Sistema de gestão da segurança da informação ISO/IEC 27001

Sistema de gestão da segurança da informação ISO/IEC 27001

A informação que uma organização produz ou gere durante o seu funcionamento é de vital importância. Hoje, a informação é reconhecida como um ativo comercial valioso. Isto aplica-se a todos os tipos e tamanhos de empresas. Por isso, reconhecer o valor comercial da informação é de extrema importância em todas as organizações.

A informação pode assumir diversas formas, como impressa ou manuscrita em papel, em formato eletrónico, armazenada em sistemas informáticos, em bases de dados, ou circulada através de diversas redes, incluindo correio eletrónico ou outros serviços. Pode também ser exibido em apresentações utilizando diversos meios visuais ou até mesmo transmitido oralmente durante discussões ou conferências telefónicas.

À medida que a informação aumenta em volume, complexidade e criticidade, e à medida que o acesso a ela se expande, torna-se cada vez mais vulnerável. Mais pessoas podem aceder a mais dados do que nunca, tornando a segurança de informações comerciais confidenciais uma necessidade absoluta para as organizações.

As ameaças operacionais modernas provenientes do rápido desenvolvimento da tecnologia causam preocupações significativas, tornando-se necessária a implementação de um sistema que faça a gestão da segurança da informação. Um tal sistema de segurança da informação oferece protecção eficaz contra vários efeitos negativos, incluindo consequências financeiras, falha na protecção da propriedade intelectual da organização, perda de quota de mercado, ou mesmo perda de reputação.

Para tal, é necessário desenvolver e integrar um Sistema de Gestão da Segurança da Informação (SGSI) na operação da organização. O SGSI, de acordo com a ISO/IEC 27001, fornece uma abordagem abrangente e sistemática para gerir a informação confidencial e os riscos que a ameaçam, garantindo que a informação se mantém segura. A segurança da informação baseia-se nos três elementos seguintes:

  • Integridade: As informações são completas e não corrompidas.
  • Disponibilidade: A informação está acessível a quem dela necessita.
  • Confidencialidade: As informações estão protegidas contra o acesso por pessoas não autorizadas.

O SGSI afeta toda a organização, incluindo o seu pessoal, processos e sistemas de TI. Pode ser integrado em organizações de qualquer tipo, dimensão ou setor de atividade. Neste aspeto, o SGSI apresenta diversas semelhanças com o Sistema de Gestão da Qualidade (SGQ). Em muitos casos, uma organização desenvolve o SGSI em conjunto com o SGQ (ISO 9001).