O âmbito de certificação ou escopo de certificação da ISO 27001 e 27701 pode variar de uma organização para outra, dependendo das suas necessidades e objetivos específicos. Em geral, o escopo de certificação deve ser definido claramente e deve incluir todos os processos, sistemas, tecnologias e locais relevantes para a segurança da informação e privacidade de dados.
O escopo de certificação da ISO 27001 pode incluir áreas como:
- Gerenciamento de riscos de segurança da informação;
- Controle de acesso lógico e físico;
- Segurança de redes e comunicações;
- Gerenciamento de incidentes de segurança da informação;
- Conformidade com requisitos legais e regulatórios;
- Gerenciamento de fornecedores e terceiros.
Já o escopo de certificação da ISO 27701 pode incluir áreas como:
- Identificação e gerenciamento de dados pessoais;
- Garantia da confidencialidade, integridade e disponibilidade dos dados pessoais;
- Gerenciamento de direitos dos titulares dos dados pessoais;
- Implementação de políticas de privacidade e proteção de dados;
- Conformidade com requisitos legais e regulatórios de privacidade de dados.
É importante lembrar que a certificação não é obrigatória para implementar um SGSI ou SGPI efetivo, mas pode fornecer uma garantia independente de que uma organização está em conformidade com as normas e regulamentações aplicáveis e que está comprometida com a segurança da informação e privacidade de dados.
Exemplo Fictício de um Escopo de Certificação
Levaremos em conta, uma empresa chamada Empresa X. O escopo de certificação da ISO 27001 e 27701 para a empresa X pode ser definido da seguinte forma:
Escopo de Certificação da ISO 27001: O sistema de gestão de segurança da informação (SGSI) da Empresa X, aplicável a todas as suas unidades e processos, incluindo:
- Gerenciamento de riscos de segurança da informação;
- Controle de acesso lógico e físico;
- Segurança de redes e comunicações;
- Gerenciamento de incidentes de segurança da informação;
- Conformidade com requisitos legais e regulatórios de segurança da informação;
- Gerenciamento de fornecedores e terceiros.
Escopo de Certificação da ISO 27701: O sistema de gestão de privacidade da informação (SGPI) da Empresa X, aplicável a todas as suas unidades e processos que lidam com dados pessoais, incluindo:
- Identificação e gerenciamento de dados pessoais;
- Garantia da confidencialidade, integridade e disponibilidade dos dados pessoais;
- Gerenciamento de direitos dos titulares dos dados pessoais;
- Implementação de políticas de privacidade e proteção de dados;
- Conformidade com requisitos legais e regulatórios de privacidade de dados.
Esses escopos de certificação visam garantir que a Empresa X tenha implementado controles e medidas de segurança da informação e privacidade de dados eficazes, para proteger seus ativos de informação e dados pessoais contra ameaças internas e externas, e cumprir com as regulamentações aplicáveis.