ISO 27001
IMPLEMENTAÇÃO E CERTIFICAÇÃO
de um Sistema de Segurança da Informação ISO 27001
Porquê implementar?
As empresas são motivadas para a implementação e certificação por diferentes razões, que
podem ser tão simples quanto a exigência de um cliente ou tão complexas como a visão
estratégica de médio/longo prazo para implementar melhorias internas na organização. Outro
motivo para a empresa se certificar pode ser a diferenciação, em particular no caso da norma
ISO 27001 ainda com poucas empresas certificadas em sistemas de gestão de segurança da
informação.
Benefícios
A implementação de um sistema de gestão faz com que gestores e colaboradores persigam
objetivos organizacionais comuns dentro de um prazo pré-determinado, permite que um
conjunto de boas práticas sejam implementadas e os mecanismos existentes sejam
repensados e melhorados. O sistema implementado pode ser certificado, ou não, mas a
certificação reforça a confiança externa e melhora a reputação da empresa porque se baseia
em normas reconhecidas internacionalmente.
Um sistema de gestão de segurança da informação implementado e certificado de acordo com
a norma ISO 27001 está focado na preservação da confidencialidade, integridade e
disponibilidade da informação. Para que a confidencialidade, a integridade e disponibilidade
da informação sejam mantidas são aplicados controlos previstos na norma ISO 27001, que
mitigam os riscos de segurança da informação, de que é exemplo o plano de continuidade.
Também os requisitos legais são considerados na implementação do sistema de gestão,
auxiliando no objetivo de evitar incumprimentos e multas.
Custos
Existem custos internos e externos, os internos correspondem ao tempo gasto pelos
colaboradores na formalização dos processos e na implementação das novas práticas. Os
custos externos estão relacionados com a contratação de serviços de consultoria e formação,
para apoio na implementação do sistema de gestão e com a contratação de serviços de
certificação a um organismo de certificação, acreditado para a ISO 27001.
Podem também existir custos de ferramentas ou equipamentos a adquirir que podem ser
muito reduzidos ou avultados, dependendo de cada caso. Neste ponto deve ser pedida ajuda a
um profissional experiente, contratando um consultor, que não seja representante,
distribuidor ou fabricante destes equipamentos ou aplicações, que podem ser por exemplo,
aplicações de controlo de acessos e monitorização dos sistemas de TI.
COMO IMPLEMENTAR
Ponto de partida
No início da implementação deve ser feito um diagnóstico e um gap-analysis entre a norma e
as boas práticas existentes. Esta análise deve ser o ponto de partida para a implementação de
um sistema de gestão.
Numa implementação ISO 27001 o ponto de partida é uma avaliação de risco da segurança da
informação, identificando ameaças ou cenários de risco e ponderando impacto e probabilidade,
tendo em conta os controlos de segurança já existentes e determinando quais os novos controlos
necessários para mitigar os riscos identificados.
Em regra as empresas quando decidem avançar para a implementação de um sistema de gestão,
já possuem um conjunto de boas práticas que devem ser mantidas.
Papéis e Responsabilidades
Na implementação e no funcionamento do sistema de gestão as diferentes partes
interessadas que participam nas atividades da empresa tem que assumir diferentes papéis e
responsabilidades. Por exemplo:
Responsável de Segurança da Informação
Donos dos Riscos (Risk Owners)
Responsáveis pelos ativos
Administrador de Sistemas
Administrador Redes
Responsáveis Infraestruturas
Em organizações mais pequenas é natural que alguns destes papéis e
responsabilidades sejam acumulados pelo mesmo responsável.
Implementação
Planeamento - O estabelecimento de um plano do projeto de implementação do sistema
de gestão permite gerir o projeto e o trabalho da equipa, constituindo em si uma evidência
de cumprimento dos requisitos de planeamento destas normas.
Formação - A formação numa fase inicial fornecerá o conhecimento necessário aos gestores,
com responsabilidades atribuídas no sistema de gestão. Numa fase mais avançada da
implementação sensibilizará todos os colaboradores para os novos aspetos, para o papel
de cada um no sistema de gestão e para a sua contribuição no alcançar dos objetivos.
Auditoria interna - Ao longo da implementação do projeto poderão ser efetuadas uma ou
mais auditorias internas, para avaliar o grau de conformidade com os requisitos das normas e
reportar essa informação aos responsáveis da empresa e à equipa de implementação. Estas
auditorias são também o cumprimento de requisitos das normas, deve ser realizada pelo
menos uma, permitindo a preparação da empresa para a auditoria de certificação realizada
pela entidade certificadora.
CERTIFICAÇÃO
Preparação para a auditoria de certificação
A auditoria interna constitui o principal elemento de preparação, mas não é o único. É
importante preparar os colaboradores e sobretudo os responsáveis para o momento da
auditoria, como por exemplo para a necessidade de dar respostas objetivas às perguntas dos
auditores, fornecendo evidências sempre que solicitadas.
Auditoria de certificação
A auditoria de certificação é realizada pelas entidades certificadores, que devem estar
acreditadas para a certificação pretendida. A auditoria designada de concessão decorre em 2 fases:
A primeira fase permitirá aos auditores conhecer a organização e os documentos principais do
sistema de gestão implementado, por exemplo: Politica, Objetivos, Declaração de Aplicabilidade,
Resultados de auditoria interna, Revisão do Sistema.
Na segunda fase da auditoria de concessão é avaliado o grau de conformidade através de
entrevistas aos responsáveis e colaboradores e da verificação por amostragem de evidências de
implementação das políticas, processos e procedimentos definidos.
Como resultado final desta auditoria será entregue um relatório, que pode incluir nas constatações
não conformidades encontradas durante o processo de auditoria. Quando ocorre esta situação é
necessário apresentar um plano de ações corretivas. A resposta da entidade certificadora, que será a
certificação ou marcação de nova auditoria, dependerá das não conformidades registadas e do
plano de ações corretivas apresentado.
Manutenção do certificado
O certificado obtido é válido por 3 anos, estando previstas auditorias anuais, normalmente
uma no final do primeiro ano de certificação e novamente no final do 2º ano. Algumas
entidades certificadoras podem ter um esquema de acompanhamento diferente.
No 3º ano e antes do certificado caducar deve ser pedida uma auditoria de renovação,
iniciando-se novo ciclo de 3 anos com acompanhamentos anuais.
Resumo das etapas:
Precisa de mais informações?
Estamos aqui para ajudá-lo. Entre em contato por telefone, email,
redes sociais ou diretamente aqui: