Certificar que seus fornecedores aderem aos padrões ISO 27001 é crucial para proteger seus dados. Verifique a certificação deles para garantir a segurança das suas informações sensíveis.
Segurança e privacidade são palavras de ordem da era moderna. Com cada nova violação de alto nível, e com o aumento das leis de Protecção de Dados a nível mundial, cabe a cada empresa e organização demonstrar que estão a tomar medidas razoáveis para proteger as informações pessoais que utilizam. É aqui que as normas de segurança, tais como a ISO 27001, têm um papel importante.
O que é a certificação ISO 27001?
A ISO 27001 fornece uma forma de mostrar que analisou os seus negócios, identificou riscos, agiu para minimizar a probabilidade e/ou impacto desses riscos, e que depois teve uma verificação externa independente de que tudo o que está a fazer é razoável. Como esta verificação acontece todos os anos, é um compromisso contínuo de conformidade.
Ao selecionar fornecedores, quer se trate de um um outsourcer que irá processar o seu trabalho em papel, ou um fornecedor SaaS que irá processar informações na nuvem, ou qualquer outro serviço em que esteja a confiar nas suas normas de segurança para proteger os seus dados e a sua reputação, a ISO 27001 é uma certificação valiosa. Mas como pode ter a certeza de que a empresa com que está a está a negociar tem uma certificação válida?
Conformidade ISO 27001 vs. certificação ISO 27001
Bem, a primeira coisa a fazer é pedir uma cópia do certificado ISO. É comum encontrar vendedores que alegam com orgulho que estão "alinhados com a ISO 27001", mas pensem no que isto significa. Alinhados e certificados são coisas muito diferentes. Se uma empresa está a fazer todo o trabalho árduo para "alinhar" com a norma ISO, porque não dar o passo final e obter a certificação? Ou será que já foram previamente certificadas e foram retiradas por não cumprirem as normas exigidas?
O escopo da norma ISO 27001
Uma vez recebido o certificado, a próxima coisa a verificar é que este é válido e que cobre as áreas para as quais pretende utilizar o fornecedor. Assim, o primeiro passo aqui é verificar a data de expiração do certificado. Se tiver expirado, não é válido. A seguir, verificar se o organismo que emitiu o certificado está acreditado. A Lista de Membros da IAF documenta claramente quem está autorizado a credenciar os organismos de certificação. Por exemplo, no Reino Unido, é o UKAS. Em seguida, verifique se o organismo que acreditou o certificado do vendedor está listado no site específico do país.
Agora sabemos que o certificado é válido, mas ainda não terminámos. De seguida, temos de verificar se o certificado abrange as actividades que queremos que o fornecedor realize nos locais onde o trabalho será o trabalho terá lugar. A ISO 27001 permite-lhe selecionar aquilo em que será certificado e os sítios específicos a que se aplica. Este é o âmbito da certificação.
Por exemplo, digamos que uma empresa que lida com a eliminação segura de papelada expande as suas operações para um novo local. Têm uma certificação ISO para o seu sítio original. A certificação não cobre o novo sítio até que este conclua o processo de certificação do mesmo. Agora uma certificação pode abranger vários sítios, mas apenas se for explicitamente declarada. Ou e se a mesma empresa decidir adquirir um fornecedor de folha de pagamento SaaS? O certificado ISO é apenas para a eliminação segura de papelada, não cobre a operação SaaS.
Por último, quando estivermos convencidos de que o o certificado cobre o âmbito exigido, é necessário verificar os controlos que o para garantir que cumprem os seus requisitos e expectativas. A certificação ISO é um processo contínuo e evolutivo. À medida que a natureza dos riscos e os requisitos do cliente mudam, o mesmo acontece com os controlos. Por isso, verifique os controlos do seu fornecedor se não satisfazem os seus requisitos, insista para que sejam controlos adicionais. Isto dar-lhe-á a paz de espírito de que necessita, ao mesmo tempo que ao mesmo tempo que facilita a recertificação do fornecedor, uma vez que este pode demonstrar que está a avaliar ativamente os controlos que utiliza e a actualizá-los e actualizá-los conforme necessário.
A forma como selecciona os vendedores e os avalia é um aspecto importante para manter a sua própria certificação ISO 27001, por isso lembre-se destes três passos:
Primeiro - verificar se o certificado do vendedor é válido.
Segundo - verificar se o âmbito é aplicável.
Finalmente - verifique se os controlos satisfazem as suas necessidades e expectativas.
A MetaCompliance orgulha-se de estar em conformidade com a norma ISO 27001. Na MetaCompliance, sempre nos esforçámos por fornecer aos nossos clientes a mais forte infra-estrutura de segurança da informação. Esta certificação garante que os nossos produtos são estabelecidos segundo os mais elevados padrões através de processos aprovados e documentados e que estamos empenhados no mais alto padrão de segurança da informação. Para mais informações, entre em contacto.