ISO/IEC 27001
Sistema de Gestão da Segurança da Informação O governo, a indústria, os cidadãos e a sociedade dependem de um grande número de informações críticas de infra-estrutura, como, por exemplo, energia, abastecimento de água, transportes, serviços financeiros, telecomunicações e serviços médicos. A necessidade de evitar a interrupção na operação destas infra-estruturas é crítica. Sendo assim, a segurança das informações é um aspecto a ser considerado. A informação é um ativo fundamental de qualquer negócio, variando desde a informação digital, documentos em papel e ativos físicos (computadores e redes), até o conhecimento individual dos empregados. Eventos que afetem a integridade, confidencialidade e disponibilidade da informação podem afetar a continuidade dos negócios, impactando na credibilidade e capacidade financeira da empresa. De acordo com a Pesquisa sobre Segurança e Crimes de Computadores do CSI/FBI de 2006, os respondentes estimam que perdas causadas por diversos tipos de incidentes de segurança dos computadores alcançaram um total de $52.494.290,00 em 2006 (a pesquisa foi realizada com 313 participantes disponíveis e aptos a estimar perdas). A segurança da informação é definida como a preservação da confidencialidade, integridade e disponibilidade da informação. A ISO/IEC 27001 é uma norma internacional que especifica os requisitos para estabelecer, implementar, operar, monitorar revisar, manter e melhorar um sistema de gestão da segurança da informação documentado, dentro do contexto geral de riscos da organização. Ela também fornece a estrutura para implementar alguns dos princípios dados nos Guias para a Segurança de Sistemas da Informação e Redes do OECD (Organization for Economic Cooperation and Development ou Organização para o Desenvolvimento e Cooperação Econômica), usando o modelo PDCA de abordagem de processos. A ISO/IEC 27001 é baseada na BS 7799 e está alinhada com outras normas internacionais de sistema de gestão como a ISO 9001 (para sistemas de gestão da qualidade) e a ISO 14001 (para sistemas de gestão do meioambiente).
Alguns dos requisitos comuns a todos estes sistemas são: • Estabelecimento de políticas e objetivos • Atividade de monitoramento, revisão e melhoria • Treinamento, sensibilização e competência • Auditorias internas e análise da direção Adicionalmente, esta norma solicita a definição de uma abordagem de avaliação de riscos; identificação, análise e avaliação de riscos; identificação e avaliação das opções para o tratamento dos riscos e a seleção de objetivos de controle e controles para o tratamento de riscos identificados. O ABS QE possui uma equipe de auditores altamente qualificados, prontos para conduzir avaliações de sistemas de gestão da segurança das informações com base nos requisitos da ISO/IEC 27001.
Quem deve buscar a norma? A ISO 27001 pode ser aplicada em qualquer tipo de negócio, organização ou indústria. Alguns setores possuem maior interesse na certificação nesta norma, como empresas de tecnologia da informação, instituições financeiras, empresas de engenharia, petroquímicas e óleo & gás, eletrônica & instrumentação, fabricação de metais & máquinas.
Para mais informações: ABS Quality Evaluations Rua Fidêncio Ramos, 100 – 4º andar Vila Olímpia - São Paulo/SP – 04551-010 Telefone: (55 11) 3707-1055 Salvador: (55 71) 3341-4206 Porto Alegre: (55 51) 3222-6161 absqebrasil@abs-qe.com | www.abs-qe.com