Segue abaixo algumas das principais dúvidas em relação ao processo de certificação na norma ISO 27001.

Esperamos que a lista abaixo possa elucidar suas dúvidas.

1. O que é segurança da informação?

Segurança da informação é a proteção da informação contra vários tipos de ameaças de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de negócios. A segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade.

2. Qual é a importância que as organizações dão hoje a ISO 27001?

Todas as grandes organizações do mundo, sejam públicas ou privadas, já tomaram conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas organizações já estão incorporando os controles das normas em suas políticas de segurança.

3. Qual é a importância da ISO 27001?

Ela permite que uma empresa construa de forma muito rápida uma política de segurança baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas.

4. Essas normas se aplicam a qualquer tipo de organização?

As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações.

5. O que é SGSI?

Sistema de Gestão de Segurança da Informação é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma empresa que implante a norma ISO 27001 acaba por constituir um SGSI.

6. Quais são as etapas para se constituir um SGSI?

Em primeiro lugar, deve-se definir quais são seus limites (sua abrangência física, lógica e pessoal). Depois devem ser relacionados os recursos que serão protegidos. Em seguida relaciona-se quais são as possíveis ameaças a esses recursos, quais são as vulneráveis a que eles estão submetidos e qual seria o impacto da materizalização dessas ameaças. Por fim,com base nessas informações, são priorizados os controles necessários para garantir a segurança desses recursos.

7. Para implantar a norma em uma empresa é obrigatório empregar todos os seus controles?

Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições existentes na empresa. Por exemplo, se a empresa não tem acesso remoto de usuários, todos os controles referentes a esse tipo de acesso podem ser ignorados.

8. O que é a Declaração de Aplicabilidade?

É um documento exigido pela NBR ISO IEC 27001 no qual a empresa tem que relacionar quais controles do Anexo A são aplicáveis e justificar os que não são aplicáveis ao seu SGSI.

9. Para que serve a certificação?

Ela comprova, para as empresas certificadas, que a segurança da informação está garantida de forma efetiva, o que não significa, contudo, que a empresa esteja imune a violações de segurança. Além disso, a certificação comprova, para os clientes e fornecedores da empresa, o a preocupação que esta tem com a segurança da informação, reforçando sua imagem junto ao mercado. Dependendo da atividade da empresa, essa certificação pode ser essencial para a realização de certos negócios.

10. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna?

Sim. Na realidade, a maior parte das empresas a emprega dessa forma, uma vez que elas
ainda não identificaram a necessidade ou a possibilidade de realizarem o processo de
certificação.