Publicado em 6 de dezembro de 2016 por Karen Walsh • 2 min de leitura
O ISO Framework é um dos os fundamentos da segurança da informação e seus controles. Embora muitos gerentes se concentrem em computadores e seus controles, os princípios de gerenciamento de risco da ISO 27001 estão mudando a maneira como você precisa abordar a conformidade. Esse foco no lado da tecnologia muitas vezes pode levar a uma lacuna de conformidade. Novo na tarefa de gerenciamento de software de conformidade ISO? Abaixo está um entendimento básico da ISO 27001 e algumas dicas para alcançar a conformidade.
O que é a ISO 27001?
As ISOs são padrões internacionalmente aceitos para segurança da informação. A ISO 27001 cria um conjunto de regras que fornece aos gerentes etapas discretas a seguir. Essas etapas organizam seus sistemas de informação e garantem a conformidade de segurança contínua. Como as ISOs não são regulamentadas por uma única entidade governamental, as empresas optam especificamente por se envolver em conformidade e certificação para fortalecer seus padrões de segurança. Essas ações são importantes porque ajudam a aumentar a confiança do cliente.
A Organização Internacional de Padrões (ou “ISO”) desenvolveu o / e o define como uma “família de padrões que ajudará sua organização a gerenciar a segurança de ativos como como informações financeiras, propriedade intelectual, detalhes de funcionários ou informações confiadas a você por terceiros. ” Em outras palavras, a ISO 27001 não cobre apenas as informações internas de uma empresa, mas também fornece terceiros. Como a ISO 27001 é um documento vivo, ela evolui continuamente para atender a novas necessidades de informação. Essas atualizações fornecem orientação contínua para atender às contínuas preocupações de segurança.
Por que a ISO 27001?
A maioria das empresas usa processos e procedimentos para criar consistência e neutralizar mudanças de gerenciamento e equipe. No entanto, com essa definição ampla, muitas organizações podem se sentir oprimidas com a ideia de embarcar no processo de certificação. Anthony Jones, da IS Partners, LLC, observa que apenas cerca de um terço das empresas cientes do padrão optam por adotá-lo. A certificação ISO é um processo longo e detalhado. No entanto, o custo do processo de certificação em termos de tempo e energia contínuos é igual ou menor do que não estar em conformidade.
Para CISOs, uma certificação ISO fornece principalmente um benefício de monitoramento continuamente atualizado. Em vez de buscar as informações por conta própria, os CISOs obtêm notificações atualizadas de mudanças de seu organismo de certificação. Além disso, as etapas para a certificação, bem como as análises de auditoria de conformidade, exigem avaliações de risco. Esses focam o gerenciamento no tratamento de risco documentado, em vez de no risco percebido.
Por que não a ISO 270001?
Uma certificação ISO 27001 requer muitas informações, tempo, esforço e mão de obra. Muitos CISOs temem que a falha em uma auditoria ISO 27001 resulte na perda da confiança do cliente. No entanto, independentemente de uma empresa se inscrever formalmente para a certificação ISO, ela geralmente usa muitos dos mesmos processos e procedimentos. As empresas seguem esses protocolos porque a indústria os reconhece como padrões.
Para ISO ou Não para ISO? Essa é a questão
Muitos gerentes de conformidade associam a conformidade com a ISO 27001 à aparência de nariz enrugado que costuma acompanhar um sanduíche de atum velho. Isso ocorre porque esses gerentes têm uma maneira obsoleta e desatualizada de gerenciar uma auditoria ISO. Felizmente para as equipes de conformidade, agora é a hora de repensar como isso é feito. Uma Certificação ISO não precisa ser dolorosa para ser alcançada. Com o software e o processo de auditoria ISO adequados, as equipes de conformidade podem agora obter uma Certificação ISO e proteger a empresa e o cliente a longo prazo.