• Rua Barão de Itapetininga, 124 - CJ 122 - São Paulo - SP
  • (11) 5062-3521
  • consulte@pmanalysis.com

Serviços

Gestão da Segurança da Informação – ISO/IEC 27001 e LGPD

Proteja dados, assegure conformidade e fortaleça a confiança com gestão de segurança da informação eficaz.

Em uma época onde a troca de informações em todos os níveis ocorre quase que exclusivamente por meios virtuais, a privacidade é um ativo extremamente valorizado, e uma preocupação onipresente nas pessoas físicas e jurídicas em todo o mundo. De modo cada vez mais frequente assistimos a episódios de vazamento de informações, acidentais ou deliberados, que colocam em risco a segurança dos dados particulares, e expõem informações que podem ter o poder de arruinar negócios e reputações em diversos níveis.

Apesar de a maioria das organizações supor que suas informações são seguras, a tecnologia utilizada por invasores e ladrões de dados é extremamente evoluída e constantemente renovada, o que coloca em dúvida a real eficácia dos sistemas de gestão de segurança da informação atualmente implantados nessas organizações.

ISO/IEC 27001 – Requsitos para sistemas de gestão da segurança da informação

Para ajudar as organizações a padronizarem estas atividades, processos e recursos, a ISO (International Organization for Standardization) estabeleceu desde o ano de 1996 a série ISO 14000, um conjunto de normas que evoluiu ao longo do tempo para fornecer orientações às organizações que buscam identificar e controlar os seus aspectos ambientais significativos, bem como demonstrar a conformidade com a legislação e melhor o seu relacionamento com as partes interessadas.

A norma ISO 14001 (Sistema de Gestão Ambiental – Requisitos com Orientações para Uso) é a norma que estabelece os requisitos necessários para que uma organização seja certificada de acordo com ela. Estes requisitos são fundamentalmente voltados para a melhoria da gestão ambiental da empresa. Trata-se de uma estrutura relativamente simples, mas que orienta de maneira muito eficiente a organização interessada em identificar, gerenciar e controlar seus aspectos ambientais significativos.

Exemplos de alguns requisitos importantes e extremamente aplicáveis a qualquer empresa:

  • Abordagem de oportunidades e riscos - reconhecimento das forças, fraquezas, oportunidades e ameaças aos distintos processos de negócios e estabelecimento de controles e planos de ação para a melhoria ou para a prevenção de desvios, conforme o enfoque ser positivo ou negativo, respectivamente.
  • Determinação dos Aspectos Ambientais - Identificação dos aspectos e impactos ambientais significativos e os controles a eles aplicados para prevenir, monitorar ou atenuar a manifestação de eventos com efeitos adversos.
  • Gestão de Requisitos Legais - Necessidade de acesso, identificação e demonstração da conformidade com a legislação ambiental aplicável geradora de obrigações.
  • Gestão de Fornecedores - Qualificação, supervisão controle sobre fornecedores e prestadores de serviços que possam causar impactos ambientais.
  • Preparação para Resposta a Emergências - A organização deve estabelecer planos de atendimento para a manifestação de cenários acidentais e se preparar para executá-los em caso de sua ocorrência.
  • Monitoramento - Os parâmetros ambientais relevantes para a empresa ou identificados na legislação (consumo de recursos naturais, efluentes hídricos, emissões atmosféricas, resíduos sólidos, ruído etc.) devem ser monitorados para acompanhar eventuais desvios.
  • Tratamento de Não conformidades e ações corretivas - Oregistros dos desvios constatados em processos, produtos, serviços, atividades, análise das causas e estabelecimento de providências para prevenir a reincidências.

A ISO 14001 é uma norma cada vez mais presente nas organizações. Além de ser muito útil para a estruturação de um sistema preocupado com os aspectos ambientais, ela é exigida por várias organizações aos seus fornecedores, além de serem requisitos obrigatórios ​para certos tipos de financiamento e para a operação em determinados setores (portuário, por exemplo).

LGPD – Lei Geral de proteção de dados – Lei N° 13.709/18

A 13.709 de 20018, mais conhecida como Lei Geral de Proteção de Dados é fortemente inspirada na GDPR (General Data Protection Regulation) aplicável aos membros da União Europeia, e contem as diretrizes para o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

As principais etapas para implementação e atendimento a esta lei são:

  • Realizar diagnóstico das práticas adotadas e procedimentos implantados (gap analysis)
  • Treinar equipe de implantação
  • Estudo da LGPD e demais leis que regulamentam o negócio
  • Mapear a entrada e o tratamento dos dados pessoais
  • Mapear os riscos e elaborar o Relatório de Impacto
  • Criar a Política de Proteção de Dados e adaptar os documentos internos
  • Gerenciar os pedidos dos titulares e dos órgãos
  • Treinamento das equipes que tratam / lidam com os dados sensíveis
  • Gerenciar a aplicação dos procedimentos
  • Estender os procedimentos e políticas aplicáveis aos fornecedores
  • Realizar auditoria interna (gap analysis) com referência à LGPD
  • Realizar análise crítica dos resultados e planejar novo ciclo


Existe uma afinidade muito grande entre da LGPD – Lei Geral de Proteção de Dados e a ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação, sendo que a certificação nesta última praticamente garante o atendimento à legislação.

Uutros padrões de segurança da informação que fazem parte da família ISO/IEC 27001

Além da ISO/IEC 27001 outras normas fazem parte da família de padrões que definem requisitos para a adoção de sistemas de gestão de proteção das informações, entre eles:

ISO/IEC 27003 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação.

ISO/IEC 27004 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação.

ISO/IEC 27701 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.

Nós podemos ajudá-lo

A PM Analysis assessora diversos clientes na implantação ou melhoria do seu sistema de gestão de segurança da informação. Os projetos são baseados em diagnósticos precisos e planejamento exaustivo, orientando a condução dos trabalhos de forma monitorada e eficaz.

As atividades de assessoria são conduzidas por consultores qualificados e experientes, com competência para propor soluções simples e eficazes para os diversos processos que compõem o Sistema de Gestão de Segurança da Informação da sua organização.

Simplicidade, criatividade, respeito à cultura e aos recursos disponíveis em cada empresa são as nossas principais premissas nas decisões tomadas em conjunto com o cliente.

Para saber mais consulte em nossa seção de artigos outros textos sobre o tema.

A PM Analysis oferece soluções em gestão com excelência, ética e resultados desde 1997.

Instagram Linkedin Youtube Facebook
Links Rápidos
Informações importantes
Localização

Rua Barão de Itapetininga, 124 - CJ 122 - República São Paulo/SP - 01042-000

E-mail

consulte@pmanalysis.com

Telefone

(11) 5062-3521

Entre em Contato
PM Driver

Copyright PM Analysis – Todos os direitos reservados 2025.

Política de Privacidade

Abrir bate-papo
Entre em contato
PM Analysis
Olá 👋
Podemos ajudar você?