Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Conformidade com a ISO 27001: O que Você Precisa Saber

Conformidade com a ISO 27001: O que Você Precisa Saber

Jan 20, 2021

ISO/IEC 27001 é um conjunto de normas internacionais desenvolvidas para orientar a segurança da informação. Seus padrões componentes, como ISO/IEC 27001:2013, são projetados para ajudar organizações a implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (ISMS).

A conformidade com a ISO 27001 não é obrigatória. No entanto, em um mundo onde hackers visam incansavelmente seus dados e mais data privacy impõem penalidades severas, seguir os padrões ISO ajudará você a reduzir riscos, cumprir com os requisitos legais, diminuir seus custos e alcançar uma vantagem competitiva. Em resumo, a certificação ISO 27001 ajudará seu negócio a atrair e reter clientes.

Este artigo detalha os requisitos centrais da ISO 27001, controles de segurança relacionados e etapas no processo de certificação. Também oferece dicas para manter a conformidade com a ISO 27001 e explica como as soluções da Netwrix podem ajudar.

O que é ISO 27001?

A ISO/IEC 27001 é um conjunto de padrões de tecnologia da informação projetados para ajudar organizações de qualquer tamanho em qualquer indústria a implementar um sistema de gestão de segurança da informação eficaz. A norma utiliza uma abordagem de cima para baixo, baseada em risco e é neutra em relação à tecnologia.

A gestão de riscos é a ideia central da ISO 27001: Você deve identificar informações sensíveis ou valiosas que requerem proteção, determinar as várias maneiras pelas quais os dados podem estar em risco e implementar controles para mitigar cada risco. Risco inclui qualquer ameaça à confidencialidade, integridade ou disponibilidade dos dados. A norma fornece uma estrutura para a escolha de controles e processos apropriados.

Conteúdo relacionado selecionado:

Em particular, a ISO 27001 exige que você:

  • Identifique os stakeholders e suas expectativas do ISMS
  • Defina o escopo do seu ISMS
  • Defina uma política de segurança
  • Realize uma avaliação de risco para identificar riscos de dados existentes e potenciais
  • Defina controles e processos para gerenciar esses riscos
  • Estabeleça objetivos claros para cada iniciativa de segurança da informação
  • Implemente controles e outros métodos de tratamento de risco
  • Meça e melhore continuamente o desempenho do ISMS

Requisitos e Controles de Segurança

Requisitos da ISO 27001

O padrão contém duas partes principais. A primeira seção apresenta definições e requisitos nas seguintes cláusulas numeradas:

  1. Introdução — Descreve o processo para gerenciar sistematicamente os riscos de informação
  2. Escopo — Especifica requisitos genéricos de ISMS adequados para organizações de qualquer tipo, tamanho ou natureza
  3. Referências Normativas — Lista outros padrões que contêm informações adicionais relevantes para determinar a conformidade com a ISO 27001 (apenas um, ISO/IEC 27000, está listado)
  4. Termos e Definições — Explica os termos mais complexos usados no padrão
  5. Organizational Context — Explains why and how to define the internal and external issues that can affect an enterprise’s ability to build an ISMS, and requires the organization to establish, implement, maintain and continually improve the ISMS
  6. Liderança — Exige que a alta direção demonstre liderança e comprometimento com o ISMS, estabeleça políticas e atribua papéis e responsabilidades de segurança da informação
  7. Planejamento — Define processos para identificar, analisar e planejar o tratamento de riscos de informação e esclarecer o objetivo das iniciativas de segurança da informação
  8. Suporte: Exige que as organizações atribuam recursos adequados, aumentem a conscientização e preparem toda a documentação necessária
  9. Operação — Detalha como avaliar e tratar riscos de informação, gerenciar mudanças e garantir a devida documentação
  10. Avaliação de Desempenho — Exige que as organizações monitorem, meçam e analisem seus controles de gerenciamento de segurança da informação e processos
  11. Melhoria — Exige que as organizações refinem continuamente seu ISMS, incluindo o endereçamento das descobertas de auditorias e revisões

Objetivos de Controle de Referência e Controles

A segunda parte, Anexo A, detalha um conjunto de controles que podem ajudá-lo a cumprir os requisitos da primeira seção. Sua organização deve selecionar os controles que melhor atenderão às suas necessidades específicas e fique à vontade para complementar com outros controles conforme necessário.

Os controles estão agrupados nos seguintes domínios:

  • Políticas de Segurança da Informação — Para garantir que as políticas sejam escritas e revisadas de acordo com as práticas de segurança da organização e direção geral
  • Organização da Segurança da Informação — Para atribuir responsabilidades por tarefas específicas
  • Segurança de Recursos Humanos — Para garantir que os funcionários e contratados compreendam suas responsabilidades.
  • Gestão de Ativos — Para garantir que as organizações identifiquem seus ativos de informação e definam responsabilidades de proteção adequadas
  • Controles de Acesso — Para garantir que os funcionários possam visualizar apenas informações relevantes para seus trabalhos
  • Criptografia — Para criptografar dados a fim de garantir confidencialidade e integridade.
  • Segurança Física e Ambiental — Para prevenir o acesso físico não autorizado, danos ou interferências nas instalações ou dados, e controlar equipamentos para evitar perda, danos ou roubo de software, hardware e arquivos físicos
  • Segurança das Operações — Para garantir que as instalações de processamento de informações estejam seguras
  • Segurança das Comunicações — Para proteger redes de informação
  • Aquisição, Desenvolvimento e Manutenção de Sistemas — Para garantir a segurança tanto de sistemas internos quanto daqueles que fornecem serviços em redes públicas
  • Relacionamentos com Fornecedores — Para gerenciar adequadamente os acordos contratuais com terceiros
  • Gestão de Incidentes de Segurança da Informação — Para garantir a gestão e o relatório eficazes de incidentes de segurança
  • Aspectos de Segurança da Informação da Gestão de Continuidade dos Negócios — Para minimizar interrupções nos negócios
  • Conformidade — Para garantir a adesão às leis e regulamentos relevantes e mitigar os riscos de não conformidade

Conformidade e Certificação ISO 27001

Benefícios

Ao atender voluntariamente aos requisitos da ISO 27001, sua organização pode reduzir proativamente os riscos de segurança da informação e melhorar sua capacidade de cumprir com as obrigações de proteção de dados. Ao dar um passo além e obter a certificação ISO 27001, você demonstrará seu compromisso com a proteção dos seus ativos de dados a clientes, parceiros, fornecedores e outros. Construir essa confiança pode elevar a reputação da sua empresa e proporcionar uma vantagem competitiva

Documentos Obrigatórios

São necessários múltiplos documentos para demonstrar a conformidade com a ISO 27001, incluindo os seguintes:

  • Escopo do ISMS (cláusula 4.3)
  • Política de Segurança da Informação (cláusula 5.2)
  • Objetivos de Segurança da Informação (cláusula 6.2)
  • Evidência de Competência das Pessoas que Trabalham em Segurança da Informação (cláusula 7.2)
  • Resultados da Avaliação de Risco da Informação (cláusula 8.2)
  • Programa de Auditoria Interna ISMS e Resultados das Auditorias Realizadas (cláusula 9.2)
  • Evidências de Revisões de Liderança do ISMS (cláusula 9.3)
  • Evidências de Não Conformidades Identificadas e Ações Corretivas Decorrentes (cláusula 10.1)

Definindo o Escopo do ISMS

Um dos principais requisitos para a implementação da ISO 27001 é definir o escopo do ISMS. Para fazer isso, você precisa seguir os seguintes passos:

  1. Inventarie todas as informações que você armazena em qualquer forma, física ou digital, local ou na nuvem.
  2. Identifique as várias maneiras pelas quais as pessoas podem acessar informações.
  3. Determine quais dados estão dentro do escopo para o seu ISMS e quais estão fora do escopo. Por exemplo, informações sobre as quais sua organização não tem controle estariam fora do escopo do seu ISMS.

Processo de Certificação

O processo de certificação ISO 27001 envolve as seguintes etapas:

  1. Desenvolva um ISMS que inclua políticas, procedimentos, pessoas e tecnologia.
  2. Realize uma revisão interna para identificar não conformidades e ações corretivas.
  3. Convide auditores para realizar uma revisão básica do ISMS.
  4. Corrija os problemas que os auditores encontrarem.
  5. Tenha um órgão certificador acreditado para realizar uma auditoria aprofundada dos componentes da ISO 27001 para verificar se você seguiu as políticas e procedimentos.

A certificação pode levar de três a doze meses. Para melhorar a relação custo-benefício do processo de certificação, muitas organizações realizam uma análise preliminar das lacunas em relação ao padrão para ter uma ideia do esforço necessário para implementar quaisquer mudanças necessárias.

Custo da Certificação

O custo da certificação depende de muitas variáveis, portanto, cada organização terá um orçamento diferente. Os principais custos estão relacionados com treinamento e literatura, assistência externa, tecnologias a serem atualizadas ou implementadas, tempo e esforço dos funcionários e a própria auditoria de certificação.

Duração da Certificação

Uma vez que obtenha a certificação, deve realizar auditorias internas regulares. O órgão de certificação reaudita pelo menos anualmente e verificará o seguinte:

  • Encerramento de todas as não conformidades da última visita
  • Operação de ISMS
  • Atualizações da documentação
  • Revisões de gestão de riscos
  • Ações corretivas
  • Monitoramento e medição do desempenho do ISMS

Dicas para Alcançar e Manter a Conformidade com a ISO 27001

  • O apoio dos stakeholders é crucial para uma certificação bem-sucedida. Comprometimento, orientação e recursos de todos os stakeholders são necessários para identificar mudanças necessárias, priorizar e implementar ações de remediação e garantir a revisão e melhoria regulares do ISMS.
  • Defina o impacto da ISO 27001 em sua organização.Considere as necessidades e requisitos de todas as partes interessadas, incluindo reguladores e funcionários. Observe os fatores internos e externos que influenciam a segurança da sua informação.
  • Escreva uma Declaração de Aplicabilidade. A declaração detalha quais controles ISO 27001 se aplicam à sua organização.
  • Realize avaliações de risco e remediação regularmente. Para cada avaliação, escreva um plano de tratamento de risco que detalhe se cada risco será tratado, tolerado, terminado ou transferido.
  • Avalie o desempenho do ISMS. Monitore e meça seu ISMS e controles.
  • Implemente programas de treinamento e conscientização. Forneça a todos os funcionários e contratados treinamento sobre seus processos e procedimentos de segurança e aumente a data security conscientização em toda a organização.
  • Realize auditorias internas. Descubra e remedeie problemas antes que auditorias externas os encontrem.

Como a Netwrix Auxilia na Conformidade com a ISO 27001

A Netwrix Data Security Platform ajuda você a alcançar e manter a conformidade com a ISO 27001, permitindo que você:

Conclusão

Agora que a segurança de dados é mais essencial para o sucesso do que nunca, a certificação ISO 27001 oferece uma vantagem competitiva valiosa. Utilizando os requisitos e controles do padrão, você poderá estabelecer e melhorar continuamente o seu sistema de gestão de segurança da informação, demonstrando seu compromisso com a segurança de dados a parceiros e clientes.

FAQ

1. Qual é o propósito da ISO 27001?

A norma ISO 27001 foi desenvolvida para ajudar organizações de qualquer tamanho em qualquer indústria a proteger seus dados por meio do uso eficaz de um sistema de gestão de segurança da informação (ISMS).

2. Qual é a norma ISO 27001 mais recente?

A última versão oferecida pela ISO/IEC é a 27001:2013. Há uma atualização regional da UE chamada ISO/IEC 27001:2017.

3. Quais são os requisitos da ISO 27001?

A ISO 27001 exige que as organizações:

  • Entenda o contexto organizacional
  • Demonstre liderança e comprometimento com o ISMS e atribua papéis e responsabilidades de segurança da informação
  • Desenvolva um plano para identificar, analisar e tratar riscos da informação
  • Atribua recursos adequados para suportar o ISMS
  • Realize avaliação e tratamento de risco operacional
  • Avalie o desempenho do ISMS
  • Melhore continuamente o ISMS

4. Por que a ISO 27001 é importante?

A ISO 27001 protege a confidencialidade, integridade e disponibilidade das informações dentro de uma organização e conforme são compartilhadas por terceiros.

5. Qual é a diferença entre ISO 27001 e ISO 27002?

ISO 27001 é o padrão central na série ISO 27000 e contém os requisitos de implementação para um ISMS. ISO 27002 é um padrão complementar que detalha os controles de segurança da informação que as organizações podem escolher implementar, expandindo as descrições breves no Anexo A do ISO 27001.

6. Qual é a diferença entre NIST e ISO 27001?

O NIST é uma organização de padrões dos EUA comparável à ISO. NIST 800-53 é mais focado em controles de segurança do que a ISO 27001, com uma variedade de grupos contribuindo com as melhores práticas relacionadas a sistemas de informação federais. A ISO 27001 é menos técnica e mais focada em riscos, e é aplicável para organizações de todos os tamanhos e em todos os setores.

7. Qual é a diferença entre SOX e ISO 27001?

ISO 27001 é uma norma internacional voluntária para a implementação de um ISMS. SOX 404 é uma lei dos EUA que todas as empresas de capital aberto nos EUA devem seguir.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Mike Tierney

Ex-VP de Sucesso do Cliente

Ex-VP de Sucesso do Cliente na Netwrix. Ele tem uma experiência diversificada construída ao longo de 20 anos na indústria de software, tendo ocupado os cargos de CEO, COO e VP de Gestão de Produtos em várias empresas focadas em segurança, conformidade e aumento da produtividade das equipes de TI.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança