ISO 27001 Guia de Implantação

Se você está começando a implementar a ISO 27001, você provavelmente está procurando uma maneira fácil de implementá-lo. Deixe-me desapontá-lo: não há nenhuma maneira fácil de fazê-lo. No entanto, vou tentar fazer o seu trabalho mais fácil – aqui está a lista de dezesseis passos que você tem que passar por se você quer conseguir a certificação ISO 27001:

1. Obter apoio à gestão
Isto pode parecer bastante óbvio, e geralmente não é levado a sério o suficiente. Mas, na minha experiência, esta é a principal razão pela qual ISO 27001 projetos falham – gestão não está fornecendo pessoas suficientes para trabalhar no projeto ou não dinheiro suficiente.

2. Tratá-lo como um projeto
Como já foi dito, ISO 27001 implementação é uma questão complexa que envolve várias atividades, muitas pessoas, com duração de vários meses (ou mais de um ano). Se você não definir claramente o que deve ser feito, quem é que vai fazê-lo e em que prazo (ou seja, aplicar o gerenciamento de projetos), assim como você pode nunca mais terminar o trabalho.

3. Defina o escopo
Se você é uma organização maior, provavelmente faz sentido implementar a ISO 27001 em apenas uma parte de sua organização, assim reduzindo significativamente o risco do projeto.

4. Escreva uma Política ISMS
Política de SGSI é o documento de mais alto nível em seu SGSI – ele não deve ser muito detalhado, mas deve definir algumas questões básicas de segurança da informação na sua organização. Mas o que é o seu propósito se ele não está detalhado? O objetivo é que a gestão de definir o que quer atingir, e como controlá-la.

5. Definir a metodologia de avaliação de riscos
A avaliação de risco é a tarefa mais complexa no projeto ISO 27001 – o ponto é definir as regras para a identificação dos ativos, vulnerabilidades, ameaças, impactos e probabilidade, e para definir o nível de risco aceitável. Se essas regras não foram claramente definidos, você pode se encontrar em uma situação onde você obter resultados inutilizáveis.

6. Realizar a avaliação de risco e tratamento de riscos
Aqui você tem que implementar o que você definiu na etapa anterior – isso pode levar vários meses para organizações maiores, assim que você deve coordenar esse esforço com muito cuidado. O objetivo é obter uma visão abrangente sobre os perigos para a informação da sua organização.

O objetivo do processo de tratamento do risco é diminuir os riscos que não são aceitáveis ​​- isso geralmente é feito por um planejamento para usar os controles do anexo A.

Nesta etapa um Relatório de Avaliação de Risco tem de ser escrito, que documenta todas as medidas tomadas durante o processo de avaliação de risco e tratamento de riscos. Também uma aprovação de riscos residuais devem ser obtidos – quer como um documento separado, ou como parte da Declaração de aplicabilidade.

7. Faça a Declaração de Aplicabilidade
Depois de terminado o processo de tratamento de riscos, você saberá exatamente o que controla de anexo que você precisa (há um total de 133 controles, mas você provavelmente não precisa de todos eles). O objetivo deste documento (frequentemente referido como SOA) é listar todos os controles e para definir quais são aplicáveis ​​e que não são, e as razões para tal decisão, os objetivos a atingir com os controles e uma descrição de como eles são implementadas.

A Declaração de aplicabilidade também é o documento mais adequado para obter autorização da gerência para a implementação do ISMS.

8. Faça o Plano de tratamento de riscos
Apenas quando você pensou você resolveu todos os documentos relacionados com o risco, aí vem outra – o propósito do plano de tratamento de riscos é definir exatamente como os controles de SoA devem ser implementados – que vai fazê-lo, quando, com que orçamento etc. Este documento é na verdade um plano de implementação focada em seus controles, sem o qual não seria capaz de coordenar medidas adicionais no projeto.

9. Definir como medir a eficácia dos controles
Outra tarefa que geralmente é subestimado. O ponto aqui é – se você não pode medir o que você fez, como você pode ter certeza de ter cumprido o propósito? Portanto, certifique-se de definir a forma como você está indo para medir o cumprimento dos objetivos que você se ajustou tanto para todo o ISMS, e para cada controle aplicável na Declaração de aplicabilidade.

10. Implementar os controles e procedimentos obrigatórios
Mais fácil falar do que fazer. Isto é onde você tem que implementar os quatro procedimentos obrigatórios e os controlos aplicáveis ​​do Anexo A.

Isso geralmente é a tarefa mais arriscada em seu projeto – isso normalmente significa a aplicação de novas tecnologias, mas acima de tudo – a implementação de novos comportamentos em sua organização. Muitas vezes, novas políticas e procedimentos são necessários (o que significa que a mudança é necessária), e as pessoas geralmente resistem à mudança – é por isso que a próxima tarefa (formação e sensibilização) é crucial para evitar esse risco.

11. Implementar programas de treinamento e conscientização
Se você quiser que seus funcionários para implementar todas as novas políticas e procedimentos, primeiro você tem que explicar-lhes por que eles são necessários, e treinar o seu pessoal para ser capaz de funcionar da forma esperada. A ausência dessas atividades é a segunda razão mais comum para a ISO 27001 fracasso do projeto.

12. Opere o SGSI
Esta é a parte onde ISO 27001 torna-se uma rotina diária na sua organização. A palavra crucial aqui é: “registros”. Contas registros amor – sem registros que você vai achar que é muito difícil provar que alguma atividade realmente foi feito. Mas os registros devem ajudá-lo em primeiro lugar – usá-los você pode monitorar o que está acontecendo – você realmente sabe com certeza se seus funcionários (e fornecedores) estão realizando suas tarefas conforme necessário.

13. Monitore o ISMS
O que está acontecendo em seu ISMS? Quantos incidentes que você tem, de que tipo? São todos os procedimentos realizados corretamente?

Este é o lugar onde os objetivos para os seus controles e metodologia de medição vêm junto – você tem que verificar se os resultados obtidos estão conseguindo o que você configurou em seus objetivos. Se não, você sabe que algo está errado – você tem que executar ações corretivas e / ou preventivas.

14. auditoria interna
Muitas vezes as pessoas não estão cientes de que eles estão fazendo algo errado (por outro lado, às vezes eles são, mas eles não querem que ninguém descubra sobre ele). Mas não ter conhecimento dos problemas existentes ou potenciais pode prejudicar a sua organização – você tem que realizar auditoria interna, a fim de descobrir essas coisas. O ponto aqui não é para iniciar ações disciplinares, mas para tomar as ações corretivas e / ou preventivas.

Avaliação de Gestão.
A Administração não tem que configurar o firewall, mas deve saber o que está acontecendo no SGSI, ou seja, se todos realizados de suas funções, se o SGSI é a obtenção de resultados etc. Com base no que desejado, a gestão deve tomar algumas decisões cruciais .

16. As ações corretivas e preventivas
O objetivo do sistema de gestão é garantir que tudo o que está errado (os chamados “não-conformidades”) é corrigida, ou esperamos impedido. Portanto, ISO 27001 requer que ações corretivas e preventivas são feitas de forma sistemática, o que significa que a causa raiz de uma não-conformidade devem ser identificados e, em seguida resolvido e verificada.

Esperemos que este artigo esclareceu o que precisa ser feito – embora ISO 27001 não é uma tarefa fácil, não é necessariamente uma questão complicada. Você apenas tem que planejar cada passo com cuidado, e não se preocupe – você vai ter o seu certificado.

Artigo Traduzido de: ISO 27001 implementation guide in https://www.linkedin.com/pulse/iso-27001-implementation-guide-arthur-soghomonyan?trk=hp-feed-article-title-like

Anúncios

Deixe uma Resposta

Please log in using one of these methods to post your comment:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s