What is ISO 27001 Compliance?

A ISO 27000 é uma coleção de normas projetadas para fornecer orientação às organizações que buscam implementar uma segurança cibernética forte. A ISO/IEC 27001:2013 é a mais conhecida delas, fornecendo às empresas orientação sobre o desenvolvimento de um sistema de gestão de segurança da informação (SGSI).

Solicite uma demo Saiba mais

What is ISO 27001 Compliance?

Por que a conformidade da ISO 27001 é importante?

Embora a Conformidade ISO 27001 não seja obrigatória para nenhuma organização, as empresas podem optar por alcançar e manter a Conformidade ISO 27001 para demonstrar que implementaram os controles e processos de segurança necessários para proteger seus sistemas e os dados confidenciais em sua posse.

Alcançar a Conformidade ISO 27001 é importante como diferencial no mercado e como base para o cumprimento de outros requisitos e normas obrigatórias. Uma organização com a Conformidade ISO 27001 é provavelmente mais segura do que outra sem ela, e a norma fornece uma estrutura sólida para a construção de muitos dos controles de segurança exigidos por outras regulamentações.

Padrões de Conformidade ISO 27001

O objetivo principal da regulamentação ISO 27001 é orientar as organizações na criação, implementação e aplicação de um SGSI. Este SGSI descreve os controles, processos e procedimentos que a empresa implementou para garantir a confidencialidade, integridade e disponibilidade dos dados em sua posse.

Para alcançar a Conformidade ISO 27001, uma organização também deve documentar as etapas que foram executadas no processo de desenvolvimento do SGSI. A documentação principal inclui:

  • Escopo do SGSI
  • Política de Segurança da Informação
  • Processo e plano de avaliação de riscos de segurança da informação
  • Objetivos de Segurança da Informação
  • Evidência de competência de pessoas que trabalham em segurança da informação
  • Resultados da Avaliação e Tratamento de Riscos de Segurança da Informação
  • Programa de Auditoria Interna do SGSI e Resultados das Auditorias Realizadas
  • Evidências de Avaliações de Liderança do SGSI
  • Evidência de Não Conformidades Identificadas e Resultados de Ações Corretivas

Quais são os controles de auditoria ISO 27001?

A ISO 27001 define um conjunto de controles de auditoria que devem ser incluídos em um SGSI compatível. Esses incluem:

  1. Políticas de Segurança da Informação: Este controle descreve como as políticas de segurança devem ser documentadas e revisadas como parte do SGSI.
  2. Organização da Segurança da Informação: As responsabilidades da função são uma parte importante de um SGSI. Este controle divide as responsabilidades de segurança em toda a organização, garantindo que haja responsabilidades claras para cada tarefa.
  3. Segurança de Recursos Humanos: Este controle aborda como os funcionários são treinados em segurança cibernética ao iniciar e encerrar funções dentro de uma organização, incluindo integração, desligamento e mudanças de cargos.
  4. Gestão de ativos: A segurança dos dados é uma preocupação primária da ISO 27001. Esse controle se concentra no gerenciamento do acesso e na segurança de ativos que impactam a segurança dos dados, incluindo hardware, software e bancos de dados.
  5. Access Control: Este controle discute como uma organização gerencia o acesso aos dados para proteger contra acesso não autorizado a dados confidenciais ou valiosos.
  6. Criptografia: A criptografia é uma das ferramentas mais poderosas para proteção de dados. As empresas devem implementar a criptografia de dados sempre que possível, usando algoritmos criptográficos fortes.
  7. Segurança Física e Ambiental: O acesso físico aos sistemas pode prejudicar os controles de segurança digital. Este controle se concentra na segurança de edifícios e equipamentos dentro de uma organização.
  8. Operações de Segurança: A segurança das operações concentra-se em como a organização processa e gerencia os dados. A organização deve ter visibilidade e controle sobre os fluxos de dados dentro do seu ambiente de TI.
  9. Segurança das Comunicações: Os sistemas de comunicação utilizados por uma organização (e-mail, videoconferência, etc.) devem criptografar os dados em trânsito e ter fortes controles de acesso.
  10. Aquisição, Desenvolvimento e Manutenção de Sistemas: Este controlo centra-se em garantir que os novos sistemas introduzidos no ambiente de uma organização não ponham em perigo a segurança da empresa e que os sistemas existentes sejam mantidos num estado seguro.
  11. Relacionamentos com Fornecedores: Relacionamentos com terceiros criam o potencial para ataques à cadeia de abastecimento. Um SGSI deve incluir controles para rastrear relacionamentos e gerenciar riscos de terceiros.
  12. Gerenciamento de incidentes de segurança da informação: A empresa deve ter processos implementados para detectar e gerenciar incidentes de segurança.
  13. Aspectos de segurança da informação da gestão da continuidade de negócios: Além dos incidentes de segurança, a empresa deve estar preparada para gerir outros eventos (como incêndios, cortes de energia, etc.) que possam impactar negativamente a segurança.
  14. Conformidade: Como parte da Conformidade ISO 27001, a organização deve ser capaz de demonstrar total Conformidade com outros regulamentos obrigatórios aos quais a organização está sujeita.

Como se tornar certificado pela ISO 27001

A certificação ISO 27001 requer auditorias anuais por um organismo de certificação ISO 27001 credenciado. Antes de passar por uma auditoria de terceira parte, uma organização deve realizar uma auditoria interna para medir sua Conformidade com os regulamentos da ISO 27001 e desenvolver um SGSI de acordo com a norma. Uma vez gerada a documentação necessária e implementados os controles de segurança exigidos, a empresa está preparada para contratar um auditor terceirizado.

Alcance a Conformidade ISO 27001 com Check Point

A ISO 27001 Conformidade exige que uma organização tenha profunda visibilidade de sua Infraestrutura de TI e operações de segurança. A empresa precisa ser capaz de demonstrar capacidade de mapear e monitorar fluxos de dados em seu ambiente e que possui os controles de segurança apropriados para proteger seus dados.

As soluções da Check Point podem ajudar as empresas que buscam alcançar a Conformidade ISO 27001 em seus No local e ambientes baseados em nuvem. Com o suporte integrado ao Conformidade, as organizações podem identificar rapidamente as lacunas do Conformidade e gerar a documentação necessária. Saiba mais sobre como alcançar a Conformidade na nuvem com um demo gratuita do Check Point CloudGuard.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK