GESTÃO DA SEGURANÇA E PRIVACIDADE DA INFORMAÇÃO

ISO/IEC 27001, ISO/IEC 27701 E LGPD

Em uma época onde a troca de informações em todos os níveis ocorre quase que exclusivamente por meios virtuais, a privacidade é um ativo extremamente valorizado, e uma preocupação onipresente nas pessoas físicas e jurídicas em todo o mundo. De modo cada vez mais frequente assistimos a episódios de vazamento de informações, acidentais ou deliberados, que colocam em risco a segurança dos dados particulares, e expõem informações que podem ter o poder de arruinar negócios e reputações em diversos níveis.

Apesar de a maioria das organizações supor que suas informações são seguras, a tecnologia utilizada por invasores e ladrões de dados é extremamente evoluída e constantemente renovada, o que coloca em dúvida a real eficácia dos sistemas de gestão de segurança da informação atualmente implantados nessas organizações.

ISO/IEC 27001

REQUSITOS PARA SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos é um padrão internacional que estabelece os requisitos mínimos para que uma organização identifique, previna, detecte e reaja adequadamente a eventos que possam por em risco a segurança das informações da organização, dos seus funcionários, clientes e demais partes interessadas.

A estrutura desta norma é alinhada com as demais normas da família ISO, respeitando a HLS (High Level Structure, Estrutura de Alto Nível) desenhada no Anexo SL. Desta forma, a sua integração com as normas ISO 9001 (qualidade), ISO 22301 (Continuidade dos Negócios), ISO 37001 (Gestão Antissuborno) e demais normas correlatas é perfeitamente aplicável, aproveitando os elementos comuns entre todas as normas.

Os seguintes elementos são aqueles considerados chave para implementação e manutenção eficaz de um Sistema de Gestão de Segurança da Informação baseado na ISO/IEC 27001:

  • Comprometimento da Liderança e Alta Direção - Nenhum Sistema de Gestão de Segurança da Informação baseado na ISO/IEC 27001 tem chance de sucesso se a Alta Direção da Organização e a Liderança dos processos estiver engajada nos objetivos do SGSI.

  • Gestão de Riscos - A identificação, prevenção, detecção e tratamento dos riscos à segurança da informação é o conceito fundamental presente na ISO/IEC 27001.

  • Competência dos Recursos Humanos - definição de elementos de qualificação (competência) quanto à formação, experiência, habilidades e conhecimentos específicos necessários e treinamentos (integração, treinamento on-the-job e reciclagem) para completo exercício das funções previstas cada colaborador.

  • Planejamento e Implementação dos Controles Operacionais - A determinação dos controles aplicáveis à organização está definida predominantemente no Anexo A (Referência aos Controles e Objetivos dos Controles), evidenciada através da emissão de uma Declaração de Aplicabilidade, cuja sigla em inglês é SoA – Statement of Applicability, emitida pela organização sujeita a verificação por partes interessadas (clientes, por exemplo).

  • Comprometimento da Cadeia de Fornecimento - A extensão dos requisitos aplicáveis à organização aos seus parceiros de negócio é fundamental para a Gestão da Segurança das Informações, pois as brechas por onde as informações podem ser acessadas e eventualmente vazadas podem estar em qualquer etapa da cadeia de fornecimento.

LGPD

LEI GERAL DE PROTEÇÃO DE DADOS – LEI N° 13.709/18

A 13.709 de 20018, mais conhecida como Lei Geral de Proteção de Dados é fortemente inspirada na GDPR (General Data Protection Regulation) aplicável aos membros da União Europeia, e contem as diretrizes para o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

As principais etapas para implementação e atendimento a esta lei são:

  • Realizar diagnóstico das práticas adotadas e procedimentos implantados (gap analysis)

  • Treinar equipe de implantação

  • Estudo da LGPD e demais leis que regulamentam o negócio

  • Mapear a entrada e o tratamento dos dados pessoais

  • Mapear os riscos e elaborar o Relatório de Impacto

  • Criar a Política de Proteção de Dados e adaptar os documentos internos

  • Gerenciar os pedidos dos titulares e dos órgãos

  • Treinamento das equipes que tratam / lidam com os dados sensíveis

  • Gerenciar a aplicação dos procedimentos

  • Estender os procedimentos e políticas aplicáveis aos fornecedores

  • Realizar auditoria interna (gap analysis) com referência à LGPD

  • Realizar análise crítica dos resultados e planejar novo ciclo


Existe uma afinidade muito grande entre da LGPD – Lei Geral de Proteção de Dados e a ISO/IEC 27001 - Sistema de Gestão de Segurança da Informação, sendo que a certificação nesta última praticamente garante o atendimento à legislação.

OUTROS PADRÕES DE SEGURANÇA DA INFORMAÇÃO QUE FAZEM PARTE DA FAMÍLIA ISO/IEC 27001

Além da ISO/IEC 27001 outras normas fazem parte da família de padrões que definem requisitos para a adoção de sistemas de gestão de proteção das informações, entre eles:

  • ISO/IEC 27003 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação.

  • ISO/IEC 27004 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação.

  • ISO/IEC 27701 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.

NÓS PODEMOS AJUDÁ-LO

Em mais de duas décadas, a PM Analysis assessorou centenas de clientes na implantação ou melhoria do seu sistema de gestão. Os serviços são baseados em programações prévias e exaustivo planejamento, de forma que a condução dos projetos ocorra de maneira totalmente monitorada, garantindo o seu sucesso no tempo previsto.

As atividades de assessoria são realizadas por consultores qualificados e experientes, capazes de propor soluções para os diversos processos que compõem o Sistema de Gestão da sua empresa.

Simplicidade, criatividade, respeito à cultura e aos recursos disponíveis em cada empresa são as nossas principais premissas nas decisões tomadas em conjunto com o cliente.

  • Google Places
  • LinkedIn
  • YouTube
  • Instagram
  • Facebook

(11) 5062-3521

R. Barão de Itapetininga, 124 - República, São Paulo - SP, 01042-000, Brazil

Receba Nossos Informativos

©2020 por PM Analysis

O conteúdo do texto desta página é de direito reservado. Sua reprodução, parcial ou total, mesmo citando nossos links, é proibida sem a autorização do autor. Crime de violação de direito autoral – artigo 184 do Código Penal – Lei 9610/98 - Lei de direitos autorais.