• Por que ISO 27001
  • Conformidade com a ISO 27001
  • Baixe o guia

Implemente a norma ISO/IEC
27001 de segurança
da informação

Reduza riscos, fortaleça sua postura de segurança e conquiste a confiança dos seus clientes.

O que é a norma ISO/IEC 27001?

What is the ISO/IEC 27001 standard?

A ISO/IEC 27001:2022 faz parte da família de normas de segurança da informação ISO/IEC 27000:2018, desenvolvidas em conjunto pela International Standards Organization (ISO) e pela International Electrotechnical Commission (IEC).

A série ISO/IEC 27000 oferece requisitos de segurança da informação baseados em risco e independentes de tecnologia, voltados à implementação de um sistema de gerenciamento de segurança da informação (SGSI).

Em especial, a ISO/IEC 27001:2022 define requisitos para a implementação de um SGSI, incluindo controles para garantir segurança da informação, cibersegurança e proteção da privacidade.

Por que minha organização deve obter a certificação ISO 27001?

Sua organização deve buscar a certificação ISO 27001 caso lide com qualquer tipo de informação sensível, como informações que permitem identificação pessoal (PII), informações eletrônicas de saúde protegidas (ePHI) ou dados proprietários.

A certificação comprova a confiabilidade da sua empresa em relação ao tratamento e à proteção de dados. Além disso, clientes internacionais podem exigir essa certificação como prova de boas práticas de segurança da informação.

ISO 27001 certification

Implementar a ISO 27001 permite que sua organização:

  • Identifique riscos

    Identifique riscos decorrentes de processos, atividades e do uso de ativos de software ou hardware.

  • Mitigue esses riscos

    Mitigue esses riscos por meio de requisitos abrangentes que envolvem processos, políticas e ativos de TI.

  • Aprimore processos de negócio

    Aprimore processos de negócio com requisitos orientados a processos e melhores práticas.

  • Fortaleça sua postura de segurança

    Fortaleça sua postura de segurança com controles independentes de setor ou tecnologia, aplicáveis a empresas de qualquer porte.

  • Facilite a conformidade

    Facilite a conformidade com outras normas e regulamentos, como os controles CIS, a LGPD e mais.

  • Conquiste a confiança dos clientes

    Conquiste a confiança dos clientes ao demonstrar conformidade com um padrão internacionalmente reconhecido de segurança da informação.

Como garantir a conformidade com a ISO 27001?

A norma ISO 27001 é composta por dez cláusulas: sete de ação e três que definem escopo e termos.

Além disso, a Tabela A.1 do Anexo A contém 93 controles, divididos em quatro áreas principais: controles organizacionais, controles de pessoas, controles físicos e controles tecnológicos. Esses controles derivam das cláusulas 5—8 da norma ISO/IEC 27002:2022.

Para obter a certificação, a organização deve:
  • Atender aos requisitos de todas as sete cláusulas.
  • Implementar todos os controles aplicáveis listados no Anexo.

Se algum controle da Tabela A.1 não se aplicar ao seu negócio, ele pode ser omitido. No entanto, será necessário justificar a exclusão em um documento de declaração de aplicabilidade, que será avaliado pelo auditor da certificação.

A versão ISO 27001:2022 foi publicada em outubro de 2022. A versão anterior, ISO 27001:2013, continha 114 controles distribuídos em 14 categorias no Anexo A.

Se sua organização já está em conformidade com a ISO 27001:2013, a ManageEngine preparou um infográfico que mapeia os controles da versão 2022 em relação aos da versão 2013.

Visualizar infográfico
  • Cláusula 4: Contexto da organização
  • Cláusula 5: Liderança
  • Cláusula 6: Planejamento
  • Cláusula 7: Suporte
  • Cláusula 8: Operação
  • Cláusula 9: Avaliação de desempenho
  • Cláusula 10: Melhoria
Cláusula 4: Contexto da organização

Aborda o contexto em que o SGSI está sendo implementado. É necessário documentar o que a organização faz, os requisitos das partes interessadas (internas e externas) e o escopo do SGSI. Essas informações ajudam os auditores a compreender os objetivos do sistema, permitindo uma avaliação mais eficaz.

Contexto da organização
Cláusula 5: Liderança
Cláusula 6: Planejamento
Cláusula 7: Suporte
Cláusula 8: Operação
Cláusula 9: Avaliação de desempenho
Cláusula 10: Melhoria

Como a ManageEngine pode ajudar sua organização a cumprir os requisitos da ISO 27001?

A ISO 27001 exige uma combinação de políticas, processos e controles de TI para garantir a segurança da informação. Enquanto as equipes internas de conformidade e liderança cuidam da definição de políticas e da integração com os processos da empresa,

a ampla suíte de soluções de gerenciamento de TI da ManageEngine pode ajudar na implementação de muitos dos controles de TI listados no Anexo A, criando um SGSI de excelência. Confira um resumo de como a ManageEngine pode auxiliar no cumprimento de cada um desses controles.

ISO 27001 requirements
  • Controles organizacionais
  • Controles de pessoas
  • Controles físicos
  • Controles tecnológicos
Controles organizacionais

Esse grupo contempla controles que não se enquadram especificamente em "pessoas", "físico" ou "tecnologia". São 37 controles no total.

Alguns têm foco em processos e políticas (ex.: 5.1 Políticas de segurança da informação, 5.4 Responsabilidades da gestão). Outros estão ligados à tecnologia ou são híbridos (ex.: 5.7 Inteligência de ameaças, 5.15 Controle de acesso, 5.34 Privacidade e proteção de PII).

A ManageEngine ajuda a atender esses controles ao:

  • Detectar anomalias e incidentes de segurança em tempo real, usando detecção baseada em IA e ML e integrações com feeds de inteligência contra ameaças de terceiros.
  • Aplicar o princípio do privilégio mínimo e proteger, gerenciar e monitorar o acesso a dados, redes, dispositivos e demais ativos.
  • Identificar e manter um inventário atualizado de todos os ativos de software e hardware da organização.
  • Criar e manter um inventário preciso de toda a rede.
  • Descobrir, classificar e proteger dados sensíveis em repouso, em uso e em trânsito.
  • Garantir a conformidade com os requisitos regulatórios de TI por meio de relatórios periódicos e da aplicação de controles de acesso e segurança.
  • Efetuar backups contínuos de dados de rede, diretórios e endpoints para garantir a recuperação rápida em caso de desastres.
Controles de pessoas

Essa categoria reúne oito controles voltados a assegurar que todas as pessoas com acesso aos dados da organização sejam devidamente verificadas e capacitadas nas práticas e políticas de segurança da informação.

A maior parte está relacionada a processos e políticas (por exemplo, 6.1 Triagem e 6.4 Processo disciplinar), enquanto alguns têm foco em aspectos tecnológicos (como 6.7 Trabalho remoto).

A ManageEngine ajuda a atender esses controles ao:

  • Implementar soluções para habilitar, governar e monitorar sessões de acesso remoto seguro para colaboradores externos.
  • Criptografar endpoints com AES 256 bits, em conformidade com o padrão FIPS 140-2, garantindo operações remotas seguras.
  • Permitir que colaboradores reportem incidentes por múltiplos canais (chat, e-mail etc.) por meio da suíte unificada de gerenciamento de serviços.
  • Integrar ferramentas de TI e de colaboração para garantir o registro de incidentes em todos os canais de atendimento.
  • Realizar triagem e resolução de incidentes com automações completas de workflow e suporte de IA.
Controles físicos

Essa categoria contém 14 controles relacionados à segurança do ambiente físico da organização.

Inclui melhores práticas como políticas de mesa limpa e diversas medidas físicas e tecnológicas voltadas a restringir e monitorar o acesso a áreas e ativos com informações sensíveis, protegendo-os contra ameaças físicas e desastres naturais.

A ManageEngine ajuda a atender esses controles ao:

  • Classificar, gerenciar e monitorar dispositivos de armazenamento e endpoints durante todo o ciclo de vida.
  • Bloquear ou restringir o uso de dispositivos periféricos conforme as políticas de segurança da informação da organização.
  • Garantir que todo software licenciado e dados corporativos sejam apagados de endpoints e dispositivos de armazenamento antes do descarte, usando o UEMS.
Controles tecnológicos

Essa categoria contém 34 controles voltados à proteção dos elementos tecnológicos da organização.

Abrange toda a infraestrutura de TI, incluindo gerenciamento de acessos e autenticação, gerenciamento de endpoints, prevenção contra perda de dados, monitoramento de rede e segurança da informação.

A ManageEngine ajuda a atender esses controles ao:

  • Gerenciar e proteger identidades de usuários, privilégios e acessos a recursos críticos de hardware e software.
  • Monitorar, gerenciar e proteger todos os endpoints da organização, como laptops, servidores, smartphones e dispositivos robustos.
  • Implementar segurança proativa e em tempo real, com caça a ameaças e detecção de anomalias alimentadas por IA, usando ferramentas como Antivírus Next-Gen e UEBA.
  • Garantir monitoramento 24x7 de toda o stack da rede, do armazenamento às aplicações.
  • Prever demandas futuras de ativos, licenças e capacidade de rede com o uso de análise preditiva.
  • Detectar e proteger informações sensíveis, como PII, patentes, dados de endpoint e credenciais privilegiadas em toda a organização.
  • Criar e aplicar workflows robustos de gerenciamento de mudanças, gerenciamento de incidentes e gerenciamento de configuração.
Mapping ManageEngine products to ISO 27001 controls

Mapeamento dos produtos da ManageEngine com os controles da ISO 27001

Quer saber exatamente como as soluções da ManageEngine podem ajudar sua organização a atender aos controles da ISO 27001? Consulte nosso guia rápido para uma visão geral ou baixe o guia completo com todos os detalhes.

Baixar guia rápidoBaixar o guia
ISO 27001

Veja como a ManageEngine pode ajudar
na conformidade com a ISO 27001

Baixe o guia introdutório da ISO 27001 e descubra, passo a passo, como
os produtos da ManageEngine ajudam sua empresa a alcançar a conformidade.

Please enter the name

Ao clicar em 'Baixar agora', você concorda com o processamento de seus dados pessoais de acordo com nossa Política de privacidade.

Isenção de responsabilidade:

O cumprimento da norma ISO 27001:2022 requer uma combinação de soluções, processos, pessoas e tecnologias. As soluções mencionadas representam apenas algumas das maneiras pelas quais as ferramentas de gerenciamento de TI podem apoiar o cumprimento de determinados controles da ISO 27001. Essas informações são fornecidas apenas para fins informativos e não devem ser consideradas como aconselhamento jurídico para a implementação da ISO 27001:2022. Cada organização deve realizar sua própria avaliação sobre os recursos da ManageEngine e até que ponto eles podem contribuir para a conformidade com esse padrão. A ManageEngine não oferece garantias, expressas, implícitas ou estatutárias, e não assume qualquer responsabilidade quanto às informações contidas neste material.