Blog Post

Como elaborar uma Política de Segurança da Informação padrão ISO 27701?

Como elaborar uma Política de Segurança da Informação

Com a chegada da Lei Geral de Proteção de Dados Pessoais brasileira (Lei nº 13.709/2018) e a necessidade de adequação das empresas, a procura por normas e frameworks de segurança da informação e proteção de dados internacionalmente conhecidos e utilizados como a ISO 27001:2013 (Sistema de Gestão da Segurança da Informação – SGSI) e a ISO 27701:2019 (Sistema de Gestão de Privacidade da Informação – SGPI) vem aumentando vertiginosamente.

Isto porque, quase todas as empresas tratam dados pessoais e o fazem cada vez mais, o que acaba por tornar a segurança da informação e a proteção de dados uma preocupação constante não apenas das organizações, mas também dos titulares dos dados, mostrando-se um tema primordial ao redor do mundo.

No que tange à ISO 27001, norma padrão para Sistemas de Gestão da Segurança da Informação, a qual foi projetada para permitir a adição de requisitos específicos, sem a necessidade do desenvolvimento de um novo Sistema de Gestão, observa-se que se uma empresa quiser adicionar novos controles de privacidade e proteção de dados, ela poderá aumentar o escopo do seu Sistema de Gestão de Segurança da Informação, através de requisitos e diretrizes contidos na ISO 27701, por exemplo, formando um verdadeiro Sistema de Gestão Integrado.

Já no que toca especificamente à ISO 27701 verifica-se que esta define os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Privacidade da Informação (SGPI) na forma de uma extensão das ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para a gestão da privacidade dentro do contexto da organização.

Desse modo, a ISO 27701 estabelece os requisitos de um SGPI e fornece diretrizes para controladores e operadores de dados pessoais, sendo aplicável a todos os tipos e tamanhos de organizações, públicas ou privadas, entidades governamentais e organizações sem fins lucrativos que sejam controladoras e/ou operadoras de dados pessoais.

Feita essa introdução, iremos especificar abaixo os requisitos e diretrizes a serem seguidos para que uma Política de Segurança da Informação (PSI) atenda ao padrão ISO 27701.

Assim, verifica-se que o item 6.2.2.1 da Norma informa que a Política de Segurança da Informação deverá seguir as diretrizes gerais estabelecidas na ABNT NBR ISO/IEC 27002:2013, porém, acrescenta diretrizes adicionais quanto à proteção de dados e privacidade da informação, as quais serão abordadas a seguir.

De forma inicial, insta salientar que a ISO 27002 fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco de segurança da informação das organizações.

Ademais, uma Política de Segurança da Informação tem por objetivo prover orientação da direção da companhia e apoio para que a segurança da informação seja implementada levando em consideração os requisitos do negócio e leis, normas e regulamentações relativas à matéria.

Neste sentido, a companhia deverá elaborar uma Política de Segurança da Informação que determine a abordagem da organização no gerenciamento dos objetivos de segurança da informação, devendo ser aprovada pela alta direção da organização.  

Deste modo, estabelece a ISO 27002 que a Política de Segurança da Informação das organizações deverá contemplar os seguintes requisitos: I) estratégia do negócio; II) regulamentações, legislação e contratos; e III) ambiente de ameaça da segurança da informação, atual e futuro.

Além disso, a Política deverá conter declarações acerca dos seguintes tópicos:

a) definição de segurança da Informação, objetivos e princípios para orientar todas as atividades relativas à segurança da informação;

b) atribuição de responsabilidades, gerais e específicas, para o gerenciamento da segurança da informação para os papéis definidos;

c) processos para o tratamento dos desvios e exceções.

Fora os requisitos acima, a Política de Segurança da Informação deverá ainda estar apoiada por outras regras/diretrizes inerentes ao tema que exijam a implementação de controles de segurança, como:

a) política de controle de acesso;

b) política de classificação e tratamento da informação;

c) política de segurança física e do ambiente;

d) política que trate sobre assuntos relacionados ao uso aceitável dos ativos, mesa e tela limpa, transferência de informações, dispositivos móveis e trabalho remoto, restrições sobre o uso e instalação de softwares;

e) backup;

f) controles criptográficos;

g) proteção e privacidade da informação de identificação pessoal;

h) relacionamento na cadeia de suprimento, entre outros.

Mas de nada adianta elaborar uma Política de Segurança da Informação e diretrizes complementares se elas não forem devidamente comunicadas e treinadas aos colaboradores e partes externas relevantes. Neste sentido, mostra-se fundamental um cronograma de treinamentos visando o aculturamento, o entendimento e a conscientização em segurança da informação.   

Apesar de todos os requisitos citados acima, a ISO 27701 ainda traz algumas diretrizes adicionais quando o assunto é Política de Segurança da Informação, como veremos abaixo.  

Neste sentido, tendo em vista que a norma em questão é voltada ao estabelecimento de requisitos relacionados à proteção de dados e privacidade da informação, a ISO 27701 indica que as organizações devem elaborar declaração quanto ao apoio e comprometimento em cumprir as leis e regulamentos de proteção de dados pessoais aplicáveis, bem como garantir que contratos estabelecidos com clientes e parceiros comerciais especifiquem de forma exata todas as responsabilidades pactuadas entre as partes no que toca à proteção de dados pessoais.

Por fim, a ISO 27701 especifica que qualquer organização que trate dados pessoais, seja ela controladora ou operadora, deverá considerar as leis e/ou regulamentos de dados pessoais aplicáveis quando da elaboração e/ou revisão de suas políticas de segurança da informação.

Por todo o exposto, conclui-se que o Código de Prática para Controles de Segurança da Informação (ISO 27002) é a norma que fornece as diretrizes gerais para a elaboração de Políticas de Segurança da Informação. Porém, a ISO 27701, por ser norma voltada à privacidade da informação, fornece as diretrizes adicionais, as quais deverão ser seguidas pelas organizações para a construção de políticas e regramentos de proteção de dados pessoais padrão ISO.

Para saber mais sobre a adequação das empresas à LGPD, não deixe de conferir o artigo “A adequação à LGPD começa com “ROPA” e DPO!”, clicando neste link.

Já se quiser saber mais sobre Mecanismos e Boas Práticas para a Segurança da Informação nas Empresas, não deixe de ler este artigo, escrito pela minha colega, Ana Carolina Colnaghi.

Um abraço e até breve! 

mm

Sobre Thiago Henrique Nielsen

É coordenador e consultor em Compliance da Studio Estratégia - Governança, Riscos e Compliance, formado em Direito pela Universidade de Vila Velha/ES e especialista em Compliance, Lei Anticorrupção e Controle da Administração Pública pela Faculdade de Direito de Vitória - FDV. Email: thiago.nielsen@studioestrategia.com.br

Deixe seu comentário