Pesquisa de site

Lista de verificação de implementação da ISO 27001

A ISO/IEC 27001, comumente chamada de ISO 27001, é a norma internacional mais amplamente adotada para gerenciar a segurança de dados e a segurança da informação por meio de um sistema de gerenciamento de segurança da informação (SGSI).

A norma foi publicada pela primeira vez em 2005 pela Organização Internacional de Padronização (ISO) e pela Comissão Eletrotécnica Internacional (IEC). A ISO 27001:2013 é a revisão mais recente da norma.

A certificação ISO 27001 melhora a reputação da sua organização, pois parceiros e clientes podem se sentir confiantes de que você está lidando com seus ativos de informação, como dados confidenciais, por meio de métodos de proteção apropriados.

A implementação do SGSI é um processo intensivo em recursos, envolvendo muitas etapas e partes interessadas que podem complicar rapidamente sua execução. Reunimos uma lista de verificação da ISO 27001 para ajudar sua organização a abordar seu plano de implementação com eficiência e se preparar para a certificação.

1. Obtenha compreensão da ISO 27001

Se você já está familiarizado com a ISO 27001 e suas cláusulas, pule para o restante da lista de verificação.

A norma ISO 27001 fornece requisitos para o desenvolvimento de um SGSI eficaz e consiste em duas partes:

Cláusulas 0-10: As cláusulas 0 a 3 introduzem a norma ISO 27001. As cláusulas 4-10 estabelecem requisitos obrigatórios para conformidade com a ISO 27001, nas seguintes áreas:

  • Cláusula 4ª - Contexto da Organização
  • Cláusula 5ª - Liderança
  • Cláusula 6ª - Planejamento
  • Cláusula 7ª - Apoio
  • Cláusula 8ª - Funcionamento
  • Cláusula 9ª - Avaliação de desempenho
  • Cláusula 10ª - Aperfeiçoamento

Anexo A: Descreve os 114 controles de segurança que suportam os requisitos obrigatórios da ISO 27001.

Saiba mais sobre a Norma ISO 27001.

2. Forme uma equipe de implementação

A equipe de implementação precisa designar um líder para conduzir o gerenciamento de projetos. O líder do projeto já deve estar altamente envolvido em suas práticas de segurança da informação e possuir habilidades de liderança aplicáveis tanto à equipe do projeto quanto a todos os departamentos.

Como em qualquer projeto organizacional, a equipe de implementação deve preparar um mandato de projeto descrevendo seus objetivos de segurança da informação, prazo, custos e nível de suporte executivo.

Conheça os próximos passos após uma auditoria ISO 27001 >

3. Faça uma análise de lacunas

A realização de uma análise de lacunas fornece à sua equipe de implementação uma visão geral clara de:

  • Quaisquer disposições de segurança da informação existentes que atendam aos requisitos de conformidade com a ISO 27001.
  • Requisitos de conformidade com a ISO 27001 ausentes.

Comece descrevendo o contexto de sua organização. O contexto da sua organização envolve a compreensão de seu contexto interno e externo.

O contexto interno envolve os produtos e serviços da sua organização, clientes, juntamente com seus riscos associados e quaisquer possíveis ameaças internas. Esse entendimento permite que você desenvolva um SGSI que abranja áreas e processos de negócios relevantes, no que diz respeito ao gerenciamento de riscos digitais e proteção de ativos.

Contexto externo são quaisquer considerações ou insights relevantes de fora da sua organização. Isso inclui:

  • Qualquer legislação aplicável, como GDPR, GLBA, FISMA, LGPD e PIPEDA
  • Identificação de ameaças externas, incluindo ameaças à segurança cibernética
  • Quaisquer riscos, incluindo riscos de segurança cibernética. Por exemplo, quem estaria potencialmente interessado em comprometer a segurança cibernética da sua empresa? Quais informações os agentes de ameaças potencialmente obteriam? Como eles aceitariam isso?

Verifique os controles e processos de gerenciamento de riscos existentes em torno do contexto de sua organização com os requisitos de conformidade da ISO 27001 e observe quaisquer lacunas. Você abordará essas lacunas ainda mais durante o processo de tratamento de risco.

4. Defina o escopo do SGSI

Depois de realizar uma análise de lacunas da ISO 27001, agora você pode definir o escopo do seu SGSI com base nesses resultados.

O escopo deve descrever claramente quais informações e ativos seu SGSI visa proteger. Insira essas informações em um registro de riscos.

Um escopo típico do SGSI abrange:

  • Contexto da organização
  • Os objetivos de negócios da sua organização
  • Localização(ões) física(s) da sua organização
  • A estrutura da sua organização
  • A pegada digital da sua organização
  • Dispositivos que afetam a segurança de rede da sua organização, por exemplo, computadores, dispositivos móveis, servidores
  • Os requisitos das partes interessadas, como fornecedores terceirizados

Quais áreas/processos/funções de negócios serão o foco do seu escopo? Lembre-se de que começar com um escopo menor permite uma implementação mais rápida.

Pode ser adequado para sua organização definir um escopo estreito inicialmente e, em seguida, ampliar seu foco quando seu SGSI estiver mais estabelecido.

5. Crie uma Política de Segurança da Informação (ISP)

Com seu escopo prontamente definido para fornecer um ponto de partida claro para sua equipe de implementação, é hora de desenvolver uma política de segurança da informação (ISP).

Uma política do SGSI estipula regras, políticas e procedimentos que garantem que sua organização atenda aos requisitos mínimos de segurança de TI e segurança de dados. Também deve definir as funções e responsabilidades dos funcionários na promulgação da política, bem como padrões de melhoria contínua.

Uma política de segurança da informação ISO 27001 bem-sucedida deve permitir que a alta administração entenda claramente sua estratégia de SGSI e seus objetivos. É importante ressaltar que a política de segurança da informação deve incluir os benefícios do SGSI - tanto do ponto de vista comercial quanto de segurança.

6. Escolha a metodologia de avaliação de risco

>

Sua equipe de implementação já terá identificado os riscos que afetam sua organização durante o processo de análise de lacunas (Etapa 3).

Agora é hora de decidir qual processo você usará para avaliar a importância de cada risco e realizar avaliações de risco. Assim como definir seu escopo, a metodologia de avaliação de risco que você aplica durante a implementação não precisa ser excessivamente complicada. Você pode começar usando uma metodologia básica que abrange cenários sobre possíveis vetores de ataque em toda a superfície de ataque e quais técnicas os agentes de ameaças podem usar para explorar as vulnerabilidades existentes em um ataque cibernético.

À medida que seu SGSI se desenvolve, você pode começar a usar uma metodologia de avaliação de risco mais avançada para cobrir cenários mais sofisticados.

7. Realize a avaliação de risco e a documentação completa de risco

Plano de Avaliação de Riscos

Depois de decidir como você avaliará a natureza e a gravidade dos riscos, você pode iniciar a avaliação de risco de segurança da informação. Uma metodologia de avaliação de risco claramente definida deve tornar esse processo muito menos assustador.

Processo de Tratamento de Riscos

Assim que a avaliação de risco for concluída, sua equipe de implementação precisará projetar um processo de tratamento de risco. O processo de tratamento de riscos descreve se o nível de risco que a organização está enfrentando é aceitável.

Determine se a alta administração está confortável com o nível atual de risco ou se outras ações podem ser tomadas para reduzir o risco a um nível mais gerenciável. Você pode concluir o processo de tratamento de risco consultando os controles descritos no Anexo A e selecionando quais são aplicáveis à sua organização.

Anexo A Controlos

Os 114 controles do Anexo A ajudam a identificar onde sua organização precisa fazer melhorias na segurança da informação e são divididos em 14 categorias:

  1. Políticas de segurança da informação
  2. Organização da segurança da informação
  3. Segurança de recursos humanos
  4. Gestão de ativos
  5. Controle de acesso
  6. Criptografia
  7. Segurança física e ambiental
  8. Segurança operacional
  9. Segurança das comunicações
  10. Aquisição, desenvolvimento e manutenção do sistema
  11. Relações com fornecedores
  12. Gerenciamento de incidentes de segurança da informação
  13. Aspectos de segurança da informação do gerenciamento de continuidade de negócios
  14. Conformidade

Relatório de Avaliação de Risco

Sua equipe agora precisa delinear informações importantes dos processos de avaliação e tratamento de riscos em um Relatório de Avaliação de Riscos. O relatório deve incluir os riscos existentes, os riscos aceites, quaisquer controlos do anexo A que já estejam em vigor e os que serão implementados.

Você deve enviar o relatório de Avaliação de Risco com informações documentadas e aprovação de riscos residuais (isso pode ser incluído na Declaração de Aplicabilidade (SOA)).

Declaração de Aplicabilidade (SOA)

Depois de identificar os controles de segurança da informação necessários, é hora de escrever a Declaração de Aplicabilidade. A SOA geralmente está em formato de planilha e indica quais controles você está e não está usando e os motivos.

Se você não estiver usando determinados controles, é crucial fornecer uma justificativa sólida sobre o motivo pelo qual ele não é necessário para a implementação do SGSI.

Para determinar quais controles você precisa incluir em sua SOA, considere o seguinte:

  1. O controle ajuda a gerenciar um risco existente?
  2. Você é legalmente obrigado a implementar o controle? Por exemplo, a privacidade de dados é um requisito do GDPR.
  3. O controle está vinculado a uma exigência regulatória? Por exemplo, o processamento de dados de cartão de crédito exigiria conformidade com o PCI DSS.
  4. O controle está vinculado a um acordo contratual com um terceiro, por exemplo, fornecedor, cliente, parceiro?

Sua organização provavelmente já tem alguns dos controles em vigor — eles são conhecidos como controles de linha de base.

Plano de Tratamento de Riscos

Somente depois de concluir o SOA você pode iniciar o Plano de Tratamento de Risco. A SOA define quais controles de segurança da informação aplicar. O Plano de Tratamento de Riscos descreve como esses controles serão implementados. Essencialmente, dá vida à documentação de risco circundante. Por exemplo, quem é responsável pela execução do plano, do prazo e do orçamento.

8. Decida como medir a eficácia do SGSI

Depois de preencher a documentação de risco necessária, sua equipe de implementação deve especificar como medir a eficácia do SGSI, suas políticas, processos e controles.

É essencial que você crie diretrizes claras de medição para garantir que você possa rastrear objetivos, como métricas de segurança, com eficiência. Essas diretrizes também ajudarão você a relatar o progresso a todas as partes interessadas.

Antes de decidir como você medirá esses componentes, primeiro você precisa garantir que seus objetivos sejam mensuráveis. Os objetivos devem ser claramente definidos, realistas, atingíveis e ter um prazo definido.

9. Implemente a política e os controles do SGSI

Depois que sua equipe tiver concluído todos os documentos de risco e desenvolvido diretrizes de medição de risco, você estará pronto para implementar a política de SGSI e seus controles.

Consulte atentamente as cláusulas 4-10 da ISO 27001 e os controles do Anexo A para garantir que você tenha atendido a todos os requisitos.

10. Inicie programas de conscientização dos funcionários

Com o novo SGSI em ação, é hora de envolver sua organização com as políticas e procedimentos. Todos os funcionários devem receber treinamento regular de conformidade e estar cientes das melhores práticas de segurança cibernética dentro da organização.

Os programas de conscientização são particularmente importantes, pois o erro humano é uma das principais causas de violações de dados, principalmente por serem vítimas de ataques de engenharia social, como phishing e falsificação de e-mail.

A falta de conscientização sobre segurança cibernética também é um fator importante que contribui para a falha do SGSI, por isso é ainda mais importante garantir que sua organização tenha programas de educação e conscientização em vigor.

11. Realizar auditoria interna e revisão da gestão

Depois de aumentar a conscientização sobre o SGSI e suas políticas e procedimentos, você precisará realizar uma auditoria interna e uma revisão gerencial. Esses procedimentos ajudam a garantir que os objetivos ainda sejam relevantes e a identificar quaisquer mudanças necessárias no SGSI.

A auditoria deve ser conduzida de forma independente, ou seja, por alguém que não esteve envolvido no processo de execução. Quanto menor o escopo do SGSI, mais rápido é o processo de auditoria.

Certifique-se de que o auditor seja competente e experiente - um auditor líder da ISO 270001 seria o mais qualificado para realizar o trabalho.

As auditorias internas devem ocorrer pelo menos uma vez por ano, se possível, caso contrário, pelo menos uma vez a cada três anos.

Ter sua equipe executiva a bordo do SGSI é crucial. Se ocorrer um incidente de segurança ou houver outros problemas relacionados, a alta administração será responsável por aprovar quaisquer decisões financeiras ou políticas. Esse processo é muito mais simplificado se eles já estiverem atualizados sobre as políticas, procedimentos e atualizações e revisões mais recentes do SGSI por meio de revisões contínuas da administração.

Uma solução de monitoramento automatizado pode ajudar a registrar quaisquer incidentes de segurança, o tipo de incidente e outras informações úteis de relatórios para simplificar ainda mais as auditorias e revisões.

12. Tome ações corretivas e faça melhorias contínuas

Após todas as auditorias internas e revisões gerenciais, a equipe de implementação deve abordar quaisquer problemas (não conformidades) por meio de ações corretivas e melhorias. Sua organização deve ter como objetivo implementar medidas preventivas para garantir que quaisquer não conformidades não se repitam.

A maneira mais eficaz de lidar com as não conformidades é ir mais fundo do que o problema visível, identificando e resolvendo a causa raiz do problema. Fazer melhorias contínuas nas políticas, processos e procedimentos existentes garante que seu SGSI permaneça relevante e eficaz.

A ação e a melhoria consistentes são especialmente importantes, dada a rápida velocidade com que surgem novas ameaças cibernéticas, consolidando também a necessidade de monitoramento contínuo.

13. Conclua a auditoria de certificação

Se sua organização busca a certificação ISO 27001, você precisará participar de uma auditoria externa.

Você só deve permitir que uma organização de um organismo de certificação nacional que também seja membro do Fórum Internacional de Acreditação (IAF) realize a auditoria para garantir que você esteja recebendo a certificação autorizada.

Depois de receber a certificação, é importante manter uma estratégia de longo prazo, continuar a realizar auditorias internas regulares e revisões gerenciais e praticar a melhoria contínua para permanecer em conformidade com a ISO 27001.

O UpGuard é uma solução inteligente de monitoramento de superfície de ataque que permite avaliar a conformidade interna e de terceiros com a ISO 27001 e outros padrões de segurança reconhecidos. Usando os modelos de questionário de segurança integrados do UpGuard, você pode mapear claramente os resultados do questionário ISO 27001 de seus fornecedores em relação aos requisitos de conformidade.

A plataforma também usa varredura automatizada para detectar riscos adicionais que podem afetar sua conformidade com a ISO 27001 ou de seus fornecedores. Esses riscos são mapeados para seções específicas da estrutura de conformidade, permitindo que você identifique rapidamente as áreas que precisam ser melhoradas.