Andrea Giesler | 3 de junho de 2019

O padrão ISO 27001 oferece requisitos e um estrutura que fornecerá orientação na implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Como um sistema de gerenciamento, a ISO 27001 é baseada na melhoria contínua – neste artigo, você aprenderá mais sobre como isso se reflete nos requisitos e na estrutura da ISO 27001.

Duas partes principais do padrão

O padrão é dividido em duas partes. A primeira, parte principal, consiste em 11 cláusulas (0 a 10). A segunda parte, chamada de Anexo A, fornece uma diretriz para 114 objetivos de controle e controles. As cláusulas 0 a 3 (introdução, escopo, referências normativas, termos e definições) definem a introdução da norma ISO 27001. As seguintes cláusulas 4 a 10, que fornecem requisitos ISO 27001 que são obrigatórios se a empresa deseja estar em conformidade com a norma, são examinadas em mais detalhes neste artigo.

O anexo A da norma apóia o cláusulas e seus requisitos com uma lista de controles que não são obrigatórios, mas que são selecionados como parte do processo de gerenciamento de risco. Para mais informações, leia o artigo A lógica básica da ISO 27001: Como funciona a segurança da informação?

Cláusula 4: Contexto da organização

Um pré-requisito para a implementação bem-sucedida de um Sistema de Gerenciamento de Segurança da Informação é entender o contexto da organização. Questões externas e internas, bem como as partes interessadas, precisam ser identificadas e consideradas. Os requisitos podem incluir questões regulatórias, mas também podem ir muito além.

Com isso em mente, a organização precisa definir o escopo do SGSI. Até que ponto a ISO 27001 será aplicada à empresa?

Leia mais sobre o contexto da organização nos artigos Como definir o contexto da organização de acordo com a ISO 27001, Como identificar as partes interessadas de acordo com a ISO 27001 e ISO 22301, e como definir o escopo do SGSI.

Cláusula 5: Liderança

Os requisitos da ISO 27001 para uma liderança adequada são múltiplos. O comprometimento da alta administração é obrigatório para um sistema de gestão. Os objetivos precisam ser estabelecidos de acordo com os objetivos estratégicos de uma organização. Fornecer os recursos necessários para o SGSI, bem como apoiar as pessoas a contribuir para o SGSI, são outros exemplos das obrigações a cumprir.

Além disso, a alta administração precisa estabelecer uma política de segurança da informação. Esta política deve ser documentada, bem como comunicada dentro da organização e às partes interessadas.

As funções e responsabilidades também devem ser atribuídas, a fim de atender aos requisitos da norma ISO 27001 e relatar sobre o desempenho do SGSI.

Saiba mais sobre a alta gerência na ISO 27001 nestes artigos: Perspectiva da alta gerência da implementação da segurança da informação, Funções e responsabilidades da alta gerência na ISO 27001 e ISO 22301 e O que você deve fazer escreva em sua Política de Segurança da Informação de acordo com a ISO 27001?

Cláusula 6: Planejamento

O planejamento em um ambiente de SGSI deve sempre levar em consideração os riscos e oportunidades. Uma avaliação de risco de segurança da informação fornece uma base sólida para confiar. Conseqüentemente, os objetivos de segurança da informação devem ser baseados na avaliação de risco. Esses objetivos precisam estar alinhados aos objetivos gerais da empresa. Além disso, os objetivos precisam ser promovidos dentro da empresa. Eles fornecem as metas de segurança para trabalhar para todos dentro e alinhados com a empresa. A partir da avaliação de risco e dos objetivos de segurança, um plano de tratamento de risco é derivado, com base nos controles listados no Anexo A.

Para melhor compreensão dos riscos e oportunidades, leia o artigo Avaliação de risco ISO 27001 & tratamento – 6 etapas básicas. Saiba mais sobre os objetivos de controle no artigo Objetivos de controle da ISO 27001 – Por que eles são importantes? Para obter mais detalhes sobre a direção de uma empresa, leia o artigo Alinhando a segurança da informação com a direção estratégica de uma empresa de acordo com a ISO 27001.

Cláusula 7: Suporte

Recursos, competência dos funcionários, conscientização e comunicação são questões fundamentais para apoiar a causa. Outro requisito é documentar as informações de acordo com a ISO 27001. As informações precisam ser documentadas, criadas e atualizadas, além de controladas. Um conjunto adequado de documentação deve ser mantido para apoiar o sucesso do SGSI.

Para mais informações sobre treinamento, conscientização e comunicação, leia os artigos Como realizar o treinamento & conscientização para ISO 27001 e ISO 22301 e como criar um plano de comunicação de acordo para ISO 27001. Saiba mais sobre gerenciamento de documentos no artigo Gerenciamento de documentos em ISO 27001 & BS 25999-2.

Cláusula 8: Operação

Os processos são obrigatórios para implementar a segurança da informação. Esses processos precisam ser planejados, implementados e controlados. A avaliação e o tratamento de riscos – que precisam estar na mente da alta administração, como aprendemos antes – devem ser colocados em ação.

Saiba mais sobre avaliação e tratamento de riscos nos artigos Avaliação de riscos ISO 27001: Como combinar ativos, ameaças e vulnerabilidades e como avaliar as consequências e probabilidade na análise de risco ISO 27001 e neste Diagrama gratuito do Processo de Avaliação e Tratamento de Risco ISO 27001: 2013.

Cláusula 9: Avaliação de desempenho

Os requisitos da norma ISO 27001 prevêem monitoramento, medição, análise e avaliação do Sistema de Gestão de Segurança da Informação. Não apenas o próprio departamento deve verificar seu trabalho – além disso, auditorias internas precisam ser realizadas. Em intervalos definidos, a alta administração precisa revisar o SGSI da organização.

Saiba mais sobre desempenho, monitoramento e medição nos artigos Principais indicadores de desempenho para um SGSI ISO 27001 e como realizar monitoramento e medição em ISO 27001.

Cláusula 10: Melhoria

A melhoria dá seguimento à avaliação. As não conformidades devem ser tratadas por meio de ações e eliminação das causas, quando aplicável. Além disso, um processo de melhoria contínua deve ser implementado, embora o ciclo PDCA (Plan-Do-Check-Act) não seja mais obrigatório (leia mais sobre isso no artigo O ciclo PDCA foi removido dos novos padrões ISO? o ciclo PDCA é frequentemente recomendado, pois oferece uma estrutura sólida e atende aos requisitos da ISO 27001.

Para mais informações sobre a melhoria da ISO 27001, leia o artigo Alcançando melhoria contínua por meio do uso de modelos de maturidade.

Anexo A (normativo) Objetivos e controles de controle de referência

O anexo A é uma lista útil de objetivos e controles de controle de referência. Começando com A.5 Políticas de segurança da informação até A.18 Conformidade, a lista oferece controles pelos quais os requisitos da ISO 27001 podem ser atendidos e a estrutura de um SGSI pode ser derivada. Os controles, identificados por meio de uma avaliação de risco conforme descrito acima, precisam ser considerados e implementados.

Para mais sobre o Anexo A, leia os artigos Um guia rápido para ISO 27001 controles do Anexo A e como estruturar os documentos para controles ISO 27001 Anexo A.

Requisitos de um ISMS

A implementação e o próprio padrão podem parecer desafiadores ou complicados à primeira vista , porque alguns requisitos podem não parecer lógicos para você. Mas, com um aprendizado mais aprofundado sobre o assunto, as coisas se encaixam e começa-se a apreciar a abrangência que a implementação da ISO 27001 traz para a segurança. Logo após se tornar compatível, você certamente perceberá que o padrão oferece uma diretriz estruturada e ficará satisfeito com sua decisão sobre a implementação.

Para saber mais sobre os requisitos da ISO 27001, baixe esta Cláusula por -cláusula explicação da ISO 27001.

Aqui você pode aprender quão detalhados devem ser os documentos da ISO 27001?

Para tomadores de decisão no mundo das startups , é altamente recomendável ler porque eles devem investir na ISO 27001 e como a implementação pode impulsionar a empresa.

Sobre o autor:

Andrea Giesler é uma Auditora Interna , com sede em Colônia, Alemanha, com especialização nas áreas de ISO 27001, ISO 9001 e EU GDPR. Ela é Auditora de Sistemas de Informação Certificada (CISA) e é certificada em Controle de Sistemas de Informação e Risco (CRISC) pela ISACA.