8 perguntas tecnicas sobre Auditoria ISO 27001 — Sistema de Gestao de Seguranca da Informacao. Prazos, metodologia, entregaveis e criterios de avaliacao.
A ISO 27001 e a norma internacional para sistemas de gestao de seguranca da informacao (SGSI). Define requisitos para estabelecer, implementar, manter e melhorar continuamente a protecao de ativos de informacao.
Qualquer organizacao que gerencie informacoes sensiveis: empresas de tecnologia, entidades financeiras, prestadores de saude, orgaos governamentais e provedores de servicos que lidam com dados de terceiros.
Um diagnostico de lacunas tipico requer de 5 a 20 dias uteis, dependendo do tamanho da organizacao, quantidade de ativos de informacao e complexidade da infraestrutura tecnologica.
Realiza-se uma analise de lacunas contra os 93 controles do Anexo A (versao 2022), revisao da declaracao de aplicabilidade, avaliacao de riscos e verificacao de evidencia documental conforme a ISO 19011.
O cliente recebe um relatorio de achados com classificacao de nao conformidades, matriz de controles avaliados, analise de riscos residuais e plano de acao com prazos sugeridos para remediacao.
A ISO 27001 se integra diretamente com a ISO 27701 (privacidade), ISO 22301 (continuidade) e ISO 42001 (IA). Compartilha a estrutura Anexo SL com a ISO 9001, permitindo auditorias integradas multipadrao.
Os achados recorrentes incluem gestao de acessos deficiente, ausencia de classificacao de ativos, planos de continuidade nao testados e falta de metricas de eficacia dos controles implementados.
Recomenda-se ter um inventario atualizado de ativos de informacao, uma avaliacao de riscos documentada e a declaracao de aplicabilidade preliminar. A designacao de um responsavel pelo SGSI e fundamental.
Agende uma sessao para resolver duvidas tecnicas sobre este servico.
Solicitar diagnostico