Gestão da Segurança da Informação – ISO/IEC 27001 e LGPD

ISO/IEC 27001 – REQUSITOS PARA SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos é um padrão internacional que estabelece os requisitos mínimos para que uma organização identifique, previna, detecte e reaja adequadamente a eventos que possam por em risco a segurança das informações da organização, dos seus funcionários, clientes e demais partes interessadas.

A estrutura desta norma é alinhada com as demais normas da família ISO, respeitando a HLS (High Level Structure, Estrutura de Alto Nível) desenhada no Anexo SL. Desta forma, a sua integração com as normas ISO 9001 (qualidade), ISO 22301 (Continuidade dos Negócios), ISO 37001 (Gestão Antissuborno) e demais normas correlatas é perfeitamente aplicável, aproveitando os elementos comuns entre todas as normas.

Os seguintes elementos são aqueles considerados chave para implementação e manutenção eficaz de um Sistema de Gestão de Segurança da Informação baseado na ISO/IEC 27001:

• Comprometimento da Liderança e Alta Direção - Nenhum Sistema de Gestão de Segurança da Informação baseado na ISO/IEC 27001 tem chance de sucesso se a Alta Direção da Organização e a Liderança dos processos estiver engajada nos objetivos do SGSI.
• Gestão de Riscos - A identificação, prevenção, detecção e tratamento dos riscos à segurança da informação é o conceito fundamental presente na ISO/IEC 27001.
• Competência dos Recursos Humanos - definição de elementos de qualificação (competência) quanto à formação, experiência, habilidades e conhecimentos específicos necessários e treinamentos (integração, treinamento on-the-job e reciclagem) para completo exercício das funções previstas cada colaborador.
• Planejamento e Implementação dos Controles Operacionais - A determinação dos controles aplicáveis à organização está definida predominantemente no Anexo A (Referência aos Controles e Objetivos dos Controles), evidenciada através da emissão de uma Declaração de Aplicabilidade, cuja sigla em inglês é SoA – Statement of Applicability, emitida pela organização sujeita a verificação por partes interessadas (clientes, por exemplo).
• Comprometimento da Cadeia de Fornecimento - A extensão dos requisitos aplicáveis à organização aos seus parceiros de negócio é fundamental para a Gestão da Segurança das Informações, pois as brechas por onde as informações podem ser acessadas e eventualmente vazadas podem estar em qualquer etapa da cadeia de fornecimento.

LGPD – Lei Geral de proteção de dados – Lei N° 13.709/18

A 13.709 de 20018, mais conhecida como Lei Geral de Proteção de Dados é fortemente inspirada na GDPR (General Data Protection Regulation) aplicável aos membros da União Europeia, e contem as diretrizes para o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

As principais etapas para implementação e atendimento a esta lei são:

• Realizar diagnóstico das práticas adotadas e procedimentos implantados (gap analysis)
• Treinar equipe de implantação
• Estudo da LGPD e demais leis que regulamentam o negócio
• Mapear a entrada e o tratamento dos dados pessoais
• Mapear os riscos e elaborar o Relatório de Impacto
• Criar a Política de Proteção de Dados e adaptar os documentos internos
• Gerenciar os pedidos dos titulares e dos órgãos
• Treinamento das equipes que tratam / lidam com os dados sensíveis
• Gerenciar a aplicação dos procedimentos
• Estender os procedimentos e políticas aplicáveis aos fornecedores
• Realizar auditoria interna (gap analysis) com referência à LGPD
• Realizar análise crítica dos resultados e planejar novo ciclo

Existe uma afinidade muito grande entre da LGPD – Lei Geral de Proteção de Dados e a ISO/IEC 27001 - Sistema de Gestão de Segurança da Informação, sendo que a certificação nesta última praticamente garante o atendimento à legislação.

OUTROS PADRÕES DE SEGURANÇA DA INFORMAÇÃO QUE FAZEM PARTE DA FAMÍLIA ISO/IEC 27001

Além da ISO/IEC 27001 outras normas fazem parte da família de padrões que definem requisitos para a adoção de sistemas de gestão de proteção das informações, entre eles:

• ISO/IEC 27003 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação.
• ISO/IEC 27004 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação.
• ISO/IEC 27701 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.

Nós podemos ajudá-lo

A PM Analysis assessora diversos clientes na implantação ou melhoria do seu sistema de gestão de segurança da informação. Os projetos são baseados em diagnósticos precisos e planejamento exaustivo, orientando a condução dos trabalhos de forma monitorada e eficaz.

As atividades de assessoria são conduzidas por consultores qualificados e experientes, com competência para propor soluções simples e eficazes para os diversos processos que compõem o Sistema de Gestão de Segurança da Informação da sua organização.

Simplicidade, criatividade, respeito à cultura e aos recursos disponíveis em cada empresa são as nossas principais premissas nas decisões tomadas em conjunto com o cliente.

Para saber mais consulte em nossa seção de artigos outros textos sobre o tema.