ISO/IEC 2700, que trata Segurança da Informação, certifica empresas que cumprem requisitos relacionados à Lei Geral de Proteção de Dados
Com o início de um novo ano, muitas empresas começam o planejamento que será trabalhado ao longo dos meses, e um dos temas obrigatório para 2022 é a Lei Geral de Proteção de Dados (LGPD) que, mesmo após mais de um ano de vigência, ainda pode gerar dúvidas. Um dos caminhos para se adequar à norma é a implantação da ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) 27001.
O regulamento é um padrão internacional para o Sistema de Gestão de Segurança da Informação (SGSI), que se baseia na avaliação de riscos e sobre como tratá-los dentro de uma organização, protegendo a integridade e a confidencialidade das informações, e se apresenta como uma aliada das organizações na melhoria do nível de qualidade, processos, sistemas e produtos, além da adequação às normas previstas na LGPD.
“Qualquer organização pode obter a certificação ISO/IEC 27001, já que a norma se refere à Segurança da Informação. Atualmente, uma das principais soluções empresariais é a posse de informação, e é de extrema relevância que as empresas possuam um sistema para gerenciar e proteger esses dados”, declarou a vice-presidente de Relações Institucionais da Associação Brasileira de Avaliação da Conformidade (Abrac), Alessandra Costa.
As instituições que adotam esta norma e buscam uma certificação acreditada, passam a ser auditadas em períodos determinados por um Organismo de Avaliação da Conformidade (OAC) – certificadoras independentes -, o que contribui para um controle externo mais eficaz, no tocante aos processos que minimizam vazamentos de dados, proporcionando ainda outros benefícios, como redução de custos e conformidade com os padrões de segurança. O tempo de implementação varia conforme a realidade, maturidade e dimensão de cada empresa.
O regulamento da ISO 27001 é composto por dois tópicos fundamentais: primeiro, onde são definidas as regras e os requisitos de cumprimento, como contexto da organização, liderança, planejamento, suporte, operação, avaliação do desempenho e melhoria. O segundo é referente aos controles que as empresas devem adotar em temas como política de segurança, organização da segurança da informação, recursos humanos, física e ambiental; gestão de bens, controle de acesso, criptografia, entre outros.
Para obter a certificação ISO 27001, é necessário buscar um Organismo de Avaliação da Conformidade em uma entidade acreditadora. No Brasil, é a Coordenação Geral de Acreditação (Cgcre) do Inmetro, mas algumas são acreditadas por órgãos internacionais, que podem ser consultados no site do Fórum Internacional de Acreditação: https://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4
O OAC guiará a empresa nos seguintes passos: avaliação formal, para verificar se todas as exigências foram cumpridas e feita a avaliação da implementação dos procedimentos e controles para certificar que estão funcionando efetivamente conforme o padrão exige; e certificação, após a aprovação na auditoria formal a organização recebe o certificado, válido por três anos.
Sobre a Abrac
Fundada em 2009, a Associação Brasileira de Avaliação da Conformidade (Abrac) reúne as empresas responsáveis pela avaliação da conformidade de produtos, sistemas e laboratórios de ensaio e calibração, acreditados pelo Inmetro e designados pela Anatel, que são oferecidos aos cidadãos, trabalhando em sua inspeção e certificação com o objetivo de informar e proteger o consumidor, em particular quanto à saúde, segurança e meio ambiente; propiciar a concorrência justa; estimular a melhoria contínua da qualidade; facilitar o comércio internacional; e fortalecer o mercado interno, atuando em conjunto com os órgãos reguladores das atividades em âmbito nacional.
