Newsletter
fevereiro de 2014 | nº27
olho
conteúdo
formação

> Conheça o nosso calendário
< voltar

Segurança da Informação
A nova versão da Norma ISO /IEC 27001

A Segurança da Informação está relacionada com proteção e salvaguarda da informação que constitui valor para a Organização e suas partes interessadas.

Sendo a informação o pilar-base de qualquer Organização caminhar no sentido da sua proteção é vital para a sua sobrevivência.

Numa sociedade competitiva como a de hoje, a informação está constantemente sob ameaças (interna, externa, acidental ou maliciosa,…), além disto têm aumentado as exigências das entidades reguladoras e legais, dos mercados, acionistas, Clientes e outras partes interessadas, o que conduz a uma necessidade de implementar medidas que garantam a Confidencialidade, Disponibilidade e Integridade (a até Autenticidade e Não repúdio) da Informação.

Uma solução provada e sistemática que responda a estas exigências é a implementação de um Sistema de Gestão de Segurança da Informação que responda aos requisitos da norma internacional ISO/IEC 27001:2013 Information technology – Security techniques – Information security management systems – Requirements (agora Norma Portuguesa NP ISO/IEC 27001:2013 Tecnologias de Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos)

A Norma ISO/IEC 27001:2013 caracteriza-se por:

  • Ser reconhecida internacionalmente e “certificável” e referir os requisitos necessários para estabelecer, implementar e documentar um Sistema de Gestão de Segurança da Informação
  • Ser transversal a todo o tipo de atividades, negócios e dimensão de uma Organização
  • Permitir a integração facilitada com outros referenciais, entre outros, Qualidade 9001,ITSM 20000
  • Especificar no Anexo A os controlos de segurança a implementar de acordo com as necessidades e especificidades de cada organização (em detalhe na ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls)

As alterações na ISO /IEC 27001 derivadas da publicação da versão 2013 não são fraturantes mas exigem uma análise cuidada

Como principais diferenças entre a versão 2005 e a versão 2013 destaca-se:

  • Alinhamento com o Anexo SL
  • Número de secções/grupos do Anexo A: Passou de 11 para 14
  • Número de controlos Anexo A: Passou de 133 para 114
  • Alteração da metodologia associada à gestão do risco com o aparecimento do responsável pelo risco e a eliminação à referência ativos, vulnerabilidades e ameaças (6.1.2 e 6.1.3). Alinhamento com a ISO 31000 referente à gestão de risco.
  • Necessidade de caracterizar à partida as expectativas das partes interessadas (4.2)
  • Maior enfase ao planeamento de objetivos, sua monitorização e avaliação (9.1)
  • Deixa de ser expressa a necessidade de documentar em procedimento o controlo de documentos, Auditorias Internas e Ações Corretivas, mas mantem necessidade de evidências/registos.
  • As Ações Preventivas deixam de ser referidas autonomamente, estando intrinsecamente associadas aos riscos (6.1)
  • Reconhecimento da comunicação como forma essencial ao garante da segurança da informação com o agrupamento deste tema numa só cláusula (7.4)
  • Reorganização do Anexo A, mais adequado ao momento atual, incluindo novos controlos ou reagrupamentos dos existentes:
    • A criptografia passa a ser uma seção assim como a Relação com os fornecedores (respetivamente seção 10 e seção 15).
    • O antigo A.10 Segurança das operações e comunicações separa-se em 2 novos controlos o A 12 e A3
    • Como novos controlos: Information security in project management A.6.1.5, Secure development policy A14.2.1, Security System engineering principles A14.2.5, Secure development environment A14.2.6, System security testing A 14.2.8, Assessment of decision in information security events A 16.1.4 e Availability of information procession facilities A 17.2.1

Os controlos do Anexo A passam a:

  • A.5 Information security policies
  • A.6 Organization of information security
  • A.7 Human resource security
  • A.8 Asset management
  • A.9 Access control
  • A.10 Cryptography
  • A.11 Physical and environmental security
  • A.12 Operations security
  • A.13 Communications security
  • A.14 System acquisition, development and maintenance
  • A.15 Suppliers relationships
  • A.16 Information security incident management
  • A.17 Information security aspects of business continuity
  • A.18 Compliance

Destacamos como Benefícios da implementação de um Sistema de Gestão de Segurança da Informação:

  • PROTEGER O NEGÓCIO
  • Minimizar ou até eliminar o risco
  • Controlar e gerir a Organização
  • Dar confiança aos Clientes e Parceiros
  • Cumprir exigências contratuais, legais ou de partes interessadas
  • Aumentar a visibilidade e reconhecimento nacional e internacional
  • Destacar-se da concorrência
  • Assegurar a Segurança da Informação 

Serviços Qualiwork:

  • Consultoria em Projetos de Conceção de Segurança da Informação, visando a certificação de acordo com a norma ISSO/IEC 27001
  • Auditorias Internas de acordo com a norma ISSO/IEC 27001
  • Formação no âmbito ISO/IEC 27001
  • Serviços técnicos de apoio à manutenção e melhoria do Sistema de Gestão da Segurança da Informação

Bibliografia

  • www.apcer.pt/
  • www.iso.org/
  • www.itsmfi.org/
  • Metodologias Qualiwork para a Segurança da Informação
  • Norma ISO/IEC 27001:2013 e Norma ISO/IEC 27002:2013

Sónia Painhas
Diretora Técnica
Qualiwork
Av. Columbano Bordalo Pinheiro, 61C, 1º Andar, Escritório 13,
1070-061 Lisboa, Portugal
tel. 917842136 | 917840772 | 917843174 | www.qualiwork.pt | geral@qualiwork.pt

Para deixar de receber a newsletter envie um e-mail para geral@qualiwork.pt