cesae
XZ Consultores

Segurança da informação

Referencial normativo ISO/IEC 27001:2013 encontra-se alinhado com os requisitos da ISO 9001:2015

Cláusula 4 - Contexto da organização

Proporciona a identificação e avaliação das questões internas e externas que são relevantes para a finalidade do SGSI, determinando os factores que a influenciam, positiva ou negativamente.

Cláusula 5 - Liderança

Dinamiza o estabelecimento de objetivos e a focalização, comprometimento e desempenho de todos os interessados na concretização destes.

A gestão de topo lidera a Organização para alcançar os resultados pretendidos, entre os quais se incluem a sustentabilidade, a satisfação dos clientes, …, confidencialidade, integridade e disponibilidade da informação.

Cláusula 6 - Planeamento

Facilita a capacidade da Organização em lidar com as mudanças internas ou externas, quer para que estas não tenham impacto negativo, quer para introduzir mudanças e aproveitar oportunidades que vão surgindo.

Um dos principais objetivos da ISO 27001 é servir como ferramenta preventiva, no sentido de evitar perda de confidencialidade, integridade e disponibilidade da informação procurando assegurar a valorização dos ativos da organização.

Cláusula 7 - Suporte

Providencia a identificação, disponibilização, adequação e manutenção dos recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do sistema de gestão da qualidade.

Cláusula 8 - Operação

Dinamiza o planeamento e implementação dos processos e controlos necessários para garantir a confidencialidade, integridade e disponibilidade da informação.

Cláusula 9 - Avaliação de desempenho

Avalia o desempenho do sistema de gestão de segurança da informação através da monitorização e medição dos objetivos, processos e controlos de segurança da informação.

Cláusula 10 - Melhoria

Assegura a determinação e implementação das oportunidades de melhoria necessárias para a aplicabilidade, adequabilidade e eficácia do sistema de gestão de segurança da informação.

Diagrama

Homem a 'desenhar' gráfico no ar

“A Informação e o conhecimento constituem um ativo fundamental das organizações, provavelmente um dos que mais contribui para o seu valor patrimonial. Neste quadro a gestão da informação assume um novo, e prioritário, desafio para os gestores.”

Júlio Faceira, xz consultores.

Homem a 'desenhar' gráfico no ar

“Falar de Segurança da Informação e Boas Práticas de Gestão da Informação é aplicar a Gestão e Tecnologia ao Serviço da Rentabilidade e Sustentabilidade nas Empresas num plano que inclui minimizar riscos e segurar esses mesmos riscos.”

Jorge Mota, cesae.

Homem a 'desenhar' gráfico no ar

“A utilização de instrumentos de gestão, tais como a ISO 27001, pode, inegavelmente, permitir a adopção das melhores metodologias e abordagens e potenciar uma melhoria continua do desempenho das organizações.”

Júlio Faceira, xz consultores.

Indicadores dos parceiros

 

Clientes
Diagnósticos
Horas consultoria

Indicadores de segurança

 

Milhões de registos pessoais expostos
Número médio de dias que os atacantes permanecem nos sistemas afetados até serem detetados
Custo médio por registo exposto com informação sensível

Benefícios da ISO 27001

O que esperar obter com a implementação de um sistema de gestão da segurança da informação.

Modelo de gestão

Assegurar o desenvolvimento de um modelo de gestão, alinhado com a estratégia e com o negócio, para gerir a segurança da informação.

Disponibilidade

Garantir que a informação está disponível, quando desejado.

Gestão de riscos

Potenciar uma gestão, planeada e sistemática, dos riscos associados associados à gestão da informação.

Instrumento comercial

Pode ser utilizado como instrumento comercial, na medida em que permite assegurar aos clientes a segurança da sua informação.

Otimizar investimentos

Permite otimizar os investimentos nos sistemas de informação e comunicação e a monitorização das tecnologias de informação e comunicação.

Obtenção de certificação

Pode ser avaliado pelo cliente, ou por entidade certificadora, permitindo a obtenção da certificação por terceira parte.

Integridade

Garantir o rigor da informação, não foi alterada indevidamente.

Confidencialidade

Assegurar que a informação só está acessível a pessoas autorizadas.

Autenticidade

Garantir que a informação é autêntica, impede a negação da sua autoria.

Responsabilidade

Atribuição de responsabilidade e autoridade pela gestão dos ativos da informação.

Conformidade Legal

Garantir o respeito pela legislação aplicável.

Avalie o seu nível de risco em termos de segurança da informação

Faça o autodiagnóstico

Perguntas frequentes

 

Qual a finalidade da Norma NP ISO/IEC 27001:2013?

Visa garantir a confidencialidade, integridade e disponibilidade da informação procurando assegurar a valorização dos ativos de informação da organização. Salienta-se que ativos (algo com valor para a organização) estão relacionados com a imagem da organização, as pessoas, as metodologias, o software, os equipamentos e infraestruturas, os produtos e serviços, …

Quais são os requisitos da Norma NP ISO/IEC 27001:2013?

É uma das primeiras normas a seguir a designada estrutura de Alto Nível definida pela ISO para a uniformização das suas normas e o seu conteúdo é constituído por 10 Cláusulas: Contexto da Organização, Liderança, Planeamento, Recursos, Operação, Avaliação do desempenho e Melhoria.

Salienta-se que as organizações que implementam um sistema integrado, que responda a diferentes normas, podem beneficiar com a adoção desta estrutura e texto comum a diversas normas, em que apenas a cláusula 8-Operação tem um texto substancialmente diferente de norma para norma.

Em que se baseia a segurança da informação?

O sistema de gestão baseado nos requisitos da Norma NP ISO/IEC 27001:2013 permite a identificação e implementação de um conjunto de controlos para a proteção dos ativos de informação, considerando as ameaças e vulnerabilidades existentes, não esquecendo as políticas e objetivos da segurança da informação da organização.

A Norma NP ISO/IEC 27001:2013 permite exclusões?

Não são permitidas exclusões às diversas cláusulas da norma (da 4 à 10) mas pode haver exclusões ao anexo A. Tal situação é que evidenciado no certificado emitido pelo organismo certificador, uma vez que este menciona a Declaração de Aplicabilidade e as possíveis exclusões ao anexo A (este anexo tem 35 objetivo de controlo e mais de 100 controlos de ativos que podem ser aplicáveis).

Qual a legislação relacionada com a Segurança da Informação?

• Regulamento (EU) 2016/679 do Parlamento e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados)

• Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho

• Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativa à utilização dos dados dos registos de identificação dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave

• Entrada em vigor até maio de 2018 – legislação portuguesa em elaboração

• A violação das disposições previstas no Regulamento (EU) 2016/679, origina coimas até 20 000 000 EUR ou, no caso de uma empresa, até 4 % do seu volume de negócios anual a nível mundial.

 
 

Usamos cookies para melhorar a navegação dos nossos visitantes. Ao fechar esta mensagem aceita o uso de cookies

fechar