ISO 27001, o padrão global para SGSI.
Sistema de gestão de segurança da informação certificado por um organismo acreditado. O baseline esperado por compradores enterprise europeus e globais.
Explicado de forma simples.
ISO 27001:2022 é um padrão internacional para SGSI, Sistemas de Gestão de Segurança da Informação. A certificação exige um framework baseado em risco, controles documentados (Anexo A), auditoria interna e uma auditoria externa em dois estágios conduzida por um organismo certificador acreditado.
- Prontidão para Stage-1 em 60 dias
- Biblioteca de controles do Anexo A
- Organismos certificadores nacionais e internacionais
Três frentes: prontidão, implementação e suporte à auditoria.
Prontidão
Avaliação de gaps em relação à ISO 27001. Plano concreto com responsáveis, datas e esforço.
Implementação
Políticas, controles e pipelines de evidências configurados no Vanta. IA rascunha, especialistas revisam.
Suporte à auditoria
Estamos ao seu lado nas entrevistas de auditoria e respondemos às solicitações de evidências.
Do kickoff à certificação.
Kickoff
Canal no Slack ativo. Escopo, stakeholders, baseline.
Prontidão
Gaps fechados, políticas assinadas, evidências fluindo.
Preparação para auditoria
Auditoria simulada, narrativas de controles, seleção do auditor.
Auditoria
Auditoria externa concluída. Carta ou relatório em mãos.
"A The Trust Architects conduziu nosso programa ISO 27001 de ponta a ponta. Participamos apenas para aprovação e revisão com stakeholders. Todo o resto correu nos trilhos."
Perguntas sobre ISO 27001 que ouvimos toda semana.
Quanto tempo leva a ISO 27001?
A maioria dos clientes conclui a primeira auditoria em 60 a 90 dias após o kickoff. Programas maiores levam de 4 a 6 meses.
Quanto custa?
Nosso retainer mais a taxa do auditor externo. Dimensionamos conforme o seu momento na primeira conversa.
Precisamos de novas ferramentas?
Vanta é nosso padrão. Também trabalhamos com Drata ou Secureframe. Não é necessário trocar de ferramenta se você já usa uma plataforma.
Quem conduz a auditoria?
Um auditor independente qualificado pela ISO/IEC. Temos empresas parceiras no Brasil, nos EUA e na Europa.
Isso resistirá ao escrutínio enterprise?
Sim. Desenvolvemos programas que passam não só na auditoria, mas também na revisão do time de segurança do comprador.
Do kickoff à auditoria, em quatro etapas.
Prontidão para o Stage 1
Kickoff, escopo, leitura do baseline.
Plano de tratamento de riscos
Primeiros artefatos entregues, pipeline de evidências operacional.
Auditoria Stage 1
Auditoria interna, remediação concluída, preparação para auditoria completa.
Auditoria Stage 2 e certificação
Auditoria realizada, defendida e certificada. Fase de operação iniciada.