Alguns passos para a certificação
Prepare uma equipe de implementação
Sua primeira tarefa é nomear um líder de projeto para supervisionar a implementação do SGSI.
Eles devem ter um conhecimento abrangente de segurança da informação, bem como autoridade para liderar uma equipe e dar ordens aos gerentes (cujos departamentos eles precisarão revisar). Você pode contratar um curso de auditor interno da ISO 27001:2013 para treinar os seus colaboradores.
Gerencie a implementação como um projeto
Como qualquer projeto, na implementação e certificação da norma ISO 27001:2013. Você deve, estabelecer prazos, envolver pessoas, definir custos. Revisar o andamento do projeto, mensurar o que já está implementado e o que falta.
Inicie o Sistema de gestão de segurança da informação
ISO 27001 não especifica um método particular, apenas recomenda uma “abordagem de processo” como a PDCA.
Você pode usar qualquer modelo, desde que os requisitos e processos sejam claramente definidos, implementados corretamente e revisados e aprimorados regularmente.
Crie as politicas contidas na norma, as quais você encontrará no checklist ISO 27001:2013.
Defina o escopo de certificação
Se a sua organização for maior, provavelmente faria sentido implementar a ISO 27001 apenas em uma parte da organização.
Reduzindo significativamente o risco do projeto e até custos envolvidos.
Porém se a sua empresa tiver menos de 100 funcionários, provavelmente será mais fácil incluir a empresa inteira no escopo.
A definição do escopo precisa ser desenvolvida com cuidado e atenção e deve estar disponível como informação documenta.
Metodologia para avaliação do risco
A avaliação de riscos é tarefa complexa no projeto ISO 27001 , o objetivo é definir as regras para identificar os riscos, impactos e probabilidade, e definir o nível aceitável de risco.
Se essas regras não forem claras o suficiente, você poderá se ver em uma situação em que obterá resultados inutilizáveis.
Matriz de aplicabilidade (Anexo A) da ISO 27001
O anexo A da norma contém 114 controles. Para cada um deles, a sua organização precisa ter mapeado os controles que serão utilizados.
Os controles não utilizados precisará ter uma explicação do por que a não aplicabilidade.
Checklist ISO 27001 online
Agora que já demos uma breve introdução, recomendamos que você acesse no checklist online desenvolvido para descomplicar a implementação. Para isso você pode clicar aqui ou no botão embaixo no final deste artigo.
Sinta-se a vontade de explorar a ferramenta e aproveite ela bastante enquanto está disponível como ferramenta gratuita.
Se funcionou para você não esqueça de compartilhar a ferramenta para que possamos ajudar o máximo de organizações com a implementação.
