Princípios e requisitos da ISO 27001

1 — Contexto da Organização

Diferentes organizações de diferentes setores estão potencialmente expostas a diferentes fatores, quer internos quer externos, capazes de constituir ameaças à forma como gerem a informação. Aqui entram as características técnicas dos sistemas de informação, as expetativas das partes interessadas, requisitos legais, obrigações contratuais, informação particularmente sensível, entre outras questões.

2 — Âmbito do SGSI

Um Sistema de Gestão da Segurança da Informação (SGSI) deve ser planeado tendo em conta o seu âmbito de aplicação, isto é, definindo os processos e atividades envolvidos, os tipos de informação a monitorizar e proteger e, por oposição, definindo também os seus limites, técnicos ou outros. Para maior efetividade, o SGSI deve integrar os sistemas e processos de gestão em funcionamento na organização.

3 — Liderança

A liderança da organização tem um papel fundamental na definição e manutenção deste sistema de gestão. É aos responsáveis hierárquicos que cabe a redação de uma política de segurança da informação, a sua integração nos processos da organização, a comunicação dos seus princípios através da cadeia hierárquica e a promoção contínua do tema no seu seio, incluindo a disponibilização de formação adequada à sua força de trabalho.

4 — Planeamento

O planeamento é fundamental, nomeadamente no que diz respeito ao estabelecimento de processos de gestão do risco e oportunidades no âmbito do SGSI, incluindo: critérios de risco, identificação de ameaças, avaliação de riscos associados a cada perigo, medidas de mitigação e controlo, incluindo planos para o tratamento de risco, não esquecendo a definição de objetivos em Segurança da Informação.

5 — Suporte

Por suporte entende-se a aquisição e alocação de todos os recursos necessários à efetiva implementação do sistema de gestão. Podem considerar-se aqui infraestruturas (ex.: servidores e software), meios humanos (ex.: colaboradores especializados ou fornecedores externos) e competências técnicas (ex.: formação ou ações de sensibilização).

6 — Operação

É nesta fase que se concretiza toda a execução dos planos e processos acima definidos. É importante referir que a fase de operações deve ser acompanhada por uma produção atenta e bem-organizada de documentação, capaz de detalhar todas as atividades desempenhadas. Só assim será possível, em fase posterior, avaliar o trabalho desenvolvido e detetar eventuais problemas e riscos a corrigir.

7 — Avaliação de desempenho

Sem surpresas, a fase de avaliação de desempenho procura assegurar a qualidade do trabalho desenvolvido, sendo o garante da efetividade do SGSI e potenciando a introdução de melhorias futuras, assim como a minimização de problemas detetados, alimentando os processos de auditoria interna.

8 — Melhoria

Qualquer problema ou não-conformidade detetada na fase de avaliação deve originar uma intervenção rápida, seja no sentido de minimizar potenciais perdas e danos, seja com o intuito de evitar a sua reprodução futura. Qualquer vulnerabilidade do ponto de vista da segurança da informação pode ter fortes impactos a nível reputacional e legal, nomeadamente no quadro do RGPD, onde as coimas são calculadas com base no volume de vendas anual de uma organização. 

Conheça os nossos serviços de Cibersegurança:

• Auditorias Segurança da Informação
• Certificação ISO 27001

Se pretende saber mais sobre a ISO 27001 e Sistemas de Gestão de Segurança da Informação, descubra os nossos cursos >>

Para mais informações ou inscrições, por favor contacte:
tel: 808 200 747 (Seg. a Sex. das 9h às 18h) 
@:pt.info@sgs.com

SOBRE A SGS

Somos a SGS - a empresa líder mundial em testes, inspeção e certificação. Somos reconhecidos como a referência mundial em qualidade e integridade. Os nossos 96.000 colaboradores operam numa rede de 2.600 escritórios e laboratórios, e trabalham em conjunto para possibilitar um mundo melhor, mais seguro e interligado.