ISO 27001

IMPLEMENTAÇÃO E CERTIFICAÇÃO
de um Sistema de Segurança da Informação ISO 27001
Porquê implementar?

As empresas são motivadas para a implementação e certificação por diferentes razões, que
podem ser tão simples quanto a exigência de um cliente ou tão complexas como a visão
estratégica de médio/longo prazo para implementar melhorias internas na organização. Outro
motivo para a empresa se certificar pode ser a diferenciação, em particular no caso da norma
ISO 27001 ainda com poucas empresas certificadas em sistemas de gestão de segurança da
informação.

Benefícios

A implementação de um sistema de gestão faz com que gestores e colaboradores persigam
objetivos organizacionais comuns dentro de um prazo pré-determinado, permite que um
conjunto de boas práticas sejam implementadas e os mecanismos existentes sejam
repensados e melhorados. O sistema implementado pode ser certificado, ou não, mas a
certificação reforça a confiança externa e melhora a reputação da empresa porque se baseia
em normas reconhecidas internacionalmente.


Um sistema de gestão de segurança da informação implementado e certificado de acordo com
a norma ISO 27001 está focado na preservação da confidencialidade, integridade e
disponibilidade da informação.
Para que a confidencialidade, a integridade e disponibilidade
da informação sejam mantidas são aplicados controlos previstos na norma ISO 27001, que
mitigam os riscos de segurança da informação, de que é exemplo o plano de continuidade.
Também os requisitos legais são considerados na implementação do sistema de gestão,
auxiliando no objetivo de evitar incumprimentos e multas.

Custos

Existem custos internos e externos, os internos correspondem ao tempo gasto pelos
colaboradores na formalização dos processos e na implementação das novas práticas. Os
custos externos estão relacionados com a contratação de serviços de consultoria e formação,
para apoio na implementação do sistema de gestão e com a contratação de serviços de
certificação a um organismo de certificação, acreditado para a ISO 27001.
Podem também existir custos de ferramentas ou equipamentos a adquirir que podem ser
muito reduzidos ou avultados, dependendo de cada caso. Neste ponto deve ser pedida ajuda a
um profissional experiente, contratando um consultor, que não seja representante,
distribuidor ou fabricante destes equipamentos ou aplicações, que podem ser por exemplo,
aplicações de controlo de acessos e monitorização dos sistemas de TI.

COMO IMPLEMENTAR
Ponto de partida

No início da implementação deve ser feito um diagnóstico e um gap-analysis entre a norma e
as boas práticas existentes. Esta análise deve ser o ponto de partida para a implementação de
um sistema de gestão.

Numa implementação ISO 27001 o ponto de partida é uma avaliação de risco da segurança da
informação, identificando ameaças ou cenários de risco e ponderando impacto e 
probabilidade,

tendo em conta os controlos de segurança já existentes e determinando quais os novos controlos

necessários para mitigar os riscos identificados.

Em regra as empresas quando decidem avançar para a implementação de um sistema de gestão,

já possuem um conjunto de boas práticas que devem ser mantidas.

Papéis e Responsabilidades

Na implementação e no funcionamento do sistema de gestão as diferentes partes

interessadas que participam nas atividades da empresa tem que assumir diferentes papéis e

responsabilidades. Por exemplo:


Responsável de Segurança da Informação
Donos dos Riscos (Risk Owners)
Responsáveis pelos ativos
Administrador de Sistemas
Administrador Redes
Responsáveis Infraestruturas


Em organizações mais pequenas é natural que alguns destes papéis e

responsabilidades sejam acumulados pelo mesmo responsável.

Implementação

Planeamento - O estabelecimento de um plano do projeto de implementação do sistema

de gestão permite gerir o projeto e o trabalho da equipa, constituindo em si uma evidência

de cumprimento dos requisitos de planeamento destas normas.
Formação - A formação numa fase inicial fornecerá o conhecimento necessário aos gestores,

com responsabilidades atribuídas no sistema de gestão. Numa fase mais avançada da
implementação sensibilizará todos os colaboradores para os novos aspetos, para o papel
de cada um no sistema de gestão e para a sua contribuição no alcançar dos objetivos.
Auditoria interna - Ao longo da implementação do projeto poderão ser efetuadas uma ou

mais auditorias internas, para avaliar o grau de conformidade com os requisitos das normas e

reportar essa informação aos responsáveis da empresa e à equipa de implementação. Estas
auditorias são também o cumprimento de requisitos das normas, deve ser realizada pelo
menos uma, permitindo a preparação da empresa para a auditoria de certificação realizada

pela entidade certificadora.

CERTIFICAÇÃO
Preparação para a auditoria de certificação

A auditoria interna constitui o principal elemento de preparação, mas não é o único. É
importante preparar os colaboradores e sobretudo os responsáveis para o momento da
auditoria
, como por exemplo para a necessidade de dar respostas objetivas às perguntas dos
auditores, fornecendo evidências sempre que solicitadas.

Auditoria de certificação

A auditoria de certificação é realizada pelas entidades certificadores, que devem estar
acreditadas para a certificação pretendida. A auditoria designada de concessão decorre em 2 fases: 

 

A primeira fase permitirá aos auditores conhecer a organização e os documentos principais do

sistema de gestão implementado, por exemplo: Politica, Objetivos, Declaração de Aplicabilidade,

Resultados de auditoria interna, Revisão do Sistema.


Na segunda fase da auditoria de concessão é avaliado o grau de conformidade através de

entrevistas aos responsáveis e colaboradores e da verificação por amostragem de evidências de

implementação das políticas, processos e procedimentos definidos.

 

Como resultado final desta auditoria será entregue um relatório, que pode incluir nas constatações

não conformidades encontradas durante o processo de auditoria. Quando ocorre esta situação é

necessário apresentar um plano de ações corretivas. A resposta da entidade certificadora, que será a

certificação ou marcação de nova auditoria, dependerá das não conformidades registadas e do

plano de ações corretivas apresentado.

Manutenção do certificado

O certificado obtido é válido por 3 anos, estando previstas auditorias anuais, normalmente
uma no final do primeiro ano de certificação e novamente no final do 2º ano. Algumas
entidades certificadoras podem ter um esquema de acompanhamento diferente.
No 3º ano e antes do certificado caducar deve ser pedida uma auditoria de renovação,
iniciando-se novo ciclo de 3 anos com acompanhamentos anuais.

Resumo das etapas:

Precisa de mais informações?
 

Estamos aqui para ajudá-lo. Entre em contato por telefone, email,

redes sociais ou diretamente aqui:

 

Matosinhos, Portugal

© 2020 Transponder Consultores

  • Black Facebook Icon
  • Black LinkedIn Icon