ISO 27001/ISO 22301 documents, presentation decks and implementation guidelines


Free_Downloads
 

Have a question on ISO 27001 or ISO 22301?

Ask an Expert
 

Free eBook

Free eBook 9 Steps to Cybersecurity
 
Becoming Resilient: The Definitive Guide to ISO 22301 Implementation
 
Newsletter
 
Sign up for our free Newsletter and as bonus you'll receive my tips on how to launch an information security and business continuity project.
 
 
 
 
 
 

Recent Posts

 
    

UPCOMING FREE WEBINAR

    

 
ISO 22301: An overview of BCM implementation process

    

Wednesday
September 10, 2014

    Register_now_green
    
 
 
 

A lógica básica da ISO 27001: Como a segurança da informação funciona?

ByDejan Kosutic on May 07, 2014

Ao conversar com alguém que seja novato a ISO 27001, frequentemente encontro o mesmo problema: esta pessoa pensa que a norma descreverem detalhes tudo que eles precisam fazer por exemplo, com que frequência eles precisarão realizar um backup, quão distante seu site de contingência deveria estar, ou pior, que tipo de tecnologia eles deveriam usar para a proteção da rede ou como eles devem configurar o roteador.

Eis as más notícias: a ISO 27001 não prescreve essas coisas; ela funciona de uma forma completamente diferente. Eis o porquê.

Por que a ISO 27001 não prescritiva?

Vamos imaginar que a norma prescreva que você precisa realizar um backup a cada 24 horas uma medida adequada para você. Pode até ser, mas acredite, muitas organizações atualmente acharão esta condição insuficiente a taxa de mudança de seus dados tão elevada que eles precisariam realizar o backup, se não em tempo real, ao menos a cada hora. Por outro lado, ainda existem organizações que considerariam um backup ao dia muito frequente suas taxas de mudança seriam muito lentas, e realizar um backup com tal frequência seria um desperdício.

O ponto se esta norma tem por objetivo se adequar a qualquer tipo de organização, então a abordagem prescritiva não possível. Assim, simplesmente impossível não apenas definir a frequência do backup, mas também qual tecnologia usar, como configurar cada dispositivo, etc.

A propósito, esta percepção de que a ISO 27001 prescreve tudo é a maior geradora de mitos sobre a ISO 27001 veja também Os 5 maiores mitos sobre a ISO 27001.

Gestão de riscos a ideia central da ISO 27001

Então, você pode imaginar, “Por que eu precisaria de uma norma que não me diz nada de forma concreta?”

Porque a ISO 27001 dá a você uma estrutura para que você decida a proteção adequada. Da mesma forma que, por exemplo, você não pode copiar uma campanha de marketing de outra organização para a sua própria, este mesmo princípio é válido para a segurança da informação você precisa adequá-la para suas necessidades específicas.

E a forma como a ISO 27001 diz a você como atingir esta adequação pela realização de uma análise/avaliação de riscos e pelo tratamento de riscos. Não nada além de uma visão sistêmica de coisas ruins que podem acontecer a você (análise/avaliação de riscos), e então a decisão de quais salvaguardas implementar para prevenir estas coisas ruins de acontecer (tratamento dos riscos).

Method_of_safeguard_selection_PTFigura: Método de seleção de salvaguardas na ISO 27001

A ideia geral que você deveria implementar apenas as salvaguardas (controles) que são requeridos por conta dos riscos, não aqueles que alguém pensa que são pomposos; mas, esta lógica também significa que você deveria implementar todos os controles que são requeridos por conta dos riscos, e que você não pode excluir alguns deles simplesmente por que não gosta deles.

Veja também: ISO 27001 risk assessment & treatment 6 basic steps.

TI sozinha não o bastante

Caso você trabalhe no departamento de TI, você provavelmente esta ciente de que muitos incidentes estão ocorrendo não por causa de computadores dando defeito, mas porque os usuários da parte de negócio da organização estão utilizando os sistemas de informação da forma errada.

E tais erros não podem ser prevenidos apenas com salvaguardas técnicas também são necessárias políticas e procedimentos claros, treinamento e conscientização, proteção legal, medidas disciplinares, etc. Experiências reais tem provado que quanto mais diversas são as salvaguardas aplicadas, maior o nível de segurança obtido.

E quando você leva em conta que nem toda a informação sensível está na forma digital (você provavelmente ainda possui papéis com informações confidenciais), a conclusão que as salvaguardas de TI não são suficientes, e que o departamento de TI, embora muito importante em um projeto de segurança da informação, não pode tocar este tipo de projeto sozinho.

Novamente, o fato de que a segurança em TI apenas 50% da segurança da informação reconhecida na ISO 27001 esta norma diz a você como conduzir a implementação da segurança da informação como um projeto de abrangência organizacional onde não apenas a TI, mas também a parte de negócios da organização, deve tomar parte.

Obtendo o apoio da alta administração

Mas, a ISO 27001 não termina com a implementação de várias salvaguardas seus autores entenderam perfeitamente bem que as pessoas do departamento de TI, ou de outros níveis da organização, não podem atingir muitos resultados se os altos executivos não fizerem algo a respeito.

Por exemplo, você pode propor uma nova política para a proteção de documentos confidenciais, mas se a alta administração não impor tal política para todos os empregados (e se eles mesmos não a cumprirem), tal política nunca será adotada em sua organização.

Desta forma, a ISO 27001 da você uma lista de verificação sistemática sobre o que a alta administração deve fazer:

  • definir suas expectativas de negócio (objetivos) para a segurança da informação
  • publicar uma política sobre como controlar se estes objetivos são atingidos
  • designar as principais responsabilidades para a segurança da informação
  • prover recursos humanos e financeiros suficientes
  • revisar regularmente se todas as expectativas foram realmente atingidas

Não deixando seu sistema se deteriorar

Se você trabalha em uma organização por alguns anos, então provavelmente sabe como novas iniciativas / projetos funcionam no início parecem boas e reluzentes e todos (ou ao menos a maior parte) estão tentando fazer o seu melhor para que tudo funcione. Contudo, com o tempo, o interesse e o zelo deterioram, e com eles, tudo relacionado a tal projeto também se deteriora.

Por exemplo, você pode ter tido uma política de classificação que funcionou bem inicialmente, mas com o tempo a tecnologia mudou, a organização mudou e as pessoas mudaram, e se ninguém se preocupou em atualizar a política, ela se tornar obsoleta. E, como você está ciente, ninguém irá atender um documento obsoleto, resultado em sua segurança se tornando cada vez pior.

Para prevenir isto, a ISO 27001 descreve alguns métodos que previnem o aparecimento de tal deterioração; e mais ainda, estes métodos são usados para melhorar a segurança com o tempo, tornando-a melhor do que ela era quando o projeto estava em seu melhor momento. Este métodos incluem monitoramento e medição, auditorias internas, ações corretivas, etc.

Desta forma, você não deveria ter uma postura negativa sobre a ISO 27001 ela pode parecer vaga em uma primeira leitura, mas pode se provar uma estrutura extremamente útil para resolver muitos problemas de segurança em sua organização. E mais ainda, ela pode ajudar você a fazer seu trabalho mais facilmente, e a obter mais reconhecimento da administração. (Veja também: 4 reasons why ISO 27001 is useful for techies.)

Clique aqui para se registrar para um webinar gratuito ISO 27001: An overview of ISMS implementation process.

Nós agradecemos a Rhand Leal pela tradução para o português.


Os mais populares posts do blog ISO 27001 & ISO 22301

ByDejan Kosutic on March 26, 2014

Este é o meu centésimo post no blog! Quando eu comecei este blog a quatro anos atrás, nunca sonhei que teria tantas coisas sobre o que escrever… E agora, quanto mais eu escrevo, mais ideias eu tenho – agora mesmo, eu tenho ao menos 10 novos tópicos em mente.

Mas desta vez eu não escreverei algo novo; talvez esta seja uma boa ocasião para resumir os mais populares artigos deste blog. Então aqui estão eles:

Artigo gerais sobre segurança da informação e continuidade de negócio:

Artigos sobre ISO 27001:

Artigos sobre ISO 22301:

Caso você deseje receber novos posts do blog automaticamente, inscreva-se em nosso informativo ISO 27001 & ISO 22301 ou RSS feed. E agora, vamos rumo ao artigo número 200!

Nós agradecemos a Rhand Leal pela tradução para o português.


Qual seguir – Cybersecurity Framework ou ISO 27001?

ByDejan Kosutic on February 25, 2014

Em 12 de Fevereiro de 2014, o National Institute of Standards and Technology (NIST) publicou o “Framework for Improving Critical Infrastructure Cybersecurity”, comumente conhecido como Cybersecurity Framework. Se você já trabalhou com a ISO 27001 deve estar imaginando: O que este Framework tem a ver com a ISO 27001? Deveria usar um ao invés do outro? Qual é o melhor para a minha organização?

Visão geral

O Cybersecurity Framework vem decorente da ordem executiva “Improving Critical Infrastructure Cybersecurity”, de 2013, do presidente dos EUA, e originalmente era destinado para as organizações dos EUA que eram consideradas parte da infraestrutura crítica. Contudo, ele é adequado para uso por qualquer organização que enfrente riscos de cibersegurança, e é voluntário.

A ISO/IEC 27001 é uma norma de segurança da informação publicada em 2005 e revisada em 2013, publicada pela International Organization for Standardization (ISO). Embora não seja obrigatória, ela é aceita em vários países como um dos principais de facto frameworks para implementação de segurança da informação / cibersegurança. Ele descreve o sistema de gestão de segurança da informação, e coloca a segurança no contexto geral da gestão e dos processos em uma organização.

O que o Cybersecurity Framework e a ISO 27001 tem em comum?

Mais importante, tanto o Cybersecurity Framework quanto a ISO 27001 fornecem uma metodologia sobre como implementar a segurança da informação ou a cibersegurança em uma organização. Na verdade, você poderia implementar a segurança da informação de acordo com quaisquer um deles, e você provavelmente obteria bons resultados.

Ambas são neutras em termos de tecnologia, aplicáveis a qualquer tipo de organização (não apenas para aquelas que são parte da infraestrutura crítica), e ambas tem o propósito de atingir benefícios de negócio ao mesmo tempo em que observam requisitos regulatórios e legais, além de requisitos de todas as partes interessadas.

E, talvez a maior similaridade, seja que ambas são baseadas em gestão de riscos: isto significa que ambas requerem que a implementação de salvaguardas somente seja feita se riscos de cibersegurança forem detectados.

O que o Framework possui que a ISO 27001 não tem?

O que eu realmente gosto no Cybersecurity Framework é sua estrutura clara quando se trata de planejamento e implementação – Eu devo admitir que é melhor do que a ISO 27001 neste respeito:

O Framework Core encontra-se dividido em Funções (Identificar, Proteger, Detectar, Responder, e Recuperar), e então em 22 Categorias relacionadas (e.g., Gestão de ativos, Gestão de riscos, etc. – muito similar as seções do Anexo A da ISO 27001), 98 Subcategorias (muito similar aos controles do Anexo A da ISO 27001), e para cada subcategoria diversas referências são feitas para outros frameworks tais como ISO 27001, COBIT, NIST SP 800-53, ISA 62443 e CCS CSC. Desta forma, é muito fácil ver o que são os requisitos para a cibersegurança, onde encontrá-los e como implementá-los.

O Framework Implementation Tiers (Parcial, Informado sobre o Risco, Repetível e Adaptativo) explica quão profundamente a implementação da cibersegurança deveria ir. Desta forma, uma organização pode facilmente decidir até onde ela quer chegar com sua implementação, levando em conta os requisitos das várias partes interessadas.

O Framework Profile (e.g., Profile Atual, Profile Alvo) facilmente ilustra onde a organização encontra-se no momento, em relação as categorias e subcategorias do Framework Core, e onde ela quer chegar. Desta forma, é muito fácil ver onde as lacunas estão, e então planos de ação podem ser desenvolvidos para eliminar essas lacunas.

Adicionalmente, o Framesita Profiles podem ser utilizados para definir requisitos mínimos para outras organizações – e.g., fornecedores ou parceiros, e tal técnica infelizmente não existe na ISO 27001.

De modo geral, o Cybersecurity Framework capacita a alta administração, engenheiros e outras equipes de TI a entender facilmente o que é para ser implementado, e onde as lacunas estão.

Onde a ISO 27001 é melhor

Uma das maiores vantagens da ISO 27001 é que organizações podem ser certificadas por ela – isto significa que uma organização pode provar aos seus clientes, parceiros, acionistas, agências governamentais e outros, que ela pode de fato manter suas informações seguras.

Adicionalmente, a ISO 27001 é uma norma reconhecida e aceita internacionalmente – se uma organização dos EUS quer provar sua capacidade para seus clientes, parceiros e agências governamentais fora do Estados Unidos, a ISO 27001 será bem melhor dos que Cybersecurity Framework.

A ISO 27001 se concentra em proteger todos os tipos de informação, não apenas aquelas armazenadas ou processadas em sistemas de TI. É verdade que informações em papel tem cada vez menos importância, mas para algumas organizações tais informações ainda podem representar ricos significativos.

Diferentemente do Cybersecurity Framework, a ISO 27001 define claramente quais documentos e registros são necessários, e quais os mínimos que devem ser implementados. Veja também o artigo Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).

Finalmente, se o Framework se concentra apenas em como planejar e implementar a cibersegurança, a ISO 27001 utiliza uma abordagem muito mais ampla– sua metodologia é baseada no ciclo PDCA, o que significa que ela constrói um sistema de gestão que não apenas planeja e implementa a cibersegurança, mas que também mantém e melhora todo o sistema. Isto porque a prática tem mostrado que não basta apenas planejar e implementar um sistema, porque sem medições constantes, revisões, auditorias, ações corretivas e melhorias, tal sistema irá gradualmente se deteriorar e finalmente perder o seu propósito. Saiba mais aqui: Lista de verificação para implementação da ISO 27001.

Cybersecurity Framework ou ISO 27001?

Bem, eu diria que não é uma questão de “um ou outro” – me parece que seria melhor combinar os dois. (A propósito, o Cybersecurity Framework sugere que ele pode ser facilmente complementado por outros programas ou sistemas, e a ISO 27001 já se provou ser um bom framework guarda-chuva para diferentes metodologias de segurança.)

O Cybersecurity Framework é melhor quando ele vem para estruturar áreas de segurança que estão para serem implementadas e quando o propósito é definir exatamente os perfis de segurança que devem ser atingidos; a ISO 27001 é melhor para se obter uma imagem holística: para projetar um sistema dentro do qual a segurança pode ser gerenciada no longo prazo.

Desta forma, eu entendo que os melhores resultados podem ser atingidos se o projeto de toda a segurança da informação / cibersegurança fosse definido de acordo com a ISO 27001 (cláusulas 4, 5, 7, 9 e 10), e o Cybersecurity Framework fosse utilizado quando do levantamento de riscos e da implementação de áreas e salvaguarda de cibersegurança em particular. Claro que a prática irá mostrar como o Cybersecurity Framework funciona na vida real, e se este tipo de combinação faz sentido. Qual a sua opinião?

Para um melhor entendimento sobre como implementar a cibersegurança, veja este eBook gratuito 9 Steps to Cybersecurity.

Nós agradecemos a Rhand Leal pela tradução para o português.


Estudo de caso da ISO 27001 para data centers: Uma entrevista com Goran Djoreski

ByDejan Kosutic on October 30, 2013

DK: Mais de uma ano e meio se passou desde que você foi certificado pela ISO 27001 – quais são suas impressões? Valeu a pena?

GD: Definitivamente valeu a pena, uma vez que uma certificação ISO 27001 não é necessariamente uma vantagem competitiva, mas sim uma necessidade. O contexto da estória toda é que estamos tentando atender mercados sujeitos a regulamentações. Estamos falando da indústria farmacêutica. Telecomunicações, indústria financeira, e talvez no futuro indústrias de alimentos e similares, e todos eles são extremamente regulados, e em uma conversa com eles você descobre que a ISO 27001 é algo que eles esperam, caso contrário eles não querem conversar com você. Então ninguém diria que vale a pena porque a certificação traz clientes para nós; ao invés disso, ela nos permite entrar em um mercado que de outro modo estaria fechado para nós.

DK: Por que tantos clientes em potencial estão dando ênfase a ISO 27001; Por que esta norma é aceita como necessária?

GD: Para eles a ISO 27001 frequentemente não é o bastante. Ela é necessária, mas não suficiente. Mas com a ISO 27001 eles estabelecem uma patamar inicial, algo do tipo: “Agora nós podemos começar a conversar.” Se uma empresa tem um certificado ISO 27001, eles assumem que alguns critérios básicos são atendidos, e após isso, eles estão realmente interessados em seus anexos específicos. Adicionalmente, o processo da ISO 27001 encurta a auditoria deles – que passa a durar apenas dois dias, ao invés de seis.

DK: Então a ISO 27001 é na verdade considerada uma linha de base.

GD: Exato, uma linha de base.

DK: Há alguma outra norma sendo considerada, que poderia ser uma linha de base para estes compradores em potencial?

GD: Não, eu diria que a ISO 27001 é o principal requisito. Em particular, a indústria financeira considera a PCI DSS, mas uma vez que somos uma infraestrutura de data center, nós não nos aprofundamos em seus dados e transações quando entregamos a infraestrutura, e caso a PCI DSS fosse considerada, tudo não relacionado a infraestrutura está fora do escopo para nós. Então eles esperam que com a certificação ISO 27001 nós tratemos aqueles capítulos da PCI DSS que são relevantes para a infraestrutura. Eles não pedem pela ISO 9001 porque em geral eles assumem que se temos a certificação ISO 27001, a ISO 9001, que é importante para eles, já está incluída.

DK: Se eu entendi bem o seu negócio, você primariamente alugam infraestrutura, e então não manuseiam os dados propriamente ditos?

GD: Na maioria dos casos é desta forma sim.

DK: Quão benéfica é a certificação ISO 27001 para você como um provedor de serviços de infraestrutura, considerando que esta norma tem um foco em informação?

GD: Eu diria que a ISO 27001 não é baseada apenas em informação, mas também em tudo que ajuda a garantir a segurança e transferência desta informação, e tudo necessário para fazer com que a informação esteja disponível, seja autêntica, etc. De fato, a informação por si só não pode existir fora de uma infraestrutura.

DK: Recentemente, a tendência tem sido cada vez mais e mais em direção das estruturas em nuvem; quão útil é a ISO 27001 considerando esta tendência, ou ela está mais para um obstáculo? Ela pode ser um obstáculo de fato, uma vez que organizações utilizando serviços em nuvem na verdade perdem o controle sobre seus dados.

GD: Na verdade ão. Se nós pensarmos a nuvem da forma como ela é utilizada pelos grandes provedores – como a Amazon AWS, Rackspace ou similares – eles possuem nuvens altamente industrializadas, e possuem um conjunto padronizado de produtos, os quais atendem mais ou menos o mesmo padrão; tudo isto é projetado de forma a se ter data centers ao redor do mundo, e que eles possam migrar servidores virtuais entre eles, então desta forma, a partir desta perspectiva realmente parece que os usuários não tem controle sobre seus dados. Você não tem como saber onde eles estão, uma vez que hoje eles podem estar em Johannesburgo e amanhã talvez em Munique, e você não tem influência sobre a estrutura da rede, etc. Isto é uma nuvem.

Mas a nuvem é também algo mais. A nuvem também é o que fazemos, mas comparado a outros fornecedores nós faríamos uma distinção, assim como fazemos ente roupas sob medida e roupas  manufaturadas de forma industrial. Assim nós fazemos redes sob medida: o usuário, que vem até nós, entra em acordo conosco sobre a estrutura da rede, onde o servidor virtual será colocado, e durante o processo, como a segurança será tratada. Claro que tudo isso está dentro de certos padrões  com relação aos grandes provedores, uma vez que são nos servidores deles e em suas cidades, entre outros fatores, onde as máquinas virtuais dos usuários estão fisicamente localizadas. Nós podemos definir uma estrutura, dentro da qual a nuvem estará atuando.0

DK: Então, em contraste com estes provedores altamente industrializados também existem pequenos provedores, que de fato ajustam a nuvem para necessidades de segurança específicas de seus clientes.

GD: Sim. Na verdade, em minha opinião, neste tipo de arranjo nós temos conseguido conciliar segurança e economia. A nuvem poupa recursos significativos e torna possível alcançar o mesmo nível de redundância, ou até superá-lo, e em caso de falhas ou problemas técnicos, o servidor virtual continuará a operar em uma infraestrutura completamente diferente e você não precisará comprar 3 ou 4 servidores para este propósito. Isto significa que nós alinhamos a abordagem com a fato de que o ambiente, onde tudo está configurado, será controlado, de forma que você estará ciente do fato de que poderá compartilhar um servidor físico com outro usuário. Mas, por outro lado, você saberá que possui um segmento de rede completamente separado – que entre você e qualquer um existe um firewall, que ele esta em um cluster, onde o acesso é controlado, de forma que não existe a possibilidade de que alguém remova um disco do servidor e o coloque de volta sem controle, etc. Ele de fato dá ao usuário a sensação de que eles tem a mesma segurança de antes, mas com os benefícios de utilizar uma nuvem.

Por favor clique aqui para ler o restante desta entrevista: Entrevista com Goran Djoreski: Organizações precisam escrever sua própria documentação da ISO 27001.

Goran Djoreski é CEO do Data Center independente Altus Information Technology. Anteriormente ele trabalhou por 12 anos na indústria financeira, empregado na Card business development, assim como na segurança de pagamentos com cartões de crédito.

Nós agradecemos a Rhand Leal pela tradução para o português.


Como abordar as principais preocupações envolvendo a implementação da ISO 27001

ByDejan Kosutic on October 23, 2013

Semana passada eu apresentei dois webinars sobre ISO 27001, e solicitei aos participantes que me enviassem suas principais preocupações a respeito da implementação da ISO 27001 antes que os webinars fossem realizados.

Eu resumi as preocupações mais comuns nas cinco áreas apresentadas a seguir – eu as apresentei nos webinars, e aqui está uma explicação mais detalhada sobre como eu entendo que elas deveriam ser abordadas:

1) O esforço requerido para realizar a transição da versão 2005 para a 27001 versão 2013

É verdade que cada organização certificada pela ISO 27001:2005 terá de realizar a transição para a versão 2013 dentro de dois anos, e é verdade que a versão 2013 possui novos requisitos, enquanto alguns foram eliminados. Também é verdade que este processo não será finalizado em algumas horas, mas certamente não será nada perto do esforço inicial para implementação da norma.

A chave encontra-se em um planejamento cuidadoso – se você souber exatamente quais passos precisa tomar, você reduzirá este esforço de transição ao mínimo. Com isto em mente, leia meu artigo Como fazer a transição da ISO 27001 versão 2005 para a versão 2013.

2) Comunicar com sucesso uma razão benéfica de por que uma organização deveria implementar a ISO 27001

A chave é determinar benefícios para o aspecto de negócio da organização – benefícios que são facilmente entendidos e que claramente agregam valor ao negócio, não para a TI. Isto porque, no final das contas, a decisão sobre a ISO 27001 não será feita pelo responsável pelo departamento de TI, e sim pela administração sênior da organização.

Na minha opinião, existem quatro benefícios potenciais que podem ser aplicados às organizações: (1) conformidade, (2) vantagem mercadológica, (3) redução de custos, e (4) otimização de processos. Clique aqui para ler os detalhes: Quatro benefícios chave da implementação da ISO 27001.

3) Definir um processo de levantamento e tratamento de riscos adequado e pragmático

Primeiro de tudo, levantamento e tratamento de risco não pode ser realizado baixando um arquivo que você encontrou em algum lugar na Internet, ou através do uso da primeira ferramenta que você encontrou. A gestão de risco precisa ser feita baseada em uma metodologia de levantamento e tratamento de risco que esteja adaptada ao tamanho de sua organização, seus vários requisitos e a sensitividade da informação que você possui.

Muitas vezes tenho visto pequenas organizações utilizando uma ferramenta de levantamento de risco que é feita para grandes organizações, apenas para perceber que eles gastaram seis meses para realizar um trabalho que poderiam ter terminado em um mês, e com resultados questionáveis. Entretanto, antes de iniciar seu processo de gestão de riscos, você precisa encontrar uma metodologia apropriada que definirá como identificar os principais elementos dos seus riscos (ativos, ameaças e vulnerabilidades) e quais escalas você usará para avaliar as consequências  e a probabilidade. Registre-se para este webinar para mais informações: The basics of risk assessment and treatment according to ISO 27001.

4) Os recursos requeridos para manter a certificação

Eu temo que esta preocupação mostre-se como um dos principais mitos sobre a ISO 27001 – de que os documentos são escritos apenas para fins de certificação. Deixe-me dar um exemplo – se você desenvolve uma política de Backup porque implementa a ISO 27001, você irá necessitar de recursos adicionais apenas porque agora está em conformidade com esta política? Ou, quer apenas deixar claro para todos como ele é realizado, caso já venha realizando seu backup normalmente, antes de escrever a política?

Meu ponto é – você não deveria escrever o documento por causa do auditor – você tem que escrevê-los por você. E caso você faça isso, não existem recursos adicionais requeridos porque tais regras são parte da sua rotina diária; em alguns casos você  até mesmo terá menos trabalho porque alguns problemas (isto é, incidentes de segurança) não acontecerão novamente..

5) Quanto tempo o SGSI tomará das minhas atividades principais?

A resposta para esta questão é muito similar a da questão anterior, mas eu adicionaria que, claro, você precisará de alguém para coordenar todos os esforços de segurança da informação em sua organização. Mas se você tem, por exemplo, 50 empregados, estes irão requerer talvez um par de horas de trabalho por semana, de forma que isto pode ser a atividade de alguém em paralelo com seu trabalho normal. Somente quando você passa o número de 1.000 empregados em uma organização é que você deveria considerar um responsável pela segurança em tempo integral – mas este profissional de segurança da informação provavelmente economizará a você tanto dinheiro ao prevenir incidentes que esta decisão certamente valerá a pena.

Clique aqui para se registrar para um webinar gratuito ISO 27001: An overview of ISMS implementation process.

Nós agradecemos a Rhand Leal pela tradução para o português.