A ISO 27001 é uma norma bastante relevante para empresas que buscam certificação

ISO, uma vez que esta é responsável por especificar como deve ser implementado um

Sistema de Gestão da Segurança da Informação (SGSI), em ambientes corporativos.

Neste artigo apresentaremos breve histórico sobre a norma ISO 27001, suas principais

características e escopo, além de informações gerais sobre o processo de certificação.

A história
A história da norma ISO 27001 faz referência ao British Standard 7799, publicado em

1995. Após sofrer uma série de revisões, esse padrão originou a norma conhecida

como ISO/IEC 17799.

Com uma segunda parte do BS 7799 referente à implantação de um Sistema de

Gestão de Segurança da Informação e publicada em 1999, foi criada a norma que hoje

é conhecida como ISO 27001. Essa norma foi estabelecida em 2005, com a publicação

de uma nova revisão tendo sido feita em 2013 para comportar as adaptações

necessárias, já que a computação na nuvem, por exemplo, passou a ser uma realidade

do universo de TI.

Principais características
Análise de risco
A norma exige que a empresa faça uma análise de riscos de segurança

periodicamente e sempre que mudanças significativas forem propostas ou

estabelecidas. Para que essa análise seja feita da maneira correta, é preciso

estabelecer critérios de aceitação de risco assim como a definição de como esses

riscos serão medidos.

Também se devem avaliar as possíveis consequências dos riscos identificados, a

probabilidade de que ocorram e seus níveis.

Comprometimento alta gestão
A norma também exige que a alta administração demonstre comprometimento com o

SGSI, além de ser essa parte da empresa a responsável em si pela segurança da

informação. Os líderes também são responsáveis por assegurar que todos os recursos

para a implantação do sistema estejam disponíveis e alocados corretamente e têm a

obrigação de orientar colaboradores para que o sistema seja verdadeiramente

eficiente.

Definição de objetivos e estratégias

Durante o planejamento, a empresa precisa ter muito claro quais são seus objetivos

de segurança e quais serão as estratégias estabelecidas para atingir esses objetivos.

Os objetivos, entretanto, não podem ser genéricos, devem ser mensuráveis e

considerar requisitos de segurança.

Recursos e competências
A organização também deve garantir que todos os recursos necessários não só para a

implementação, mas também para a manutenção do sistema estejam disponíveis.

Além disso, é preciso estabelecer quais são as competências necessárias e certificar-se

de que as pessoas responsáveis são qualificadas o suficiente — inclusive com

documentação comprobatória.

Documentação da informação
A norma exige que toda a informação seja documentada apropriadamente, com

identificação, definição e formato. As informações precisam ser atualizadas sempre

que houver mudança nas definições iniciais do projeto, sendo necessário que as

alterações passem por aprovação, antes de serem formalizadas e consolidadas.

Acompanhamento de desempenho
Nesse momento, os objetivos definidos em passos anteriores devem ser medidos e

acompanhados, através da aplicação de indicadores que possibilitem analise da

eficiência do sistema.

Melhoria contínua
Uma vez que se atinjam os objetivos quanto ao sistema, é preciso que a empresa

implemente e mantenha um sistema de melhoria contínua a fim de corrigir não-

conformidades. Essa melhoria pode ser feita, por exemplo, usando análises críticas

pela direção e também auditorias internas.

Quais as vantagens de receber a

certificação ISO 27001?
Por ser uma certificação internacionalmente conhecida, a ISO 27001 traz vantagens

não apenas para a gestão da informação em si, mas também para a empresa como

um todo. As principais vantagens incluem:

 Redução do impacto e da ocorrência de riscos por sua identificação prévia;

 Aumento da confiabilidade em relação à empresa, já que os clientes sabem que seus

dados estão seguros;

 Melhor adaptação a mudanças, já que todas as informações estão documentadas e a

gestão otimizada;

 Melhoria da organização interna;

 Atendimento a padrões exigidos por clientes e pela lei;

 Ganho de vantagem competitiva em geral.

O que é preciso para obter a

certificação?
Para a certificação, é necessário que a empresa faça imersão no escopo da norma ISO

e inicie o processo de adaptação de sua estrutura, buscando adequação as exigências

previstas na norma. Boa parte das empresas, optam pela contração de consultorias

especializadas, para auxiliar no processo de certificação.

 Escopo do SGSI;

 Política de segurança, gerenciamento e tratamento de riscos;

 Comprovação de competência das pessoas responsáveis pelo sistema;

 Planejamento operacional, inclusive de melhoria contínua;

 Documentações que deixem claro as políticas de confidencialidade, leis relevantes,

procedimentos em situações relacionadas à gestão de informação e mais;

 Decisões documentadas sobre o tratamento de riscos;

 Resultados de auditorias internas feitas após as mudanças iniciais;

 Comprovação da inexistência de não-conformidades relacionadas à norma com

mudanças feitas após os resultados das auditorias internas.

Após a implantação do SGSI a empresa pode dar início a fase de audições para a

certificação. Normalmente o processo de audição é iniciado com a solicitação de pré-

auditoria. A pré-auditoria segue os mesmos passos da Auditoria de Certificação,

incluindo reunião de abertura, investigação, relato das não-conformidades e reunião

de encerramento. Vale ressaltar que a solicitação de pré-auditoria é facultativa,

ficando a critério da empresa sua execução.

As auditorias para certificação do SGSI são feitas em duas etapas, iniciando com

a auditoria de documentação, também conhecida como fase 1, e continuada com a

auditoria de certificação, conhecida como fase 2, cada qual com abrangência

específica.

Sua empresa busca certificar-se junto a norma ISO 27001? Compartilhe conosco sua

experiência e contribua para o enriquecimento deste post. Não deixe de comentar!