a Devoteam Cyber Trust dará início ao processo de estimativa de custo:

Esclarecimento de Dúvidas ou Sugestões

Somos um conjunto de profissionais certificados que pode ajudar a esclarecer quaisquer questões ou dúvidas sobre a Norma ISO 27001 ou outros temas relacionados com a Segurança da Informação.

Submeta-nos as suas questões através deste formulário ou contacte-nos através de 27001@integrity.pt.

Consentimento Cookies X

A Devoteam Cyber Trust S.A. utiliza cookies para fins analíticos e de apresentação de informação mais personalizada, com base no perfil elaborado pelos seus hábitos de navegação. Se pretende informação mais pormenorizada, pode aceder à nossa Política de Cookies.