Um Sistema de Gestão de Segurança da Informação (SGSI) é um conjunto de políticas e procedimentos para gerir sistematicamente os dados confidenciais de uma organização. O objetivo de um SGSI (ISO 27001) é minimizar os riscos e garantir a continuidade dos negócios, limitando proactivamente o impacto de uma violação de segurança (https://www.iso.org/isoiec-27001-information-security.html).
Um SGSI normalmente aborda o comportamento e os processos dos funcionários, bem como dados e tecnologia. Ele pode ser direcionado para um tipo específico de dados, como dados de clientes, ou pode ser implementado de uma maneira abrangente que se torna parte da cultura da empresa (https://defenselifecycle.com/seguranca-informacao/).
ISO 27001 é uma especificação para criar um SGSI. Não exige acções específicas, mas inclui sugestões de documentação, auditorias internas, melhoria contínua e acções correctivas e preventivas. ISO 27001 é uma especificação para criar um SGSI. Não exige acções específicas, mas inclui sugestões de documentação, auditorias internas, melhoria contínua e acções correctivas e preventivas.
Esta norma é a base de especificações procedimentais e tecnológicas que deu origem ao RGPD.
Objectivos do SGSI:
Proteger suas informações em todas as suas formas
Um SGSI ajuda a proteger todas as formas de informação, incluindo propriedade digital, em papel, intelectual, segredos da empresa, dados em dispositivos e na nuvem, cópias impressas e dados de informações pessoais.
Aumenta a resiliência a ataques cibernéticos
A implementação e manutenção de um SGSI aumentará significativamente a resiliência da sua organização a ataques cibernéticos, criando uma união entre as medidas tecnológicas, administrativas e humanas, ficando assim optimizadas e inter-relacionadas.
Fornece uma estrutura gestão central
Um SGSI fornece uma estrutura para manter as informações da sua organização seguras e gerir tudo em um só lugar sem segregações.
Oferece protecção para toda a organização
Ela protege toda a organização contra riscos baseados em tecnologia e outras ameaças mais comuns, como funcionários mal informados ou procedimentos ineficazes.
Ajuda a responder à evolução das ameaças à segurança
Constantemente adaptado às mudanças no ambiente e dentro da organização, um SGSI reduz a ameaça de riscos em constante evolução.
Reduz os custos associados à segurança da informação
Graças à abordagem de avaliação e análise de riscos de um SGSI, as organizações podem reduzir os custos gastos com a adição indiscriminada de camadas de tecnologia defensiva que podem não funcionar.
Protege a confidencialidade, disponibilidade e integridade dos dados
Um SGSI oferece um conjunto de políticas, procedimentos, controles técnicos e físicos para proteger a confidencialidade, disponibilidade e integridade das informações.
Melhora a cultura da empresa
A abordagem holística do Padrão abrange toda a organização, não apenas a TI, e abrange pessoas, processos e tecnologia. Isso permite que os funcionários entendam prontamente os riscos e adotem os controles de segurança como parte de suas práticas de trabalho diárias.
Como a ISO 27001 pode ajudá-lo a cumprir o GDPR
O Regulamento Geral de Proteção de Dados da UE (GDPR) exige que as organizações adotem medidas técnicas e organizacionais apropriadas (incluindo políticas, procedimentos e processos) para proteger os dados pessoais que processam.
A ISO 27001, o padrão internacional para um SGSI (sistema de gestão de segurança da informação), fornece um excelente ponto de partida para alcançar os requisitos técnicos e operacionais necessários para reduzir o risco de uma violação.
Enquanto isso, a ISO 27001 especifica os requisitos para (e fornece orientações para estabelecer, implementar, manter e melhorar continuamente) um PIMS (sistema de gestão de informações de privacidade) com base nos requisitos, objetivos e controles de controle na ISO 27001, e estendido por um conjunto de requisitos específicos da privacidade, objetivos e controles de controle.
As organizações que implementaram a ISO 27001 poderão usar a a mesma para estender seu SGSI para cobrir a gestão de privacidade – incluindo o processamento de dados.
A implementação de ambos os padrões ajudaram você a cumprir (e demonstrar sua conformidade com…), os requisitos de privacidade e segurança da informação do GDPR.