Segurança e privacidade são palavras de ordem da era moderna. Com cada nova violação de alto nível, e com o aumento das leis de Protecção de Dados a nível mundial, cabe a cada empresa e organização demonstrar que estão a tomar medidas razoáveis para proteger as informações pessoais que utilizam. É aqui que as normas de segurança, tais como a ISO 27001, têm um papel importante.
O que é a ISO 27001 ?
A ISO 27001 fornece uma forma de mostrar que analisou os seus negócios, identificou riscos, agiu para minimizar a probabilidade e/ou impacto desses riscos, e que depois teve uma verificação externa independente de que tudo o que está a fazer é razoável. Como esta verificação acontece todos os anos, é um compromisso contínuo de conformidade.
Ao seleccionar vendedores, quer seja um outsourcer que processará o seu trabalho burocrático, ou um vendedor SaaS que processará informação na nuvem, ou qualquer outro serviço em que confiará nas suas normas de segurança para proteger os seus dados e reputação, a ISO 27001 é uma certificação valiosa. Mas como pode ter a certeza de que o negócio com que está a lidar tem uma certificação válida?
Conformidade ISO 27001 vs ISO 27001 Certificado
Bem, a primeira coisa a fazer é pedir uma cópia do certificado ISO. É comum encontrar vendedores que alegam com orgulho que estão "alinhados com a ISO 27001", mas pensem no que isto significa. Alinhados e certificados são coisas muito diferentes. Se uma empresa está a fazer todo o trabalho árduo para "alinhar" com a norma ISO, porque não dar o passo final e obter a certificação? Ou será que já foram previamente certificadas e foram retiradas por não cumprirem as normas exigidas?
O âmbito de aplicação da ISO 27001
Uma vez recebido o certificado, a próxima coisa a verificar é que este é válido e que cobre as áreas para as quais pretende utilizar o fornecedor. Assim, o primeiro passo aqui é verificar a data de expiração do certificado. Se tiver expirado, não é válido. A seguir, verificar se o organismo que emitiu o certificado está acreditado. A Lista de Membros da IAF documenta claramente quem está autorizado a credenciar os organismos de certificação. Por exemplo, no Reino Unido, é o UKAS. Em seguida, verifique se o organismo que acreditou o certificado do vendedor está listado no site específico do país.
Sabemos agora que o certificado é válido, mas ainda não terminámos. A seguir, temos de verificar se o certificado cobre as actividades que queremos que o fornecedor realize nos locais onde o trabalho terá lugar. A ISO 27001 permite seleccionar aquilo em que será certificado e os locais específicos a que se aplica. Este é o âmbito da certificação.
Por exemplo, digamos que uma empresa que lida com a eliminação segura de papelada expande as suas operações para um novo local. Têm uma certificação ISO para o seu sítio original. A certificação não cobre o novo sítio até que este conclua o processo de certificação do mesmo. Agora uma certificação pode abranger vários sítios, mas apenas se for explicitamente declarada. Ou e se a mesma empresa decidir adquirir um fornecedor de folha de pagamento SaaS? O certificado ISO é apenas para a eliminação segura de papelada, não cobre a operação SaaS.
Finalmente, uma vez satisfeito que o certificado cobre o âmbito que necessita, terá de verificar os controlos que o fornecedor tem em vigor para se certificar de que satisfazem os seus requisitos e expectativas. A certificação ISO é um processo contínuo e evolutivo. medida que a natureza dos riscos e os requisitos do cliente mudam, o mesmo acontece com os controlos. Portanto, verifique os controlos do seu fornecedor, se não satisfizerem os seus requisitos, então insista para que sejam postos em prática outros controlos. Isto dar-lhe-á a tranquilidade de que necessita, ao mesmo tempo que torna a recertificação mais fácil para o fornecedor, pois podem demonstrar que estão a avaliar activamente os controlos que utilizam e actualizá-los conforme necessário.
A forma como selecciona os vendedores e os avalia é um aspecto importante para manter a sua própria certificação ISO 27001, por isso lembre-se destes três passos:
Primeiro - verificar se o certificado do vendedor é válido.
Segundo - verificar se o âmbito é aplicável.
Finalmente - verifique se os controlos satisfazem as suas necessidades e expectativas.
A MetaCompliance orgulha-se de estar em conformidade com a norma ISO 27001. Na MetaCompliance, sempre nos esforçámos por fornecer aos nossos clientes a mais forte infra-estrutura de segurança da informação. Esta certificação garante que os nossos produtos são estabelecidos segundo os mais elevados padrões através de processos aprovados e documentados e que estamos empenhados no mais alto padrão de segurança da informação. Para mais informações, entre em contacto.