11/11/2019 ISO 27002: Boa práticas para a gestão de segurança da informação

30 dez ISO 27002: Boas

práticas para gestão de
segurança da informação
Posted at 09:31h in Padronização de segurança, Geral,
Aprendizado e descoberta by Willian Pandini 6 Comments 

Post disponível em / disponible en / available in: Português,

Español, English

Tempo de leitura: 7 minutos

Segurança da
informação é um
tema que ganhou
corpo nos últimos APROVAÇÃO ISO

27002
anos, obtendo
espaço nas mídias e
tornando-se
EM 7 PASSOS
“commodity”, em
empresas dos mais
Baixe nosso e-book 
variados portes e
segmentos. Em 
contrapartida é 
importante frisar que a popularização do termo SI
(Segurança da Informação) foi motivada pela elevação no
https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 1/11
11/11/2019
(Segurança da Informação) foi motivada pela elevação no
ISO 27002: Boa práticas para a gestão de segurança da informação

número de incidentes de segurança, ocorridos em âmbito

mundial. Os transtornos gerados por estes incidentes são
variados gerando, desde danos a imagem do negócio,
vazamento de informações críticas, podendo acarretar em
perdas nanceiras substanciais.

O aumento do número de ocorrências in uencia na

percepção de valor sobre investimentos em SI, e fazem com
que empresas busquem a estruturação de processos para
garantir que seus negócios estejam protegidos contra os
mais variados tipos de ameaças virtuais.

Em meio a este cenário, surgiu a norma internacional NBR

ISO/IEC 27002, que foca nas boas práticas para a gestão da
segurança da informação. Nos dias de hoje, ela é
fundamental para a consolidação de um Sistema de Gestão
de Segurança da Informação (SGSI), garantindo a
continuidade e manutenção dos processos de segurança,
alinhados aos objetivos estratégicos da organização. A
seguir, conheça as principais características da norma, bem
como os benefícios associados a sua implantação:

O que é a ISO 27002?

Em 1995, as organizações internacionais ISO (The
International Organization for Standardization) e IEC
(International Electrotechnical Commission) deram origem a
um grupo de normas que consolidam as diretrizes
relacionadas ao escopo de Segurança da Informação, sendo
representada pela série 27000. Neste grupo, encontra-se a
ISO/IEC 27002 (antigo padrão 17799:2005), norma
internacional que estabelece código de melhores práticas
para apoiar a implantação do Sistema de Gestão de
Segurança da Informação (SGSI) nas organizações.

Através do fornecimento de um guia completo de
implementação, ela descreve como os controles podem ser
estabelecidos. Estes controles, por sua vez, devem ser
https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 2/11
11/11/2019
estabelecidos. EstesISO
controles, por sua vez, devem ser
27002: Boa práticas para a gestão de segurança da informação

escolhidos com base em uma avaliação de riscos dos ativos

mais importantes da empresa. Ao contrário do que muitos
gestores pensam, a ISO 27002 pode ser utilizada para apoiar
a implantação do SGSI em qualquer tipo de organização,
pública ou privada, de pequeno ou grande porte, com ou
sem ns lucrativos; e não apenas em empresas de
tecnologia.

Quais seus objetivos?

O principal objetivo da ISO 27002 é estabelecer diretrizes e
princípios gerais para iniciar, implementar, manter e
melhorar a gestão de segurança da informação em uma
organização. Isso também inclui a seleção, a implementação
e o gerenciamento de controles, levando em conta os
ambientes de risco encontrados na empresa.

ISO 27002, benef ícios para as

empresas?
As vantagens proporcionadas pela certi cação ISO 27002
são representativas para as empresas, principalmente pelo
fato de serem reconhecidas mundialmente. Conheça alguns
benefícios associados a aplicação da norma:

Melhor conscientização sobre a segurança da informação;

Maior controle de ativos e informações sensíveis;
Oferece uma abordagem para implantação de políticas de
controles;
Oportunidade de identi car e corrigir pontos fracos;
Redução do risco de responsabilidade pela não
implementação de um SGSI ou determinação de políticas e
procedimentos; 
Torna-se um diferencial competitivo para a conquista de
clientes que valorizam a certi cação;
Melhor organização com processos e mecanismos bem
https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 3/11
11/11/2019 çISO 27002: Boa práticas para a gestão de segurança da informação
desenhados e geridos;
Promove redução de custos com a prevenção de
incidentes de segurança da informação;
Conformidade com a legislação e outras
regulamentações.

Quais os principais itens que

compõem o ISO 27002?
A parte principal da norma se encontra distribuída nas
seguintes seções, que correspondem a controles de
segurança da informação. Vale lembrar que a organização
pode utilizar essas diretrizes como base para o
desenvolvimento do SGSI. Sendo elas:

Seção 5 – Política de Segurança da

Informação
Deve ser criado um documento sobre a política de
segurança da informação da empresa, que deve conter os
conceitos de segurança da informação, uma estrutura para
estabelecer os objetivos e as formas de controle, o
comprometimento da direção com a política, entre tantos
outros fatores.

Seção 6 – Organização da Segurança da

Informação
Para implementar a Segurança da Informação em uma
empresa, é necessário estabelecer uma estrutura para
gerencia-la da maneira adequada. Para isso, as atividades de
segurança da informação devem ser coordenadas por
representantes da organização, que devem ter
responsabilidades bem de nidas e proteger as informações
de caráter sigiloso.

Seção 7 – Gestão de ativos
Ativo, segundo a norma, é qualquer coisa que tenha valor
para a organização e que precisa ser protegido Mas para
https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 4/11
11/11/2019 ISO 27002: Boa práticas para a gestão de segurança da informação
para a organização e que precisa ser protegido. Mas para
isso, os ativos devem ser identi cados e classi cados, de tal
forma que um inventário possa ser estruturado e
posteriormente mantido. Além disso, eles devem seguir
regras documentadas, que de nem qual o tipo de uso é
permitido fazer com esses ativos.

Seção 8 – Segurança em recursos humanos

Antes de realizar a contratação de um funcionário – ou
mesmo de fornecedores – é importante que ele seja
devidamente analisado, principalmente se for lidar com
informações de caráter sigiloso. A intenção desta seção é
mitigar o risco de roubo, fraude ou mau uso dos recursos. E
quando o funcionário estiver trabalhando na empresa, ele
deverá estar ciente das ameaças relativas à segurança da
informação, bem como de suas responsabilidades e
obrigações.

Seção 9 – Segurança física e do ambiente

Os equipamentos e instalações de processamento de
informação críticas ou sensíveis devem ser mantidas em
áreas seguras, com níveis e controles de acesso apropriados,
incluindo proteção contra ameaças físicas e ambientais.

Seção 10 – Segurança das operações e

comunicações
É importante que estejam de nidos os procedimentos e
responsabilidades pela gestão e operação de todos os
recursos de processamento das informações. Isso inclui o
gerenciamento de serviços terceirizados, o planejamento
dos recursos dos sistemas para minimizar o risco de falhas, a
criação de procedimentos para a geração de cópias de
segurança e sua recuperação e a administração segura de
redes de comunicações.

Seção 11 – Controle de acesso 

O acesso à informação, assim como aos recursos de
processamento das informações e aos processos de
negócios, deve ser controlado com base nos requisitos de
https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 5/11
11/11/2019 ISO 27002: Boa práticas para a gestão de segurança da informação

negócio e na segurança da informação. Deve ser assegurado

o acesso de usuário autorizado e prevenido o acesso não
autorizado a sistemas de informação, a m de evitar danos a
documentos e recursos de processamento da informação
que estejam ao alcance de qualquer um.

Seção 12 – Aquisição, desenvolvimento e

manutenção de sistemas
Os requisitos de segurança de sistemas de informação
devem ser identi cados e acordados antes do seu
desenvolvimento e/ou de sua implementação, para que
assim possam ser protegidos visando a manutenção de sua
con dencialidade, autenticidade ou integridade por meios
criptográ cos.

Seção 13 – Gestão de incidentes de

segurança da informação
Procedimentos formais de registro e escalonamento devem
ser estabelecidos, e os funcionários, fornecedores e terceiros
devem estar conscientes sobre os procedimentos para
noti cação dos eventos de segurança da informação, para
assegurar que eles sejam comunicados o mais rápido
possível e corrigidos em tempo hábil.

Seção 14 – Gestão da continuidade do

negócio
Planos de continuidade do negócio devem ser
desenvolvidos e implementados, visando impedir a
interrupção das atividades do negócio e assegurar que as
operações essenciais sejam rapidamente recuperadas.

Seção 15 – Conformidade
É importante evitar a violação de qualquer lei criminal ou
civil, garantindo estatutos, regulamentações ou obrigações
contratuais e de quaisquer requisitos de segurança da

informação. Caso necessário, a empresa pode contratar uma
consultoria especializada, para que veri que sua
conformidade e aderência a requisitos legais e
l
https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 6/11
11/11/2019 ISO 27002: Boa práticas para a gestão de segurança da informação
regulamentares.

Um passo importante para a segurança da informação em

ambientes corporativos

Seguir os princípios da certi cação ISO/IEC 27002 é um

passo altamente relevante, para garantir a segurança da
informação nas empresas. Neste sentido, é primordial
ressaltar a importância de empresas possuírem pro ssionais
certi cados em seus times de segurança, dando maior
respaldo ao processo de implantação das boas práticas
relacionadas a norma, bem como a obtenção de certi cação
corporativa ISO 27001.

Você já é certi cado ISO 27002? Conte sua experiência nos

comentários.

APROVAÇÃO ISO

27002
EM 7 PASSOS

Referências:

ABNT- Associação Brasileira de Normas Técnicas. NBR

ISO/IEC 27002 – Tecnologia da informação – Técnicas de
segurança – Código de prática para a gestão da segurança
da informação. Rio de Janeiro, ABNT, 2005.

Continue sua leitura

Bloquear redes Segurança da Quanto sua

https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 7/11
11/11/2019
q g ç Q
ISO 27002: Boa práticas para a gestão de segurança da informação

sociais em sua Informação: o empresa perde

empresa é que é e por com a
uma opção? que empresas indisponibilidade
devem investir da internet?
Post disponível
em / Post disponível Post disponível
disponible en / em / em /
available in: disponible en / disponible en /
Português available in: available in:
Español Português Português
EnglishO Español Español
controle de EnglishSegurança EnglishA
internet n... da informação disponibilidade
... da int...

Tags: ISO 27002 NORMA ISO PADRONIZAÇÃO SEGURANÇA

 } W
Share Print page 3 Likes

Willian Pandini
willian.pandini@ostec.com.br

6 Comments

https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 8/11
11/11/2019 ISO 27002: Boa práticas para a gestão de segurança da informação

Rogerio
Posted at 10:46h, 06 janeiro RESPONDER

Olá,
Uma empresa não pode ser certi cada pela
ISO 27002, e sim pela ISO 27001. A ISO 27002
detém os controles recomendados, mas
quem as diretrizes estão todas na 27001.

OSTEC
Posted at 16:57h, 12 janeiro RESPONDER

Prezado Rogério,

Agradecemos sua colaboração e

comunicamos que o post já recebeu as
devidas correções. Continue
acompanhando nossas postagens e
colaborando para o enriquecimento
dos conteúdos.

Atenciosamente.

Pedro Hsa
Posted at 15:50h, 15 janeiro RESPONDER

Olá eu sou estagiário na prefeitura de

Contagem/MG.
Curso Ciência da computação.
E no meu estágio trabalho pra um programa
do governo chamado PRÓ-ISO.
Queremos saber onde encontrar, e como
contactar Concultor, Instrutor e Auditor dessa
norma.


https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 9/11
11/11/2019 ISO 27002: Boa práticas para a gestão de segurança da informação

João
Posted at 21:45h, 11 junho RESPONDER

Parabéns, que belo artigo Willian Pandini ! Me

ajudou muito em um trabalho da faculdade.
Abraço!

Marcio Carneiro
Posted at 23:31h, 24 julho RESPONDER

Qual as relações possíveis entre a LGPD e a

ISO27000?

Willian Pandini
Posted at 09:02h, 07 agosto RESPONDER

A segurança da informação está

intimamente associada a LGPD, uma
vez que com a entrada em vigor da Lei
as empresas terão que comprovar suas
ações para promover segurança para o
dado corporativo. O detalhamento de
“como” a empresa garante a proteção
dos dados, deverá ser formalizado junto
ao “Relatório de Impacto à proteção de
dados pessoais”, que é composto pela
descrição dos processos de tratamento
de dados pessoais que podem gerar
riscos às liberdades civis e aos direitos
fundamentais, bem como medidas,
salvaguardas e mecanismos de
mitigação de riscos.

https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 10/11
11/11/2019 ISO 27002: Boa práticas para a gestão de segurança da informação

Post A Comment

Write your comment here...

Your full name

E-mail address

Website

SUBMIT

Esse site utiliza o Akismet para reduzir spam. Aprenda como

seus dados de comentários são processados.

Português Español English

https://ostec.blog/padronizacao-seguranca/iso-27002-boas-praticas-gsi 11/11