Estou com reuniões presenciais estes dias, o que prejudica a publicação, aproveitarei para republicar alguns artigos do início desta newsletter e da minha newsletter de 2020 #dicalgpd.
Tenho notado um crescimento na demanda de certificações ISO 27001 e 27701. Este artigo foi publicado em 29 de dezembro de 2022 e fala sobre as certificações ISO 27001 e 27701.
Bom fim de semana
Segue o artigo de 22dez2022:
Imagem Original:
Um dos destaques da LGPD é a Seção II - Das Boas Práticas e da Governança.
Todo ano recebemos a visita dos auditores da ISO para verificar o atendimento às ISO 27001 e 27701 com objetivo de verificar se mantemos nossos sistemas de gestão que levaram às certificações. É um momento de mobilização pois recebemos a auditoria que verifica nossos procedimentos e políticas. O processo é contínuo, devemos manter os sistemas o ano todo, porém anualmente há a verificação pelos auditores. A certificação tem o objetivo de adotar as melhores práticas mas também demonstrar o compromisso da gestão com os temas privacidade, proteção de dados, segurança da informação e segurança cibernética.
As normas da família 27000 são bastante completas mas podem (e devem) ser complementadas por boas práticas que trazem mais detalhes, apresentam uma leitura sob ângulo diferente e são atualizadas com maior frequência como o CIS CSC, o CIS Privacy Guide, NIST CSF e NIST Privacy Framework.
No caso da LGPD, não há uma relação 1:1 entre a legislação brasileira de proteção de dados e a ISO 27701, mas a própria ISO 27701 destaca que o sistema de gestão deve ser associado ao contexto do escopo da organização e à legislação local:
"Os requisitos e diretrizes para a proteção de DP variam de acordo com o contexto da organização, em particular onde existe legislação e/ou regulamentação nacional. A ABNT NBR ISO/IEC 27001 requer que este contexto seja compreendido e levado em consideração." ISO 27701/19
No processo de auditoria são verificadas políticas, processos e o ambiente, com isso todas as equipes são mobilizadas para atender aos requisitos do auditor que ao final do processo deixa seu relatório informando a recertificação (ou certificação conforme o caso) ou não, e também uma série de sugestões de melhoria.
Em nosso caso temos que atender tanto à certificação das ISO 27001 e 27701 quanto a conformidade com a LGPD, e para isso mantemos o relacionamento entre as duas publicações em nosso contexto.
O processo de atendimento e certificação nas normas ISO 27001 e 27701 certificam respectivamente o Sistema de Gestão de Segurança da Informação (SGSI), Sistema de Gestão de Privacidade da Informação (SGPI). No caso da LGPD, estas certificações, além de verificar diversos requisitos da lei, também ajudam a atender ao Programa de Governança em Privacidade descrito no art 50 § 2º:
I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
Vale você considerar em 2023 a possibilidade de certificar seus ambientes na norma ISO 27001 e 27701 pois ajudará sua organização tanto a manter e evoluir os procedimentos de segurança da informação e cibernética como fortalecer a conformidade com a LGPD.
Obrigado,
Abraço,
FNery.
Descrição da imagem no DALL-E: "Gere uma imagem de pessoas comemorando e olhando para o topo de uma montanha em estilo aquarela."
Comentários: Vídeo sobre certificação 27k: https://www.youtube.com/watch?v=pEWuQJ3SkFs
