ASSESSORIA ISO 27001 – SEGURANÇA DA INFORMAÇÃO

A PM Analysis pode proporcionar assessoria em segurança da informação com base na norma ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos, realizando uma série de serviços, dentre os quais:

• Gap Analysis (diagnóstico)
• Treinamento para grupo de implantação
• Implantação / adequação do sistema de gestão
• Auditorias internas
• Configuração / revisão da declaração de aplicabilidade

FINALIDADES DA ASSESSORIA ISO 27001

Como as demais normas de sistemas de gestão a ISO 27001 é uma referência normativa válida para certificação. Nessa visão, é importante caracterizar o ciclo do PDCA (Plan-Do-Check-Action) com ênfase nos seguintes pilares:

• Documentação do sistema estabelecida para nortear e detalhar os critérios, procedimentos, controles e registros que envolvem tanto a estrutura organizacional e governança quanto os processos da gestão da segurança da informação.
• Qualificação de pessoal definição de quesitos funcionais (competência) quanto à formação, experiência e habilidades /conhecimentos específicos requeridos e treinamentos (incluindo a integração, treinamento no posto de trabalho e reciclagem) para pleno exercício das atividades previstas para a função.
• Sistemática de execução Demonstração (comprovação) através de registros de que as práticas e os controles ao longo do tempo condizem com o que está previsto nos padrões estabelecidos (políticas, procedimentos, instruções).
• Análise de eficácia A partir do tratamento de dados, os realizadores e gestores dos processos, nos distintos níveis da organização, conduzem a análise de anomalias e resultados indesejáveis para definição de planos de ação com providências para eliminação das causas identificadas (incluindo as potenciais) dos problemas.

Independentemente do objetivo de buscar a certificação do sistema de gestão e dependendo do porte da organização, a assessoria iso 27001 também pode ser conduzida para a obtenção dos seguintes propósitos:

• Declaração de Aplicabilidade (Anexo A da norma de referência), cuja sigla em inglês é SoA Statement of Applicability, emitida pela Empresa sujeita a verificação por partes interessadas (clientes, por exemplo).
• Autodeclaração de conformidade do Fornecedor (usando a norma de referência), cuja sigla em inglês é SDoC Supplier´s Declaration of Conformity emitida pela Empresa sujeita a verificação por partes interessadas (clientes).
• Qualquer uma das situações anteriores submetida a avaliação e confirmada por órgão independente, sem estabelecer contrato de certificação com o órgão independente.

ASSESSORIA ISO 27001 – CONTROLES REQUERIDOS

O ponto chave na assessoria iso 27001 é a configuração da declaração de aplicabilidade do Sistema de Gestão de Segurança da Informação – SGSI, para atendimento à Norma de Referência quanto ao requisito 6.1.3 d) que especifica:

“elaborar uma declaração de aplicabilidade que contenha os controles necessários (ver 6.1.3 b) e c)), e a justificativa para inclusões, sejam eles implementados ou não, bem como a justificativa para exclusão dos controles do Anexo A”

Portanto, sendo o Anexo A uma condição normativa, é necessário que seja sinalizada a aplicabilidade dos 115 controles indicados com a devida justificativa para os que forem excluídos bem como o apontamento de detalhes sobre os controles aplicáveis (de prevenção, de monitoramento ou de atenuação) para as causas que possam gerar os riscos à segurança da informação.

SAIBA MAIS SOBRE A ASSESSORIA ISO 27001

Entre em contato conosco para obter mais informações sobre a assessoria iso 27001 nos seguintes canais:

consulte@pmanalysis.com

Telefone: (11) 5062 3521