O que é a norma ISO 27001?

A norma ISO 27001 é o padrã o e a referência Internacional para a gestã o da

Segurança da informaçã o, assim como a ISO 9001 é a referência Internacional para
a certificaçã o de gestã o em Qualidade.

A norma ISO 27001 tem vindo, de forma continuada, a ser melhorada ao longo dos
anos e deriva de um conjunto anterior de normas, nomeadamente a ISO 27001 e a
BS7799 (British Standards). A sua origem remota na realidade a um documento
publicado em 1992 por um departamento do governo Britâ nico que estabelecia um
có digo de prá ticas relativas à gestã o da Segurança da Informaçã o.

Ao longo dos anos, milhares de profissionais contribuíram com o seu know-how e

experiência para o estabelecimento de um Standard está vel e maduro, mas que
certamente continuará a evoluir ao longo dos tempos.

A norma tem como princípio geral a adopçã o pela organizaçã o de um conjunto de

requisitos, processos e controlos com o objectivo de mitigarem e gerirem
adequadamente o risco da organizaçã o.

Milhõ es de entidades no mundo utilizam as prá ticas documentadas no Standard e

usufruem dos benefícios da sua adopçã o, sendo que, as entidades que assim o
desejem podem também certificarem-se, demonstrando assim de forma idó nea
que cumprem os requisitos e os processos constantes na norma.

Determinadas organizaçõ es, obrigam a que os seus fornecedores ou parceiros

detenham certificaçõ es, nomeadamente a ISO 27001, como garante do
cumprimento dos princípios estabelecidos pela mesma, providenciando assim aos
seus clientes e parceiros um nível extra de conforto no que concerne à Segurança
da Informaçã o. As organizaçõ es que adoptam e se certificam nesta norma,
atribuem especial importâ ncia à protecçã o da informaçã o e demonstram-no
através da certificaçã o na mesma.
Para que serve?
A adopçã o da norma ISO 27001 serve para que as organizaçõ es adoptem por um
modelo adequado de estabelecimento, implementaçã o, operaçã o, monitorizaçã o,
revisã o e gestã o de um Sistema de Gestã o de Segurança da Informaçã o.

Este Sistema de Gestã o de Segurança da Informaçã o (SGSI) é, de acordo com os

princípios da norma ISO 27001, um modelo holístico de abordagem à Segurança e
independente de marcas e fabricantes tecnoló gicos.

É holístico porque acaba por ser uma abordagem 360º à Segurança da Informaçã o,
tratando de mú ltiplos temas tais como as telecomunicaçõ es, segurança
aplicacional, protecçã o do meio físico, recursos humanos, continuidade de negó cio,
licenciamento, etc.

É independente de fabricantes porque se destina ao estabelecimento de processos

e procedimentos que depois podem ser materializados à realidade de cada
organizaçã o de forma diferente e com a especificidade de cada ambiente
tecnoló gico e organizacional.
Em que consiste?
A norma padrã o (Standard) ISO 27001 é composta por duas componentes
relativamente distintas:

- A primeira componente, é onde sã o definidas as regras e os requisitos de

cumprimento da norma. Nesta componente, sã o endereçados os aspectos
explícitos no seguinte diagrama:

- A segunda componente da norma, é denominada de ANEXO A e é na realidade composta

por um conjunto de controlos que as organizaçõ es devem adoptar, em diferentes temas:
A estrutura global da norma ISO 27001 pode ser apresentada da seguinte forma:
Em que as clá usulas com os requisitos correspondentes ao ciclo de melhoria contínua
estã o representados a azul, as cláusulas com os requisitos gerais do SGSI encontram-se a
verde e o anexo com os objectivos de controlo e controlos aparecem a castanho.

Quais os benefícios param quem a

adopta?
Independentemente das empresas se certificarem ou nã o, a adopçã o das prá ticas
de gestã o documentadas na norma, representa um conjunto de benefícios,
nomeadamente:

1. Demonstra um compromisso dos Executivos da Organizaçã o para com a

segurança da informaçã o.

2. Aumenta a fiabilidade e a segurança da informaçã o e dos sistemas, em termos de

confidencialidade, disponibilidade e integridade.

3. Garante a realizaçã o de investimentos mais eficientes e orientados ao risco, ao

invés de investimentos com apenas baseados em tendências.

4. Incrementa os níveis de sensibilidade, participaçã o e motivaçã o dos

colaboradores da Organizaçã o para com a Segurança da Informaçã o.

5. Identifica e endereça de forma continuada a oportunidade para melhorias, sendo

um processo em contínua melhoria.

6. Aumenta a confiança e satisfaçã o dos clientes e parceiros, providenciando um

maior potencial para realizaçã o de mais negó cios.

7. A implementaçã o dos controlos provenientes da norma e da aná lise de risco,

melhora o desempenho operacional das organizaçõ es.

8. Dotar a organizaçã o de um sistema de controlo da gestã o, incrementando a

eficá cia da organizaçã o.
Quais os benefícios param os clientes,
fornecedores ou parceiros?
As entidades "pares" de uma entidade certificada em ISO 27001, nomeadamente os
seus clientes, fornecedores e parceiros, também obtêm benefícios na interacçã o
com a organizaçã o certificada.

Uma das grandes preocupaçõ es da actualidade é efectivamente a confiança no

tratamento adequado da informaçã o sensível da sua organizaçã o.

A implementaçã o da norma ISO 27001 providencia um elevado compromisso com

a protecçã o da informaçã o, o que representa um nível considerá vel de conforto
para as organizaçõ es que interagem com a entidade certificada.

Assim, os clientes, parceiros e fornecedores desta entidade sabem que a

informaçã o da sua organizaçã o será tratada de acordo com elevados padrõ es de
gestã o e protecçã o ao nível da Segurança da Informaçã o, já que a empresa
certificada foi auditada por uma entidade externa e idó nea.
Quanto tempo demora a preparaçã o da
certificaçã o?
A preparaçã o da certificaçã o requer a implementaçã o e adopçã o dos requisitos,
políticas, procedimentos, controlos e prá ticas requeridas pela norma ISO 27001,
ajustadas ao â mbito e à realidade tecnoló gica e organizacional de cada entidade
que a resolva adoptar e certificar-se.

Assim, o tempo de implementaçã o do sistema, varia de acordo com a realidade,

maturidade e dimensã o de cada organizaçã o.

O roadmap típico de implementaçã o de um SGSI é o apresentado na seguinte

figura: