O que é a norma ISO/IEC 27001:2022?
A ISO (International Organization for Standardization - Organização Internacional de Normalização) é uma organização internacional independente e não governamental que conta com 170 organismos nacionais de normalização. A ISO/IEC 27001 é publicada conjuntamente pela ISO e pela Comissão Eletrotécnica Internacional (CEI) e é a norma mais conhecida do mundo para sistemas de gestão da segurança da informação (SGSI). A norma ISO/IEC 27001 fornece a todas as organizações orientações para estabelecer, implementar, manter e melhorar continuamente os sistemas de gestão da segurança da informação.
As normas ISO são acordadas internacionalmente por peritos em cibersegurança e são amplamente reconhecidas a nível mundial. A certificação ISO está disponível para organizações de todos os sectores económicos (todos os tipos de serviços e de produção, bem como o sector primário; organizações privadas, públicas e sem fins lucrativos).
A conformidade com a norma ISO/IEC 27001 significa que uma organização ou empresa implementou um sistema para gerir os riscos relacionados com a segurança dos dados detidos ou tratados pela organização e que este sistema aplica todas as melhores práticas e princípios consagrados nesta norma internacional.
Regulamento | Em vigor
O DORA está estruturado em torno de cinco pilares principais, cada um concebido para abordar aspectos distintos da resiliência operacional digital dos serviços financeiros.
- Gestão e governação do risco das TIC: o DORA responsabiliza a direção e os membros do conselho de administração pela definição, implementação e manutenção de normas da gestão do risco das TIC, a fim de proporcionar efetivamente uma maior resiliência operacional digital. O DORA exige que as entidades financeiras disponham de um enquadramento de governação e de controlo interno que garanta uma gestão eficaz e prudente do risco das TIC.
- Comunicação de incidentes: as organizações de serviços financeiros precisam de estabelecer sistemas para monitorizar, gerir, registar, classificar e comunicar incidentes relacionados com as TIC para avaliar os ataques, atenuar o impacto nos clientes e nas operações e comunicar às autoridades.
- Testes de resiliência operacional digital: as entidades financeiras têm de implementar e efetuar anualmente um programa abrangente de testes de resiliência operacional digital. O DORA também indica que as entidades financeiras precisam de assegurar o envolvimento de fornecedores terceiros de TIC nos seus testes de resiliência operacional digital, se aplicável.
- Risco de terceiros nas TIC: uma das principais ênfases da DORA é o risco de terceiros em matéria de TIC e o seu papel na atenuação do risco. As instituições financeiras dependem fortemente de fornecedores externos de TIC que podem estar fora da UE, como é o caso de vários fornecedores de serviços de computação em nuvem. Consequentemente, as entidades financeiras devem incluir o risco de terceiros no domínio das TIC como uma componente integral do seu enquadramento da gestão do risco das TIC.
- Partilha de informações: o DORA também incentiva a partilha voluntária de informações sobre ameaças cibernéticas e informações para melhorar a resiliência operacional digital da indústria.
As normas ISO são acordadas internacionalmente por peritos em cibersegurança e são amplamente reconhecidas a nível mundial. A certificação ISO está disponível para organizações de todos os sectores económicos (todos os tipos de serviços e de produção, bem como o sector primário; organizações privadas, públicas e sem fins lucrativos).
A ISO/IEC 27001 é uma norma internacional que não prevê sanções em caso de incumprimento. No entanto, a certificação ISO/IEC 27001:2022 pode fornecer uma camada de defesa contra multas de regulamentos como o GDPR no caso de uma violação de dados, mostrando os esforços de boa fé de uma organização na implementação das melhores práticas de segurança da informação.
Enquanto a ISO/IEC 27001 especifica os requisitos para a criação de um SGSI, a ISO/IEC 27002 fornece as melhores práticas e controlos pormenorizados que podem ser aplicados no âmbito do SGSI. A principal diferença é que a ISO/IEC 27001 é uma norma para a qual as organizações podem obter certificação, enquanto a ISO/IEC 27002 não é. Os requisitos do quadro seguinte são enumerados nas normas ISO 27001 e ISO 27002.
Como a Thales ajuda na conformidade com a ISO/IEC 27001:2022
A Thales ajuda as organizações a cumprir a norma ISO/IEC 27001:2022, abordando os requisitos essenciais listados no Anexo A para os Controlos de Segurança da Informação. Fornecemos soluções abrangentes de segurança cibernética em três áreas-chave da segurança cibernética: Segurança de aplicações, segurança de dados e gestão de identidades e acessos.
Soluções de conformidade com a norma ISO/IEC 27001:2022
Requisitos ISO suportados: 8. Controlos tecnológicos
Proteja aplicações e APIs em escala na nuvem, on-premises ou em um modelo híbrido. O nosso conjunto de produtos líder de mercado inclui proteção Web Application Firewall (WAF) contra ataques Distributed Denial of Service (DDoS) e BOT maliciosos, segurança para APIs, uma Content Delivery Network (CDN) segura e Runtime Application Self- Protection (RASP).
Requisitos ISO suportados: 5. Controlos organizacionais e 8. Controlos Tecnológicos
Descubra e classifique dados sensíveis em toda a TI híbrida e proteja-os automaticamente em qualquer lugar, quer estejam em repouso, em movimento ou em utilização, utilizando encriptação, tokenização e gestão de chaves. As soluções da Thales também identificam, avaliam e priorizam riscos potenciais para uma avaliação de risco precisa. Também identificam comportamentos anómalos e monitorizam a atividade para identificar potenciais ameaças e verificar a conformidade, permitindo que as organizações definam as prioridades para a atribuição dos seus esforços.
Requisitos ISO suportados: 5. Controlos Organizacionais, 6 Controlos de Pessoas, 7 Controlos Físicos, e 8. Controlos tecnológicos
Fornecer acesso contínuo, seguro e fiável a aplicações e serviços digitais para clientes, colaboradores e parceiros. As nossas soluções limitam o acesso de utilizadores internos e externos com base nas suas funções e contexto, com políticas de acesso granulares e autenticação multi-fator que ajudam a garantir que o utilizador certo tem acesso ao recurso certo no momento certo.
Ebook
Conformidade com a norma ISO 27001 de segurança da informação, cibersegurança e proteção da privacidade
Leia nosso e-book detalhado para entender como a Thales pode ajudar com os requisitos de conformidade com a ISO 27001.
Recursos relacionados
Outros regulamentos importantes em matéria de segurança e proteção de dados
PCI HSM
MANDATO | EM VIGOR
A especificação PCI HSM define um conjunto de normas de conformidade lógica e física de segurança para HSMs especificamente para o setor de pagamentos. A certificação de conformidade com o PCI HSM depende do cumprimento dessas normas.
DORA
REGULAMENTO | EM VIGOR
O DORA visa reforçar a segurança informática das entidades financeiras para garantir que o sector financeiro na Europa seja resiliente face ao crescente volume e gravidade dos ciberataques.
Leis de notificação de violação de dados
REGULAMENTO | EM VIGOR
Os requisitos de notificação de violação de dados na sequência da perda de informações pessoais foram adoptados por países de todo o mundo. Estes variam consoante à jurisdição, mas quase sempre incluem uma cláusula de "porto seguro".
GLBA
REGULAMENTO | EM VIGOR
A Lei Gramm-Leach-Bliley (GLBA) — também conhecida como a Lei de Modernização dos Serviços Financeiros de 1999 — exige que as instituições financeiras expliquem aos seus clientes as suas práticas de partilha de informações e salvaguardem dados confidenciais.