Serviços

Sistema de Gestão da Segurança da Informação ISO 27001:2013

ISO/IEC 27001:2013 fornece requisitos para estabelecimento, implementação, manutenção e melhoria de forma continua do Sistema de Gestão de Segurança da Informação.

A implementação do ISMS é uma decisão estratégica para a organização. O estabelecimento e implementação do ISMS é influenciado pelas necessidades e objetivos da organização. Este standard abrange todo o tipo de organizações (âmbito comercial, organismos governamentais e sem fins lucrativos), de todos os tamanhos (desde microempresas até empresas multinacionais) e todos os segmentos industriais (retalho, banca, defesa, saúde, educação e governo).

O ISMS preserva a confidencialidade, integridade e disponibilidade da informação através da aplicação de processos de gestão de risco, dando confiança às entidades, parceiros, stakeholders que o risco da organização é gerido de forma adequada.

  • Confidencialidade: garantir que o acesso à informação seja devidamente autorizado.
  • Integridade: salvaguardar a exatidão e integridade da informação e dos métodos para seu processamento.
  • Disponibilidade: garantir que os utilizadores que estão autorizados, têm acesso à informação sempre que necessitarem.

 

ISO /IEC 27001:2013 – Estrutura e Conteúdo

Esta estrutura é uma nova formulação e alinhamento do Sistema de Gestão das ISO com o “Anexo SL“, que permite a uma organização efetuar várias implementações ao mesmo tempo ao nível da gestão dos standards ISO. Neste sentido, qualquer organização pode implementar ISO/IEC 27001:2013 em conjunto com ISO 22301:2012 (Business Continuity Management System) de forma simultânea.

Os seguintes requisitos são obrigatórios (desde o requisito 4 até ao 10) para implementação e certificação do ISO/IEC 27001:2013.

1. INTRODUÇÃO

Objetivo do ISMS.

2. ÂMBITO

Declaração da aplicabilidade do standard dentro do contexto da organização.

3. REFERÊNCIA A NORMAS

Overview e vocabulário.

4. TERMOS E DEFINIÇÕES

Glossário breve e formalizado, incluindo termos comuns e definição do ISMS.

5. CONTEXTO DA ORGANIZAÇÃO

Determinar as necessidades da organização e a gestão de expectativas.

6. LIDERANÇA

Estabelecimento do papel do conselho de gestão/administração da organização em relação ao ISMS.

7. PLANEAMENTO

Estabelecer objetivos estratégicos para a organização e respetiva gestão dos riscos.

8. SUPORTE

Determinar os recursos da organização, os requisitos de competências e necessidades de documentação padrão.

9. OPERAÇÃO

Requisitos de Segurança da Informação do ISMS e a forma de ser endereçado.

10. AVALIAÇÃO DA PERFORMANCE

Medição da performance do ISMS.

11. MELHORIA

Identificar e agir contra a não-conformidade do ISMS, por meio de ações corretivas e garantia de melhoria contínua do ISMS.

De forma a ser implementado o ISMS, será necessário a avaliação e conformidade do Anexo A, que consiste em:

  • 14 controlos de área: Áreas com os principais tópicos que cobrem a maioria dos aspetos da segurança da informação.
  • 34 Objetivos de controlo: Objetivos de controlo.
  • 114 controlos: Controlos aplicáveis que podem ser executados no programa do ISMS.

 

Controlo da Área

A5

Políticas de Segurança da Informação (Gestão e update das políticas e segurança da informação da organização) - 2 controlos

A6

Organização da Segurança da Informação (Gestão da informação da organização incluindo: identificação de regras e responsabilidades, segregação de funções, dispositivos móveis e teleworking) - 7 controlos

A7

Segurança dos Recursos Humanos (Segurança dos Recursos Humanos) - 6 controlos

A8

Gestão de Ativos (Gestão de Ativos da Organização) - 10 controlos

A9

Controlo de Acessos (Gestão e controlo de acessos à informação da organização) - 14 controlos

A10

Criptografia (Controlo do uso da criptografia dentro da organização) - 2 controlos

A11

Segurança Fisica e ambiental (Gestão e controlo da organização fisica e acesso ambiental) - 15 controlos.

A12

Segurança da Operações (Gestão e controlo de todas as operações incluindo: procedimentos operacionais e respinsabilidades, logging e monitorização, gestão de vulnerabilidades técnicas e auditoria aos sistemas de informação) - 14 controlos

A13

Segurança das comunicações (Gestão e controlo da segurança das comunicações da organização, incluindo: gestão da segurança da rede e controlos na transferencia de informação) - 7 contolos

A14

Aquisição de sistemas, desenvolvimento de sistemas, incluindo: identificação, controlo de qualidade de código, segurança dos sistemas em desenvolvimento) -13 controlos

A15

Relação com fornecedores (Gestão na relação com fornecedores, incluindo: aplicação das segurança da informação na relação com fornecedores e gestão an entrega de serviços à organização) - 5 controlos

A16

Gestão de Incidentes de segurança da informação (Gestão, controlo e monitorização d eincidentes de segurança da informação) - 7 controlos

A17

Aspetos da segurança da informaçãona continuidade de negócio - 8 controlos

Podemos perceber que existem 114 controlos.