com violações de segurança da informação agora o novo normal, as equipes de segurança são obrigadas a tomar medidas dedicadas para reduzir o risco de sofrer uma violação prejudicial. A ISO 27001 apresenta uma maneira eficaz de reduzir esses riscos.
neste blog, explicamos como você pode obter a certificação ISO 27001 e dar uma olhada no processo de certificação.
Prepare
obtenha uma compreensão da ISO 27001
a leitura da norma fornece uma excelente base para a ISO 27001 e seus requisitos. Existem várias maneiras de se aprimorar sobre a ISO 27001:
- Leia gratuitamente um livro branco sobre o Padrão
- Leia a Governança de TI é informação gratuita sobre a ISO 27001 e como começar
- Adquirir uma cópia do Padrão (não é livremente disponível)
- talvez Você queira participar de uma introdutório online ISO 27001 Fundação curso de formação
Nomear um ISO 27001 campeão
Ter uma visão sobre a ISO 27001 é uma maneira útil de se familiarizar com o processo de certificação, mas você precisa de um verdadeiro especialista para ajudar a completar o processo.
isso pode ser alguém dentro de sua organização ou um terceiro para gerenciar o processo. De qualquer forma, eles devem ter experiência na implementação de um ISMS (sistema de gerenciamento de segurança da informação) e entender como implementar seus requisitos dentro de sua organização.
se você não tem experiência interna, você pode querer se inscrever no curso de treinamento ISO 27001 Online lead Implementer.
Secure senior management support
nenhum projeto pode ser bem-sucedido sem o buy-in e o apoio da liderança da organização.
uma análise de lacunas, que compreende uma revisão abrangente de todos os acordos de segurança da informação existentes em relação aos requisitos da ISO/IEC 27001:2013, apresenta um bom ponto de partida.
uma análise completa da lacuna deve incluir idealmente um plano priorizado de ações recomendadas e orientação adicional para o escopo de seu SGSI.
os resultados da análise de lacunas podem ser fornecidos para desenvolver um forte caso de negócios para a implementação da ISO 27001.
estabelecer o contexto, o âmbito e os objectivos
é essencial fixar os objectivos do projecto e do SGSI desde o início, incluindo os custos e prazos do projecto. Você precisará considerar se usará o suporte externo de uma consultoria ou terá a experiência interna necessária.
você pode querer manter o controle de todo o projeto, contando com a ajuda de um mentor on-line dedicado em estágios críticos do projeto.
usar um mentor on-line ajudará a garantir que seu projeto permaneça no caminho certo, economizando as despesas associadas ao uso de consultores em tempo integral para a duração do projeto.
você também precisará desenvolver o escopo do SGSI, que pode se estender a toda a organização ou apenas a um departamento específico ou localização geográfica.
ao definir o escopo, você precisará considerar o contexto organizacional e as necessidades e requisitos das partes interessadas (partes interessadas, funcionários, governo, reguladores, etc.).
‘Context’ considera fatores internos e externos que podem influenciar a segurança da Informação da sua organização. Inclui aspectos como a cultura organizacional, critérios de aceitação de riscos, sistemas existentes, processos, etc.
(considere um pacote Do It Yourself com tudo incluído que inclui cinco dias de consultoria estruturada, além de ferramentas, treinamento e software).
estabelecer uma estrutura de gerenciamento
a estrutura de gerenciamento descreve os processos que uma organização precisa seguir para atender aos seus objetivos de implementação ISO27001.
esses processos incluem a afirmação da responsabilização do SGSI, um cronograma de atividades e auditoria regular para apoiar um ciclo de melhoria contínua.
realizar uma avaliação de risco
embora a ISO 27001 não prescreva uma metodologia específica de avaliação de risco, ela exige que a avaliação de risco seja um processo formal.
isso implica que o processo deve ser planejado e os dados, análises e resultados devem ser registrados.
Antes de realizar uma avaliação de risco, você deve estabelecer seus critérios de segurança de linha de base. Isso se refere aos requisitos comerciais, legais e regulamentares da organização, bem como às suas obrigações contratuais relacionadas à segurança da informação.O vsRisk Cloud, o software de avaliação de risco mais simples e eficaz, fornece a estrutura e os recursos para realizar uma avaliação de risco compatível com a ISO 27001.
implementar controles para mitigar riscos
uma vez identificados os riscos relevantes, a organização deve decidir se deve tratar, tolerar, encerrar ou transferir os riscos.
é crucial documentar todas as decisões relativas às respostas de risco, uma vez que o auditor desejará revisá-las durante a auditoria de registro (certificação).
o SoA (Declaração de aplicabilidade) e o RTP (plano de tratamento de risco) são dois relatórios obrigatórios que devem ser produzidos como evidência da avaliação de risco.
treinamento de Conduta
o padrão exige que programas de conscientização da equipe sejam iniciados para aumentar a conscientização sobre a segurança da informação em toda a organização.
você também será obrigado a implementar políticas que direcionem os funcionários para bons hábitos. Isso pode incluir uma política de mesa limpa e a exigência de bloquear computadores sempre que eles saem de suas estações de trabalho.
um curso de E-learning de conscientização da equipe em toda a empresa é a maneira mais fácil de trazer a filosofia por trás do padrão e o que os funcionários devem fazer para garantir a conformidade.
revise e atualize a documentação necessária
a documentação é necessária para suportar os processos, políticas e procedimentos necessários do ISMS.
compilar políticas e procedimentos é muitas vezes uma tarefa muito tediosa e desafiadora, no entanto. Felizmente, modelos de documentação-desenvolvidos por especialistas em ISO 27001-estão disponíveis para fazer a maior parte do trabalho para você.Formatado e totalmente personalizável, esses modelos contêm orientação especializada para ajudar qualquer organização a atender a todos os requisitos de documentação da ISO 27001.
no mínimo, o padrão requer a seguinte documentação:
- O escopo do SGSI
- política de segurança da Informação
- segurança da Informação no processo de avaliação de risco
- Informações de segurança de risco de processo de tratamento de
- A Declaração de Aplicabilidade
- segurança da Informação objetivos
- Provas de competência
- informação Documentada determinados pela organização como sendo necessários para a eficácia do SGSI
- O planejamento operacional e controle
- Resultados da segurança da informação, avaliação de riscos
- Resultados da segurança da informação e risco tratamento
- Evidência de que o monitoramento e medição de resultados
- documentado processo de auditoria interna
- Evidência de que os programas de auditoria e os resultados da auditoria
- Evidência de que os resultados das análises de gestão
- Evidência de que a natureza das não-conformidades e quaisquer ações subseqüentes tomadas
- Evidência de que os resultados de quaisquer ações corretivas tomadas
Medida, monitorar e analisar
ISO 27001 oferece suporte a um processo de melhoria contínua. Isso requer que o desempenho do SGSI seja constantemente analisado e revisado quanto à eficácia e conformidade, além de identificar melhorias nos processos e controles existentes.
realizar uma auditoria interna
ISO/IEC 27001:2013 requer auditorias internas do SGSI em intervalos planejados. O conhecimento prático do processo de auditoria principal também é crucial para o gerente responsável pela implementação e manutenção da conformidade com a ISO 27001.
o Curso Online Certified ISO 27001 Lead Auditor ensina como planejar e executar uma auditoria eficaz de segurança da informação de acordo com a ISO 27001:2013.
ele também ensina você a liderar uma equipe de Auditores e realizar auditorias externas. Se você ainda não selecionou um registrador, talvez seja necessário escolher uma organização apropriada para essa finalidade.
auditorias de registro (para obter registro credenciado, reconhecido globalmente) só podem ser conduzidas por um registrador independente credenciado pela Autoridade de acreditação relevante em seu país.
auditorias de registro/certificação
durante a auditoria do estágio um, o auditor avaliará se sua documentação atende aos requisitos da ISO 27001. Eles também apontarão quaisquer áreas de não conformidade e melhoria potencial do sistema de gerenciamento.
uma vez que quaisquer alterações necessárias tenham sido feitas, sua organização estará pronta para sua auditoria de registro do Estágio 2.
auditoria de Certificação
durante uma auditoria de estágio dois, o auditor realizará uma avaliação completa para estabelecer se você está em conformidade com a norma ISO 27001.
quanto tempo levará para ser certificado?
o processo de implementação da ISO 27001 dependerá do tamanho e da complexidade do sistema de gerenciamento, mas na maioria dos casos, as organizações de pequeno a médio porte podem esperar concluir o processo dentro de 6 a 12 meses.
Suporte de Certificação com Governança de TI EUA
você está pronto para iniciar seu projeto ISO 27001? Nesse caso, nossa gama de pacotes de implementação é o ponto de partida perfeito.
com uma combinação de ferramentas, software, guias e treinamento baseado em qualificação com até 40 horas de consultoria on-line, você receberá a orientação especializada necessária para atender aos requisitos da sua organização.
eles ajudarão você a reduzir o tempo e o esforço necessários para implementar um SGSI, bem como eliminar os custos de trabalho de consultoria, viagens e outras despesas associadas à consultoria tradicional.
uma versão deste blog foi publicada originalmente em 13 de Março de 2019.