ISO/IEC 27001: Sistema de gestão de segurança da informação

Certificação para garantir a proteção da informação, cibersegurança e privacidade

A certificação ISO/IEC 27001 foi projetada para garantir a conformidade e eficácia de um sistema de gestão de segurança da informação em termos de proteção de sua confidencialidade, integridade e disponibilidade. 

Para quem é o serviço? 

A norma de certificação é voltada a organizações de todos os tamanhos e tipos. De fato, a segurança da informação não diz respeito apenas à privacidade e aos dados pessoais, mas também à propriedade intelectual, aos dados de processo e ao resultado de serviços informáticos e telemáticos. Toda empresa que lida com informações tem potencial para ser afetada. 

A ISO/IEC 27001 ajuda as organizações a avaliar os riscos à confidencialidade, integridade e disponibilidade da informação que desejam proteger, de forma a selecionar as contramedidas organizacionais e técnicas a serem tomadas para conseguir reduzir esses riscos a níveis aceitáveis. 

Quais são as vantagens?  

- Gestão eficaz de todo o ciclo de vida da informação por meio de uma abordagem baseada em risco 
- Gestão de situações adversas com vista à prevenção e melhoria contínua 
- Monitoramento da implementação de políticas e procedimentos de gerenciamento de riscos 
- Contenção de riscos econômicos e reputacionais relacionados a violações de dados 
- Aprimoramento dos investimentos relacionados ao processamento de informações 
- Ganhar uma vantagem de reputação com seus clientes, demonstrando atenção à segurança das informações deles 
- Fortalecimento da imagem da empresa junto às partes interessadas e posicionamento competitivo no mercado 

Processo de certificação  

- Preenchimento do questionário de informações 
- Recebimento da proposta técnica e econômica que, uma vez aceita, constitui o contrato de prestação de serviços 
- Realização das atividades de auditoria (no local de trabalho e fora dele) e emissão do relatório final 
- Se as etapas anteriores forem bem-sucedidas, a certificação é avaliada por um comitê técnico 
- Se as etapas anteriores forem bem-sucedidas, ocorre a emissão do certificado de conformidade 
- Auditoria anual para manter o certificado. 

Após a emissão do certificado, as “auditorias de fiscalização” devem ser realizadas anualmente a partir da data da primeira certificação. A duração da certificação ISO/IEC 27001 é de três anos, sendo renovável no final desse período. 

Por que o RINA? 

O RINA é acreditado pela ACCREDIA para a certificação ISO/IEC 27001 e, com esse acreditação, pode estender a certificação às Diretrizes para Serviços em Nuvem (ISO/IEC 27017, ISO/IEC 27018), Gerenciamento de Incidentes (ISO/IEC 27035) e Gerenciamento de Privacidade (ISO /IEC 27701). 

Nossas equipes de auditoria são formadas por profissionais com alta especialização em TI e Segurança, auditoria de TIC (auditores CISA, certificados ITIL), especialistas técnicos nas áreas de tecnologia e especialistas em regulamentações do setor. 

Foco regulatório 

A norma ISO/IEC 27001 está agora em sua terceira edição. A primeira, publicada em 2005, “transportou” para o mundo ISO os requisitos e a experiência da norma britânica BS 7799-2, que passou por aperfeiçoamentos contínuos nas edições de 1998, 1999 e 2002 e manteve sua estrutura. A segunda edição (em 2013) marcou a transição para a Estrutura de alto nível (High Level Structure, HLS), de forma a melhorar a sua integrabilidade com outras normas de sistemas de gestão informadas pelos princípios de gestão do risco. Duas erratas (não substanciais) foram publicadas em 2014 e 2015, permanecendo separadas da norma até serem incluídas na edição atual, que está alinhada com a Estrutura Harmonizada (derivada da HLS) e com pequenas alterações nos requisitos.  

Por ser uma norma com implicações tecnológicas, ela também é “assinada” pela Comissão Eletrotécnica Internacional (International Electrotechnical Commission, IEC).  

A certificação ISO/IEC 27001 refere-se a regulamentações internacionais e nacionais relativas a: propriedade intelectual, direitos autorais, dados pessoais, serviços essenciais, infraestrutura crítica, serviços em nuvem, serviços de confiança. 

Nossos especialistas respondem às perguntas mais frequentes  

A que deve se referir o escopo de um sistema de gerenciamento de segurança da informação? 
O escopo refere-se à informação a ser protegida, aos sistemas e processos que permitem o seu processamento e ao perímetro físico onde ocorre o seu processamento. 

A certificação ISO/IEC 27001 pode ser combinada com a certificação ISO 9001? 
Sim, as duas certificações podem ser combinadas em dois casos:  

- Quando o sistema de gestão de segurança da informação estiver integrado com o sistema de gestão da qualidade e compartilhar seu escopo, elementos de gestão e informações comuns documentadas, programa de auditoria interna e revisão da gestão.  
- Quando os sistemas de gestão não forem integrados e, portanto, não compartilharem os elementos mencionados acima. 

Em ambos os casos, as certidões permanecem separadas, o que muda são os prazos e a forma das auditorias. 

É possível emitir um certificado referente apenas às Diretrizes ISO/IEC 27107 e 27018? 
Não, as Diretrizes ISO/IEC 27017 e 27018 são uma extensão técnica, portanto o certificado deve sempre se referir à ISO/IEC 27001. 

Certification Team

+55 11 5054-3332

Adicionar aos meus contatos

Você também pode gostar

ISO 9001 - Sistemas de gestão da qualidade

Recursos

pdf

Certification rule

pdf

ISO 27001: rules for certification

doc

Informative Questionnaire

docx

Annex to the Questionnaire

pdf

Condições gerais do contrato

pdf

Regras para uso do logotipo de certificação RINA

pdf

Como apresentar reclamações, apelações e recursos

pdf

Rules for the certification of Information Security Management Systems