ISO 27701 – O que é e seus requerimentos
Autor: Telium Networks
Publicação: 07/10/2022 às 11:00
Mas que raios é ISO?
É bem provável que você já tenha se deparado de alguma forma com o conceito de certificação ISO. Seja por meio do famosíssimo e muito propagandeado “ISO 9001” ou por ler o rótulo de algum produto ou descrição de algum serviço exaltando a posse de uma das diversas certificações ISO.
Criada em 1947 no Reino Unido por representantes de 25 países, a Organização Internacional de Padronização tinha o objetivo de “facilitar a coordenação internacional e unificação dos padrões industriais”.
Hoje, a organização conta com a adesão de 161 países, sendo representada pela ABNT no Brasil.
Para que servem as normas ISO?
As normas ISO são sistemas de normatização e padronização internacionais, que funcionam de modo que seja possível averiguar a qualidade de produtos e serviços internacionalmente por meio de um mesmo padrão.
Ao ser certificado com o selo ISO, os possíveis parceiros comerciais de uma empresa entendem que ela está de acordo com aquele conjunto de normas e padrões, facilitando a interação entre ambos. Além, é claro, de atestar um alto padrão de qualidade.
O ISO 27701
A norma 27701 traz os requisitos e diretrizes para implementação de um Sistema de Gestão de Privacidade da Informação (SGPI) para a gestão de privacidade da organização.
Sendo a informação um dos recursos mais valiosos dentro de uma companhia, é necessário, para muitos parceiros comerciais, que seus dados e sistemas estão devidamente protegido, especialmente quando esses são altamente sigilosos.
Por isso, uma empresa certificada com a ISO 27701 demonstra ao mercado a sua capacidade e compromisso com a segurança da informação.
Objetivos
Dentre os objetivos da ISO 27701 podemos listar:
- Identificar boas práticas de segurança da informação;
- Apoiar a implementação de SGTIs;
- Identificar e avaliar vulnerabilidades;
- Participar em auditorias de Segurança da Informação;
Público Alvo
Colaboradores de empresas que pretendem ser/são auditores ou irão participar de auditorias de Gestão em Segurança da Informação;
Profissionais que pretendem ser auditores de Gestão em Segurança da Informação;
Auditores que pretendem se capacitar.
Requisitos
1 – Classificação de dados: é necessário desenvolver um inventário de arquivos que identifique quais as informações que você possui.
2 – Proteção de dados: implementação de política de proteção de dados apoiada por procedimentos de retenção e destruição. Devem ser consideradas as recomendações da LGPD:
Pseudonimização e criptografia de dados pessoais;
Garantia de confidencialidade, integridade;
Políticas de backup e redundância em arquivos e sistemas;
Avaliação e testes regulares das medidas técnicas e organizacionais para garantir a segurança de dados pessoais.
3 – Gerenciamento de incidentes: identificação e comunicação sem atrasos de incidentes de segurança;
4 – Avaliação de riscos e impacto de privacidade: obrigatórias junto com a adoção do Privacy by Design, segundo a LGPD, no desenvolvimento de produtos e sistemas.
5 – Treinamentos – a certificação trata não somente da normas e técnicas, mas também de pessoas, sendo necessário que a equipe esteja capacitada.
A ISO27701 expande a ISSO 27001, trazendo diretrizes e normas para empresas que lidam com dados e tecnologia. Possuir esses certificados é uma ótima oportunidade de ganhar a confiança do mercado e expandir seus negócios!