Certificar que os teus fornecedores cumprem as normas ISO 27001 é crucial para proteger os teus dados. Verifica a sua certificação para garantir que as tuas informações sensíveis permanecem seguras e protegidas.

Segurança e privacidade são as palavras de ordem da era moderna. Com cada nova violação de alto perfil e com o aumento das leis de proteção de dados a nível mundial, cabe a todas as empresas e organizações demonstrar que estão a tomar medidas razoáveis para proteger as informações pessoais que utilizam. É aqui que as normas de segurança, como a ISO 27001, têm um papel importante.

O que é a ISO 27001?

A norma ISO 27001 é uma forma de demonstrar que analisou a sua empresa, identificou riscos, agiu para minimizar a probabilidade e/ou o impacto desses riscos e que uma entidade externa independente verificou se tudo o que está a fazer é razoável. Como esta verificação ocorre todos os anos, é um compromisso contínuo de conformidade.

Ao selecionar fornecedores, quer seja um
outsourcer que processará o teu trabalho em papel, ou um fornecedor SaaS que processará
informação na nuvem, ou qualquer outro serviço em que confiarás
nas suas normas de segurança para proteger os teus dados e reputação, a ISO 27001 é uma certificação
valiosa. Mas como podes ter a certeza de que a empresa com que estás
a lidar tem uma certificação válida?

Conformidade com a ISO 27001 vs Certificação ISO 27001

Bem, a primeira coisa a fazer é pedir uma cópia do certificado ISO. É comum encontrar fornecedores que afirmam com orgulho que estão “alinhados com a ISO 27001”, mas pensa no que isso significa. Alinhado e certificado são coisas muito diferentes. Se uma empresa está a fazer todo o trabalho árduo para se “alinhar” com a norma ISO, porque não dar o passo final e obter a certificação? Ou será que já foi certificada anteriormente e a certificação foi retirada por não cumprir os padrões exigidos?

O âmbito da ISO 27001

Depois de receberes o certificado, a próxima coisa a verificar é se é válido e se cobre as áreas para as quais pretendes utilizar o fornecedor. Por isso, o primeiro passo é verificar a data de expiração do certificado. Se tiver expirado, não é válido. Em seguida, verifica se o organismo que emitiu o certificado está acreditado. A lista de membros do IAF documenta claramente quem está autorizado a acreditar os organismos de certificação. Por exemplo, no Reino Unido, é o UKAS. Em seguida, verifica se o organismo que acreditou o certificado do vendedor está listado no site do país específico.

Agora sabemos que o certificado é válido,
mas ainda não acabámos. Em seguida, precisamos verificar se o certificado cobre as
atividades que queremos que o fornecedor realize nos locais onde o trabalho
ocorrerá. A ISO 27001 permite-te selecionar aquilo em que serás certificado e
os locais específicos a que se aplica. Este é o âmbito da certificação.

Por exemplo, digamos que uma empresa que lida com a eliminação segura de papelada expande as suas operações para um novo local. Tem uma certificação ISO para a sua instalação original. A certificação não abrange o novo local até completar o processo de certificação para o mesmo. Agora, uma certificação pode abranger vários locais, mas apenas se tal estiver explicitamente indicado. E se a mesma empresa decidisse comprar um fornecedor de folhas de pagamento SaaS? O certificado ISO é apenas para a eliminação segura da papelada, não abrange a operação SaaS.

Finalmente, quando estiveres convencido de que o certificado
cobre o âmbito que pretendes, tens de verificar os controlos que o
fornecedor tem em vigor para garantir que cumprem os teus requisitos e expectativas.
A certificação ISO é um processo contínuo e em evolução. À medida que a natureza dos riscos
e os requisitos do cliente mudam, o mesmo acontece com os controlos. Por isso, verifica os controlos do teu fornecedor
e, se não corresponderem aos teus requisitos, insiste para que sejam implementados mais controlos
. Isto dar-lhe-á a paz de espírito de que necessita, ao mesmo tempo que
facilita a recertificação do fornecedor, uma vez que este pode
demonstrar que está a avaliar ativamente os controlos que utiliza e a actualizá-los
conforme necessário.

A forma como seleciona os fornecedores e os avalia é um aspeto importante da manutenção da sua própria certificação ISO 27001, por isso lembra-te destes três passos:

Primeiro, verifica se o certificado do fornecedor é válido.

Em segundo lugar , verifica se o âmbito de aplicação é aplicável.

Por último, verifica se os controlos correspondem às tuas necessidades e expectativas.

A MetaCompliance orgulha-se de estar em conformidade com a norma ISO 27001. Na MetaCompliance, sempre nos esforçámos por fornecer aos nossos clientes a mais sólida infraestrutura de segurança da informação. Esta certificação garante que os nossos produtos são definidos de acordo com os mais elevados padrões através de processos aprovados e documentados e que estamos empenhados no mais elevado padrão de segurança da informação. Para mais informações, entra em contacto connosco.