Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo Da Norma ISO 27001
Resumo Da Norma ISO 27001
A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e
descreve como gerenciar a segurança da informação em uma organização. A versão mais recente desta
norma foi publicada em 2013, e seu título completo agora é ISO/IEC 27001:2013. A primeira versão desta
norma foi publicada em 2005, e foi desenvolvida com base na Norma Britânica BS 7799-2.
A ISO 27001 pode ser implementada em qualquer tipo de organização, com ou sem fins lucrativos, privada
ou pública, pequena ou grande. Ela é escrita pelos melhores especialistas mundiais no campo de
segurança da informação e provê metodologia para a implementação da gestão da segurança da
informação em uma organização. Ela também possibilita que organizações obtenham certificação, o que
significa que um organismo certificador independente confirmou que uma organização implementou a
segurança da informação em conformidade com a ISO 27001.
A ISO 27001 tornou-se a mais popular norma de segurança da informação no mundo e muitas
organizações foram certificadas tendo-a como referência – aqui você pode ver o número de certificados
nos últimos anos:
Uma vez que tal implementação irá requerer a gestão de múltiplas políticas, procedimentos, pessoas,
ativos, etc., a ISO 27001 descreve como encaixar todos estes elementos de forma coerente no sistema de
gestão de segurança da informação (SGSI).
Desta forma, gerir a segurança da informação não trata apenas de segurança em TI (i.e. fierwalls, anti-
virus, etc.) mas também sobre gerenciar processos, proteção legal, recursos humanos, proteção física, etc.
Existem 4 benefícios de negócio essenciais que uma organização pode atingir com a implementação desta
norma de segurança da informação:
Conformidade com requisitos legais – existem cada vez mais leis, regulamentações e requisitos
contratuais relacionados a segurança da informação, e a boa notícia é que muitos deles podem ser
resolvidos pela implementação da ISO 27001 – esta norma dá a você uma metodologia perfeita para estar
em conformidade com todos estes requisitos.
Obter vantagem de marketing – se sua organização obtém a certificação e seus competidores não, você
pode ter vantagem sobre eles na visão de clientes que são sensíveis a questão de manter suas
informações seguras.
Reduzir custos – a principal filosofia da ISO 27001 é prevenir incidentes de segurança de ocorrerem; e
cada incidente, sendo este grande ou pequeno custa dinheiro – desta forma, ao prevenir incidentes sua
organização economizará uma quantidade significativa de dinheiro. E a melhor coisa de tudo –
investimento na ISO 27001 é muito menor do que a economia em custo que você obterá.
Melhor organização – tipicamente, organizações que crescem rápido não tem tempo para fazer uma
pausa e definir seus processos e procedimentos – e como uma consequência, muito frequentemente os
empregados não sabem o que precisa ser feito, quando e por quem. A implementação da ISO 27001 ajuda
a resolver tal situação porque ela encoraja as organizações a escrever seus principais processos (mesmo
aqueles que não são relacionados a segurança), possibilitando a elas reduzir a perda de tempo de seus
empregados.
Essencialmente, a segurança da informação é parte da gestão geral de riscos em uma organização, com
sobreposição em áreas de cyber segurança, gestão da continuidade do negócio e gestão de TI:
Como a ISO 27001 é realmente?
A ISO / IEC 27001 é dividia em 11 seções e Anexo A, onde as seções de 0 a 3 são introdutórias (e não são
obrigatórias para a implementação), enquanto as seções de 4 a 10 são obrigatórias – significando que
todos os seus requisitos devem ser implementados em uma organização se ela quer estar em
conformidade com a norma. Controles do Anexo A devem ser implementados apenas se declarados como
aplicáveis na Declaração de Aplicabilidade.
De acordo com o Anexo SL das Diretivas ISO / IEC da International Organization for Standardization, os
títulos das seções da ISO 27001 são os mesmos da ISO 22301:2012, na nova ISO 9001:2015, e outras
normas de gestão, permitindo uma integração mais fácil destas normas.
Seção 0: Introdução – explica o propósito da ISO 27001 e sua compatibilidade com outras normas de
gestão.
Seção 1: Escopo – explica que esta norma é aplicável a qualquer tipo de organização.
Seção 2: Referência normativa – refere-se a ISO / IEC 27000 como uma norma onde termos e definições
são dadas.
Seção 3: Termos e definições – novamente, refere-se a ISO / IEC 27000.
Seção 4: Contexto da organização – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e
define requisitos para o entendimento de assuntos externos e internos, partes interessadas e seus
requisitos, e a definição do escopo do SGSI.
Seção 5: Liderança – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define as
responsabilidades da Alta Direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de
segurança da informação de alto nível.
Seção 6: Planejamento – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define
requisitos para a avaliação de risco, tratamento de risco, Declaração de Aplicabilidade, plano de
tratamento de risco, e define os objetivos de segurança da informação.
Seção 7: Apoio – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos de
disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e
registros.
Seção 8: Operação – esta seção é parte da etapa execução (Do) do ciclo PDCA e define a implementação
da avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir os
objetivos de segurança da informação.
Seção 9: Avaliação do desempenho – esta seção é parte da etapa verificação (Check) do ciclo PDCA e
define requisitos para o monitoramento, medição, análise, avaliação, auditoria interna e análise crítica
pela Direção.
Seção 10: Melhoria – esta seção é parte da etapa de atuação (Act) do ciclo PDCA e define requisitos para
não conformidades, ações corretivas e melhoria contínua.
Anexo A – este anexo disponibiliza um catálogo de 114 controles (salvaguardas) distribuídos em 14 seções
(seções de A.5 até A.18).
Para implementar a ISO 27001 em uma organização, você tem que seguir estas 16 etapas:
Documentação obrigatória
Existem dois tipos de certificação ISO 27001: (a) para organizações, e (b) para indivíduos. Organizações
pode ser certificadas para provar que elas estão em conformidade com todas as cláusulas mandatórias da
norma; indivíduos podem participar de cursos e passar em exames para obter o certificado.
Para obter a certificação como uma organização, ela deve implementar a norma como explicado nas
seções anteriores, e então se submeter a uma auditoria de certificação realizada por um organismo de
certificação. A auditoria de certificação é realizada nos seguintes estágios:
Estágio 2 da auditoria (Auditoria principal) – os auditores realizarão uma auditoria no local para
verificar se todas as atividades na organização estão em conformidade com a ISO 27001 e com a
documentação do SGSI.
Visitas de supervisão – após o certificado ser emitido, durante os 3 anos de sua validade, os
auditores verificarão se a organização mantém seu SGSI.
Indivíduos podem participar de vários cursos para obter certificados – os mais populares são:
Curso de Auditor Líder ISO 27001 – este curso de 5 dias ensinará a você como realizar auditorias
de certificação e é direcionado para auditores e consultores.
Curso de Implementador Líder da ISO 27001 – este curso de 5 dias ensinará a você como
implementar a norma e é direcionado para praticantes de segurança da informação e consultores.
Curso de Auditor Interno ISO 27001 – este curso de 2 ou 3 dias ensinará a você o básico da norma
e como realizar uma auditoria interna – ele é direcionado para iniciantes neste assunto e para
auditores internos.
Como mencionado anteriormente, a ISO 27001 foi primeiramente publicada em 2005 e revisada em 2013
– então, a versão atual é a ISO/IEC 27001:2013.
As mudanças mais importantes na versão 2013 estão relacionadas a estrutura da parte principal da
norma, partes interessadas, objetivos, monitoramento e medição; também, o Anexo A teve reduzido o
número de controles de 133 para 114 e aumentado o número de seções de 11 para 14. Alguns requisitos
foram excluídos da versão 2013, como ações preventivas e o requisito para documentar certos
procedimentos.
Contudo, todas estas mudanças na verdade não mudaram muito a norma como um todo – sua principal
filosofia ainda é baseada na avaliação e tratamento de riscos, e as mesmas fases do ciclo PDCA
permanecem. Esta nova versão da norma é mais fácil de ler e entender, e é muito mais fácil de integrar
com outras normas de gestão como a ISO 9001, ISO 22301, etc.
As organizações que foram certificadas na ISO/IEC 27001:2005 devem fazer a transição para a nova versão
2013 até setembro de 2015 se desejam manter o certificado válido.
Normas relacionadas a segurança da informação e outras
ISO/IEC 27002 provê orientações para a implementação dos controles listados na ISO 27001. A ISO 27001
específica 114 controles que podem ser utilizados para reduzir riscos de segurança, e a ISO 27002 pode
ser bem útil porque ela disponibiliza detalhes sobre como implementar estes controles. A ISO 27002 era
anteriormente referenciada como ISO/ IEC 17799.
ISO/IEC 27004 provê orientações para a medição da segurança da informação – ela se ajusta bem com a
ISO 27001 porque ela explica como determinar se o SGSI atingiu seus objetivos.
ISO/IEC 27005 provê orientações para a gestão de riscos de segurança da informação. Ela é um
suplemento muito bom para a ISO 27001 porque dá detalhes sobre como realizar a avaliação de riscos,
provavelmente o estágio mais difícil na implementação.
ISO 22301 define os requisitos para sistemas de gestão da continuidade do negócio – ela se ajusta bem
com a ISO 27001 porque A.17 da ISO 27001 requer que a continuidade do negócio seja implementada
sem contudo prover muitos detalhes.
ISO 9001 define os requisitos para sistemas de gestão da qualidade – embora em primeira vista gestão da
qualidade e gestão da segurança da informação não tenham muito em comum, o fato é que 25% dos
requisitos da ISO 27001 e ISO 9001 são os mesmos: controle de documentos, auditoria interna, análise
crítica pela direção, ações corretivas, definição de objetivos e gestão de competências. Isto significa que
se uma organização implementou a ISO 9001, ela terá um trabalho muito mais fácil para implementar a
ISO 27001.