Escolar Documentos
Profissional Documentos
Cultura Documentos
outubro de 2005 pelo ISO – International Organization for Standardization – e pela International
Electrotechnical Commission. Aqui, a norma será tratada como ISO 27001, mas o nome completo é ABNT
NBR ISO/IEC 27001. Sendo que, a regulação dispõe sobre Tecnologia da Informação, técnicas de segurança
e sistemas de gerência da segurança da informação.
A ISO 27001 foi elaborada com o intuito de viabilizar um modelo para SGSI – Sistema de Gestão de
Segurança da Informação. Para isso, a norma padroniza questões de implantação, operação,
monitoramento, análise, manutenção e melhoria da segurança. Assim como acontece com outros padrões
ISO, a norma combina as melhores práticas do segmento e permite certificação.
No caso específico da ISO 27001, a certificação garante que a empresa implementou um sistema para
gerência da segurança da informação, sendo um selo de credibilidade. Portanto, a certificação confere
confiança à empresa e também parceiros, clientes e auditores. Com abrangência e validade internacional, a
1ª versão da ISO 27001, de 2005, foi desenvolvida com base na Norma Britânica BS 7799-2. A versão mais
recente foi publicada em 2013, e seu título completo é ISO/IEC 27001:2013.
A implementação da ISO 27001 pode ser realizada em qualquer organização – pública ou privada -, de
qualquer segmento e independente do tamanho. A metodologia pode ser aplicada na gestão da segurança
e como procedimento para certificação. Como o foco é proteger a confidencialidade, integridade e
disponibilidade da informação, a ISO 27001 tem relevância indiscutível. Afinal, cada vez mais, informação é
um ativo de extremo valor para as empresas, fazendo com que a segurança seja uma necessidade crítica.
A seguir, detalharemos diversos aspectos da ISO 27001 para você possa conhecer detalhes sobre a
reconhecida estrutura.
nova revisão da ISO 27001. O foco principal da atualização foram as adaptações para a nuvem, já que Cloud
Computing passou a ser muito presente no universo de TI.
gestão da TI. No geral, o foco da ISO 27001 é a avaliação e o tratamento de riscos. Sendo que, a norma usa
o modelo PDCA – plan-do-check-act – como estrutura para todos os processos.
A norma tem 11 seções e 3 anexos (A, B e C). Destes, as seções 0, 1, 2 e 3 são introdutórias. Nas seções de 4
a 10 estão concentradas as obrigatoriedades. Ou seja, todos os requisitos descritos nestas seções devem
ser implementados. Sobre os anexos, detalharei abaixo. Novamente, sintetizando, a ISO 27001 envolve
estratégias mensuráveis.
A norma estabelece uma série de competências necessárias, que precisam portanto ser atendidas com
responsáveis certificados. Outra exigência importante é a documentação apropriada de toda a informação,
que também é dependente de atualização constante e processos de formalização. Estes controles são
inclusive úteis para o atendimento do acompanhamento, avaliação e mensuração dos objetivos, que
O Anexo A da ISO 27001 tem um catálogo de 114 controles de segurança, que a organização deve
selecionar de acordo com a aplicabilidade. Aliás, o número de controles é uma das mudanças da versão
2013 em comparação com a de 2005. Antes, o Anexo A tinha 133 controles, mas alguns requisitos foram
excluídos da versão 2013, como ações preventivas e o requisito para documentar certos procedimentos. O
conhecimento dos controles do Anexo A facilita na compreensão de que a segurança da informação não é
restrita à TI. Artigos como Segurança em Recursos Humanos, Gestão de Ativos, Segurança Física e do
Ambiente, Segurança nas Comunicações, e Relacionamento na Cadeia de Suprimento denotam a amplitude
da ISO 27001.
Os Anexos B e C são informativos. O Anexo B concentra os Princípios da OECD – Organization for Economic
Co-operation and Development. Esta organização tem a missão de promover políticas para melhorar
questões econômicas e de bem-estar no mundo. Atuante no compartilhamento de experiências e busca por
soluções para problemas comuns, a OECD publicou um documento com 9 princípios de Segurança da
Informação. Destes, 7 princípios estão na ISO 27001: conscientização, responsabilidade, resposta,
análise/avaliação de riscos, arquitetura e implementação de segurança, gestão de segurança e reavaliação.
Finalizando este trecho, o Anexo C tem uma tabela que apresenta a correspondência entre estas as normas
de qualidade, gestão ambiental e de segurança. Portanto, um anexo útil para quem trabalha com um
Sistema de Gestão Integrado – SGI.
da empresa ou órgão. Outro ponto importante é a validade internacional e o reconhecimento global da ISO
27001. Ao mesclar estes dois cenários, as vantagens da certificação tornam-se nítidas e expressivas.
A certificação ISO 27001 para organizações também é vantajosa para os stakeholders da empresa ou órgão.
Ou seja, os clientes, fornecedores e parceiros são beneficiados direta e indiretamente por terem um
relacionamento com a organização certificada. Neste universo, a segurança da informação aproxima-se
bastante da proteção de dados. Como a ISO 27001 certifica que há segurança na tratativa de informações,
os stakeholders têm confiança no tratamento adequado de dados, inclusive aqueles sensíveis.
Além das organizações, a certificação na ISO 27001 também é viável para indivíduos. Os benefícios de ser
um profissional certificado são:
Comprovação de conhecimento sobre SGSI;
Então, a organização é submetida a uma auditoria realizada por organismo de certificação, conforme os
seguintes estágios:
Realização de auditoria no local para verificar se todas as atividades estão em conformidade com a ISO
27001 e com a documentação do SGSI.
Emissão da certificação.
Após o certificado ser emitido, durante os 3 anos de sua validade, os auditores verificam se a organização
mantém seu SGSI em visitas de supervisão.
Declaração de aplicabilidade;
Inventário de ativos;
auditoria 27001; conclusão de uma auditoria ISO 27001 e gerenciamento de um programa de auditoria ISO
27001.
Para saber mais, confira o whitepaper do curso Auditor Líder ISO 27001.