Porquê 114 controlos na ISO/IEC 27001:2013?
Na verdade as organizações que pretendem implementar um sistema de Gestão de Segurança da Informação não tem necessariamente de implementar os 114 controlos previstos na norma, cada organização terá de analisar quais os controlos que se aplicam aos seus serviços, disponibilidades, espaços e condições. Por exemplo se a empresa não tem teletrabalho, então não necessita implementar este controlo.
Os 114 controlos previstos na norma garantem que na Gestão da Segurança da Informação, nas organizações de qualquer tipo de atividade, todos os riscos são identificados e tomadas medidas para os minorar de forma a oferecer garantia de segurança da informação credível.
Ao fazer a Declaração de Aplicabilidade a organização justifica porque não terá de implementar determinados controlos, clarificando a sua posição perante terceiros interessados, sempre que se aplicar
Sem implementar a ISO/IEC 27001 não existe Segurança da Informação?
Pode existir.
Mas a implementação da norma ISO/IEC 27001 acaba por ser a forma mais rápida de obter a garantia de um diagnóstico completo e correta identificação de todos os riscos relevantes, com a consequente implementação dos controlos adequados, em qualquer organização independentemente da sua atividade. Provavelmente será até a abordagem que implica menor investimento de tempo, recursos humanos e financeiros.
As organizações que procuram obter a segurança da informação sem a implementação do referencial ISO/IEC 27001 podem ser bem sucedidas, mas frequentemente o tempo investido e os custos decorrentes das falhas são muito superiores ao esperado.