Integrated implementation of ISO/IEC 27001 and the NIST cybersecurity framework at PICadvanced

Abstract

ISO/IEC 27001 is an information security standard increasingly present in the current global market. Lately, there has been a rise in the concern of companies with information security, whether it is fueled by the current pandemic, by the increase in attacks to all types of organizations or even by the legislation requirements of various countries. This thesis aims for the planning, execution and evaluation of an ISO/IEC 27001 implementation project at PICadvanced, an organization inserted in the Small and Medium-sized enterprises (SME) category, and founded at ’Incubadora da Universidade de Aveiro’ in 2014, operating in the telecommunications market. The possibility of integration of the NIST cybersecurity framework with the 27001 project will also be studied and implemented. Lastly, since PICadvanced has an ongoing ISO 9001 implementation project (relative to quality management) which may be integrated with the information security system, the 27001 project will include measures in that direction.

A ISO/IEC 27001 é uma norma de segurança de informação cada vez mais presente no mercado global dos dias de hoje. Nos últimos tempos, temos assistido ao crescimento da preocupação das empresas com a segurança da informação, seja pela situação pandémica vivida, pela crescente onda de ataques informáticos a todo o tipo de organizações ou mesmo pelas exigências normativas dos diferentes países. Esta dissertação visa o planeamento, execução e avaliação de um projeto de implementação da norma ISO/IEC 27001 na empresa PICadvanced, uma empresa atualmente pretencente ao grupo das Pequenas e Média Empresas (PME), e fundada na Incubadora da Universidade de Aveiro em 2014, operando no mercado das telecomunicações. A possibilidade de integração da framework de cibersegurança do NIST com o projeto da 27001 será também estudada e implementada. Por fim, como decorre atualmente na PICadvanced a implementação da ISO 9001 (referente à gestão de qualidade) e cuja implementação pode ser integrada com o sistema de segurança de informação, o projeto da 27001 irá incluir medidas nesse sentido.