Skip to main content
Rate this post

Para ter a certeza de que as informações sensíveis da sua empresa estão absolutamente seguras, precisa de implementar a ISO 27001, ou seja, um Sistema de Gestão de Segurança da Informação (SGSI) que proteja a confidencialidade, integridade e disponibilidade de dados. Porém, a que etapas do processo de certificação tem de obedecer para implementar esse conjunto de requisitos e controlos para gerir riscos?

 Porque devo implementar a ISO 27001 na minha empresa?

Porque a norma ISO 27001 vai ajudar a sua empresa a adotar um modelo reconhecido internacionalmente como um modelo eficaz para estabelecer um Sistema de Gestão de Segurança da Informação. E fá-lo, identificando potenciais problemas que podem ocorrer com a informação na sua empresa e implementando as ações necessárias para os resolver e prevenir no futuro. 

Desta forma, a ISO 27001 mantém o seu negócio em conformidade com leis e regulamentos nacionais e internacionais, como o Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia. E além disso, passa uma ideia de profissionalismo e credibilidade, mostrando aos seus diferentes públicos internos e externos, comprometimento com a confidencialidade e integridade dos dados, o que melhora a vantagem competitiva no mercado.

A certificação ISO 27001 é obrigatória?

Conheça as vantagens ISO 27001 para empresas e clientes!

Não, mas é aconselhada e até imposta pelo mercado em algumas áreas de atividade que colocam a ISO 27001 como requisito de contratação obrigatório, por exemplo em concursos públicos ou grandes grupos económicos.

A minha empresa faz parte do grupo de negócios que deve implementar a ISO 27001?

Seguramente que sim! Independentemente do tamanho e área de atuação, todas as empresas que tenham de armazenar dados e informações, possuam um Sistema de Gestão de Segurança da Informação e/ou tenham uma política de proteção de dados devem obter a certificação ISO 27001.

Como implementar a ISO 27001 na minha empresa?

Embora não exista um caminho rápido e fácil para implementar a ISO 27001 na sua empresa (soluções eficazes e rentáveis demoram o seu tempo), podemos facilitar-lhe o trabalho, resumindo as 5 grandes etapas para obter a certificação:

  • Entender o contexto da empresa

A primeira grande etapa para implementar a ISO 27001 é a análise e compreensão das características e necessidades da sua empresa, para definição dos objetivos internos e políticas do SGSI.

  • Avaliar os riscos

A segunda etapa é a avaliação de todos os processos empresariais internos relacionados com a segurança da informação, para a identificação e classificação de riscos associados.

  • Estabelecer controlos operacionais

A terceira etapa é a implementação de controlos operacionais nos processos internos, para controlo, diminuição ou mesmo eliminação dos riscos e perigos identificados na etapa anterior.

  • Fazer a análise de eficácia

A quarta etapa é a análise de eficácia, para monitorização do desempenho dos controlos operacionais implementados na sua empresa de modo a garantir a segurança de todos os dados sensíveis. E sim, é nesta etapa da implementação ISO 27001 que entra a tão temida auditoria interna que (avisamo-lo já!) pode obrigar a alguns ajustes ou alterações.

  • Insistir na melhoria contínua

A quinta e última etapa para implementar a ISO 27001 é a melhoria contínua, que é suposto fazer de forma constante a partir do momento em que obtém a certificação. 

O objetivo é garantir que todos os processos estão a ser avaliados regularmente, que os riscos estão a ser geridos de forma eficaz e que os novos controlos operacionais estão a ser identificados na senda de um Sistema de Gestão de Segurança da Informação em melhoria contínua. 

Quais são os controlos internos que devo avaliar?

De acordo com o Anexo A da norma ISO 27001, devem ser avaliados vários controlos internos na sua empresa, entre os quais destacamos:

  • Organização Interna
  • Dispositivos móveis
  • Controlo de acesso à informação
  • Segurança de dados
  • Segurança física
  • Segurança em trabalho remoto
  • Segurança em Recursos Humanos
  • Segurança nas operações
  • Segurança nos equipamentos
  • Segurança em desenvolvimento e suporte
  • Criptografia
  • Proteção contra malware
  • Copias de segurança
  • Controle de software operacional
  • Gestão de vulnerabilidades
  • Transferência de informação
  • Gestão de incidentes
  • Requisitos legais

Quanto tempo demoro a obter a certificação ISO 27001?

O tempo de implementação do Sistema de Gestão de Segurança da Informação varia de acordo com a realidade, maturidade e dimensão da sua empresa. Mas existem alguns fatores em concreto que podem acelerar ou prolongar o processo, desde logo a equipa que fará parte do projeto. Se a equipa designada tiver formação adequada e conhecimento de causa a nível dos processos internos da sua empresa e ainda, todo o tempo disponível para se dedicar a este projeto, a implementação é mais rápida. 

Porém, o método de certificação escolhido também influencia o tempo que vai demorar a obter a certificação. Na Templum, por exemplo, disponibilizamos consultoria online para agilizarmos a implementação ISO 27001.

Em suma, se tiver uma equipa com o conhecimento, comprometimento e disponibilidade necessária para obter a certificação, e optar por uma consultoria remota, consegue implementar a ISO 27001 num ano, em média. Seguindo outro caminho pode demorar mais tempo, mas em todo o caso o mais importante é não deixar de apostar na segurança da informação para obter a certificação.

Quanto custa a implementação ISO 27001?

O preço da certificação ISO 27001 depende das especificidades da sua empresa: número de colaboradores envolvidos, número de locais envolvidos, número de ativos de informação envolvidos, etc. Portanto, para obter uma estimativa, nada como clicar aqui e solicitar uma proposta à Templum!