Escolar Documentos
Profissional Documentos
Cultura Documentos
Isabel Sousa
14 de Dezembro de 2009
ISO 27001
Resumo
O objectivo deste trabalho consistiu em realizar uma análise da ISO 27001 e para isso revelar
a sua estrutura e conteúdo.
Iremos começar por fazer uma apresentação da norma, e das suas componentes, como por
exemplos as áreas de controlos e alguns dos seus capítulos. Continuamos com a aplicação da norma,
abordamos o ciclo PDCA e a certificação da norma.
E por fim concluímos que esta ISO deve ser usada em organizações com o intuito de preservar
e garantir a segurança das suas informações, já que esta é uma norma certificada e com provas dadas
de confiança.
2
ISO 27001
Sumário
1. Introdução .......................................................................................................................................... 5
4. Áreas de Controlo.............................................................................................................................. 8
5.4. Capitulo 7. Management review of the ISMS - Gestão de revisão do ISMS ............................. 11
9. Conclusões ........................................................................................................................................ 17
3
ISO 27001
Índice de figuras
Abreviaturas
4
ISO 27001
1. Introdução
O tema a desenvolver no decorrer deste trabalho é a norma ISO 27001 e a forma como esta se
encontra estruturada.
Os motivos que nos levaram a escolher este tema entre tantos outros foi o nosso interesse em
particular pela ISO 27001, para além do facto de acharmos que este tema nos enriquecerá como
estudantes e nos será muito útil no futuro como profissionais da informação, uma vez que, o
crescimento da produção de informação nas organizações as obriga a tomarem medidas mais eficazes,
a fim de protegerem os seus conteúdos, sendo necessário recorrerem cada vez mais a normas
auxiliares para esse fim.
A importância da segurança da informação é cada vez mais uma área reconhecida como sendo
de grande importância na vida de um Serviço de Informação e das organizações em geral.
O trabalho está dividido de forma genérica em dez partes. Iniciando com a introdução, em
seguida começamos por apresentar a ISO 27001, e todas as suas características e mais à frente
abordaremos outras questões relacionadas com a norma, como por exemplos referência á sua
aplicação, ao ciclo PDCA e à certificação da norma. Seguidamente apresentaremos as nossas
conclusões relativamente ao trabalho realizado, bem como as referências utilizadas para a elaboração
do trabalho.
5
ISO 27001
2. ISO 27001
Pode-se dizer que a ISO 27001, apresenta um alto nível de natureza conceptual, bem como um âmbito
bastante alargado, e por estas razões, permite que seja aplicada em vários tipos de empresas e
utilizações.
A ISO 27001 é uma norma “standard” de segurança da informação, dedicada a este aspecto e aos
critérios de auditoria de gestão com critérios específicos de auditoria operacional.
O campo da segurança da informação tem sido tradicionalmente baseada nas “melhores práticas” e
“orientações”, contudo, mesmo que a sabedoria acumulada seja válida, também está sujeita a várias
interpretações e aplicações, nem sempre coerentes e harmoniosas, entre si. Além disso, a ISO 27001 é
na realidade a “melhor estimativa” para a segurança, sem a análise subjacente que torna a
implementação de controlo tanto justificável e defensável.
6
ISO 27001
Existem várias razões para a existência da ISO 27001, entre elas podemos enunciar as seguintes:
para alguns sectores, uma área operacional certificada, com ISO 27001 pode tornar-se
uma exigência real.
para as organizações sujeitas a regulação governamental, a ISO 27001 pode aumentar a
eficiência e eliminar a redundância de informação em conformidade com os vários
regulamentos de protecção através de uma gestão centralizada.
para dados das organizações voltados para o cliente, o uso de uma área operacional
certificada da ISO 27001 pode oferecer uma vantagem de marketing.
uma área operacional certificada com a ISO 27001 fornece um alto grau de confiança e
fiabilidade.
A ISO 27001 é um procedente directo do British Standards Institute (BSI) Information Security
Management designada como norma BS 7799-2. A BSI tem sido pró-activa no campo da evolução da
Segurança da Informação. Em resposta às procuras da indústria, um grupo de trabalho dedicado à
Segurança da Informação foi criado no início dos anos 90, culminando com um “Código de Boas
Práticas de Gestão de Segurança da Informação” por volta de 1993. Esse trabalho evoluiu para a
primeira versão da norma BS 7799 lançado em 1995. No final da década de 1990, em resposta às
exigências da indústria, a BSI formou um programa de acreditação de empresas de auditoria, ou
“Organismos de Certificação”, como competente para auditar a BS 7799. Simultaneamente, foi
constituído um comité de direcção, culminando com a actualização e liberação da BS 7799 em 1998,
1999, 2000 e, finalmente, em 2002. Por esta altura, a segurança da informação teve um grande
impacto nas organizações e começou a tornar-se uma preocupação para os utilizadores de
computadores em todo o mundo. Enquanto algumas organizações utilizaram a norma BS 7799, as
necessidades foram aumentando, e foi necessário criar um padrão internacionalmente reconhecido de
segurança da informação, sob o abrigo de um órgão reconhecido internacionalmente, como a ISO.
Esta discussão levou à actualização da BS7799-2, e à publicação da ISO 27001, em Outubro de 2005.
7
ISO 27001
Uma norma de auditoria com base em Um guia de execução, com base em sugestões
requisitos auditáveis. de boas práticas.
Incide sobre os controlos de gestão que Lista de controlos operacionais que uma
interessam às organizações. organização deve considerar.
4. Áreas de Controlo
A ISO 27001 define um sistema de gestão de segurança de informação de acordo com a estrutura
organizacional, com as politicas, as actividades de planeamento, as responsabilidades, as práticas, os
procedimentos, os processos e os recursos.
Define ainda um ISMS como parte do sistema global de gestão, baseado numa abordagem de risco,
para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurança da
informação. Essa abrangência faz com que uma norma ISO 27001 potencia a interacção entre os
departamentos da empresa e vários programas, tais como:
8
ISO 27001
Recursos Humanos
Legal
Auditorias
Instalações
Continuidade de Negócios
Operações
Segurança Física
Para cumprir este objectivo, a ISO 27001 identificou 5 áreas de controlo, 12 objectivos de controlo, e
78 controles. Cada um é definido como um requisito sujeito a uma auditoria. È importante referir que
a implementação de um controle pode envolver a interacção com outros departamentos e programas
mencionados anteriormente. As áreas de controlo da ISO 27001, objectivos e os atributos-chave de
controlo estão resumidos a seguir, uma vez que, este é um trabalho que aborda a norma, mas não tem
como objectivo ser a norma em si, por isso para termos mais detalhes completos sobre a norma, o
melhor é consultá-la com cuidado e atenção.
(ISO, 2005; CARLSON, 2008)
Nesta ISO existem controlos obrigatórios que são abordados desde o capítulo 4 a 8 da norma, para que
os sistemas de segurança das organizações estejam realmente em conformidade com a ISO 27001, e
serão esses capítulos que iremos de seguida apresentar.
Para termos uma ideia geral da estrutura desta norma apresentamos em baixo uma figura do índice da
ISSO 27001. Contudo, tal como já foi referido iremos apenas abordar os capítulos 4 a 8.
9
ISO 27001
(ISO, 2005)
Esta área de controlo dá conta a necessidade de estabelecer, implementar, operar monitorar, rever,
manter e melhorar um SGSI documentado, incluindo:
10
ISO 27001
Esta área aborda as necessidades de auditorias internas num ISMS incluindo um procedimento de
auditoria documentado, critérios de auditorias, frequência de actuação, metodologia e
responsabilidades.
(ISO, 2005; CARLSON, 2008)
Esta área de aborda a necessidade de participação de gestão e apoio do ISMS, nomeadamente: 7.1
Geral - revisão periódicas programadas e documentadas do desempenho do ISMS. 7.2 Revisão de
entradas - as diversas fontes métricas necessárias para uma análise da gestão global. E por último 7.3
Revisão de saída - a gestão de vários critérios de revisão e decisão e a necessidade de controlar as
alterações resultantes destas decisões de gestão.
(ISO, 2005; CARLSON, 2008)
11
ISO 27001
existentes no ISMS, bem como acompanhamento das soluções. 8.3 Acção preventiva - a identificação
pró-activa e análise de causa de potenciais problemas com o ISMS, bem como acompanhamento das
acções de alinhamento.
(ISO, 2005; CARLSON, 2008)
Fazem também parte desta norma anexos (A – Control objectives and controls, B – OEDC principles
and this International Standard e C – Correspondence between ISO 9001:2000, ISO 14001:2004 and
this Internacional Standard). Os anexos A são os mesmos que são detalhados na ISO 27002, mas sem
a orientação de execução prevista na ISO 27002, este anexo aborda completamente os controlos mas
não a forma de serem implementados. A postura amigável da ISO 27001 permite a aceitação do risco
baseada em critérios de risco organizacional de tolerância estabelecidos pelos órgãos de gestão.
Um processo é considerado uma actividade, que utiliza recursos e os gere de forma a possibilitar a
transformação de entradas em saídas. A abordagem de processo é quando os processos individuais e
suas interacções são embaladas num pacote coeso, ou sistema, reservado para realizar algo. A ISO
27001 é implementada através da criação e manutenção de um Sistema de Gestão da Segurança da
Informação (ISMS) com o objectivo de realizar as seguintes tarefas: estabelecimento, implementação,
operação, monitorar, revisão, manutenção e melhoria da segurança da informação das organizações.
12
ISO 27001
7. O ciclo PDCA
Sendo fiel às suas origens em Gestão da qualidade, a ISO 27001 aprovou o circuito fechado PDCA,
mas conhecido por modelo (Plan – Do – Chech – Act).
O modelo PDCA é comum a outros sistemas de gestão, tais como as definidas dentro ISO9001
(qualidade) e ISO 14001 (Meio Ambiente) e também é compatível com as directrizes da OEDC (?).
13
ISO 27001
14
ISO 27001
Em algumas áreas, incluindo os E.U., o Conselho Nacional de Acreditação não tem (ainda)
credenciar um organismo de certificação ISO 27001. Sem um organismo de certificação acreditado, é
impossível a certificar a ISO 27001. Uma organização poderá optar por ter um
Organismo de Certificação “não-certificado” a realizar a certificação, caso em que a validade do
certificado é derivado da reputação da não ser credenciado. Alternativamente, uma organização pode
optar por ser certificadas pelo Conselho Nacional de Acreditação de outro país. Desta forma o prazo
de validade do certificado é proveniente do Conselho Nacional de Acreditação do outro país em causa.
15
ISO 27001
Na indústria existe uma certa confusão em relação à abordagem e ao nível de esforço necessário para
implementar qualquer Programa de Segurança da Informação. Muitas organizações desejam
simplesmente começar com "normas de base" de infra-estruturas de segurança da informação. No
entando são incapazes de justificar de imediato o esforço extra necessário para a certificação. Contudo
esta base deixa as organizações bem posicionadas para avançar para a verdadeira certificação.
(ISO, 2005; CARLSON, 2008)
16
ISO 27001
9. Conclusões e críticas
Após a realização deste trabalho acerca de segurança de informação, podemos extrair as seguintes
conclusões: a ISO 27001 é o guia que especifica o que será feito em termos de segurança e da
qualidade inerente a um sistema de gestão.
Podemos igualmente dizer que um Programa de Segurança de Informação supervisiona a iniciativa das
organizações de protecção de informações, e pode ter responsabilidade sobre várias áreas
operacionais.
Embora a ISO 27002, não fosse o objecto de estudo do nosso trabalho, achamos importante referir que
é um guia que implementa, e sugere o que deve ser feito com base nas melhores práticas reconhecidas
internacionalmente e portanto, como resultado serve como uma excelente base para construir um
Programa de Segurança da Informação nas organizações.
Podemos acrescentar que nas organizações as diferentes áreas operacionais podem servir como base
para estabelecer o âmbito de certificação de uma ISO 27001.
É necessário ter muito cuidado com a aplicação de medidas de segurança nas organizações que não
sejam acreditadas, pois podem criar uma falsa sensação de segurança para as organizações, uma vez
que estas pensam que a posse das políticas de "segurança" é tudo o que é necessário.
Como resultado da implementação irá produzir os requisitos sobre os riscos que incluem segurança,
processos, funções e actividades necessárias para a selecção da norma.
Podemos terminar dizendo que todos estes exemplos representam oportunidades de crescimento e
desafios para todos os profissionais e estudantes de segurança da informação, já que esta área se
encontra em franca expansão no mercado.
17
ISO 27001
BEEKEY, Michael. 2008. Leveraging ISO 27001 for your compliance Requirements. CTG Security
Solutions. Disponivel em:
http://www.ctg.com/infosecurity/pdf/iso27001-compliance-v2.pdf
CARLSON, Tom. 2008. Understanding ISO 27001. Orange Parachute. Disponível em:
http://www.pdf-search-engine.com/online-pdf-
view.php?pdf=http://www.gqex.net/files/UnderstandingISO27001.pdf
ISO 27001: the Standard for Due Care. 2005. Network Computing Architects, Inc. Disponível em:
http://www.ncanet.com/documents/NCAISO27001ISMS-STD-1.pdf
IT Governance Ltd 2005, 2006. Information Security and ISO27001 – an Introduction. Disponivel
em:
http://www.pdf-search-engine.com/online-pdf-
view.php?pdf=http://www.itgovernance.co.uk/files/Infosec_101v1.1.pdf
Providing Global Information Asset Protection and Network Security Solutions. 2005.
BEWGLOBAL. Disponível em:
http://www.bewglobal.com/user_files/file_15.pdf
SAS 70 vs. an ISO 27001 ISMS. Network Computing Architects, Inc. Disponível em:
http://www.ncanet.com/documents/NCAISO27001ISMS-SAS70-3.pdf
The ISO 27001 Information Security Management System Specification. Disponivel em:
http://www.w3j.com/5/s3.koman.html
Using ISO 27001 to your advantage. 2007. Computer Task Group Inc. Disponivel em:
http://www.ctg.com/infosecurity/pdf/Using_ISO27001_to_Your_Advantage.pdf
18
ISO 27001
19