Segurança da Informação e ISO 27001

 Helio Cordeiro  11/03/2019  Segurança da Informação, Cibersegurança e Forense  4,835 Visualizações

O que é a ISO 27001?

A ISO 27001 é um padrão para sistemas de gestão da segurança da informação. A norma foi publicada em

outubro de 2005 pelo ISO – International Organization for Standardization – e pela International

Electrotechnical Commission. Aqui, a norma será tratada como ISO 27001, mas o nome completo é ABNT
NBR ISO/IEC 27001. Sendo que, a regulação dispõe sobre Tecnologia da Informação, técnicas de segurança
e sistemas de gerência da segurança da informação.

A ISO 27001 foi elaborada com o intuito de viabilizar um modelo para SGSI – Sistema de Gestão de
Segurança da Informação. Para isso, a norma padroniza questões de implantação, operação,

monitoramento, análise, manutenção e melhoria da segurança. Assim como acontece com outros padrões
ISO, a norma combina as melhores práticas do segmento e permite certificação.

No caso específico da ISO 27001, a certificação garante que a empresa implementou um sistema para
gerência da segurança da informação, sendo um selo de credibilidade. Portanto, a certificação confere
confiança à empresa e também parceiros, clientes e auditores. Com abrangência e validade internacional, a

1ª versão da ISO 27001, de 2005, foi desenvolvida com base na Norma Britânica BS 7799-2. A versão mais
recente foi publicada em 2013, e seu título completo é ISO/IEC 27001:2013.


A implementação da ISO 27001 pode ser realizada em qualquer organização – pública ou privada -, de

qualquer segmento e independente do tamanho. A metodologia pode ser aplicada na gestão da segurança
e como procedimento para certificação. Como o foco é proteger a confidencialidade, integridade e
disponibilidade da informação, a ISO 27001 tem relevância indiscutível. Afinal, cada vez mais, informação é

um ativo de extremo valor para as empresas, fazendo com que a segurança seja uma necessidade crítica.

A seguir, detalharemos diversos aspectos da ISO 27001 para você possa conhecer detalhes sobre a

reconhecida estrutura.

Breve histórico da ISO 27001.

Como mencionado sem profundidade acima, a ISO 27001 faz referência à BS 7799-2. Publicado em 1995, a
British Standard 7799 foi revisada e deu origem a ISO/IEC 17799. Em 1999, foi criada uma segunda parte da
BS 7799, a supracitada BS 7799-2, que normativa a implantação de um Sistema de Gestão de Segurança da
Informação. Então, a partir daí, foi criada a ISO 27001 e estabelecida em 2005. Em 2013, foi publicado uma

nova revisão da ISO 27001. O foco principal da atualização foram as adaptações para a nuvem, já que Cloud
Computing passou a ser muito presente no universo de TI.

Principais características da ISO 27001.

Obviamente, a norma completa é extensa. Por isso, aqui, listo apenas as principais características a fim de
sintetizar a ISO 27001. Para melhor entendimento das dinâmicas, vale situar que a segurança da
informação é parte da gestão de riscos e tem conexões com cibersegurança, continuidade do negócio e

gestão da TI. No geral, o foco da ISO 27001 é a avaliação e o tratamento de riscos. Sendo que, a norma usa
o modelo PDCA – plan-do-check-act – como estrutura para todos os processos.

A norma tem 11 seções e 3 anexos (A, B e C). Destes, as seções 0, 1, 2 e 3 são introdutórias. Nas seções de 4
a 10 estão concentradas as obrigatoriedades. Ou seja, todos os requisitos descritos nestas seções devem
ser implementados. Sobre os anexos, detalharei abaixo. Novamente, sintetizando, a ISO 27001 envolve

análise de risco, comprometimento da alta gestão, planejamento de objetivos e estratégias, definição e

disponibilização de recursos e gestão de processos de segurança. 
Sobre riscos, a ISO 27001 exige análise periódica e em momentos de mudanças significativas. Como a
premissa é manter a segurança da informação, a análise é criteriosa e estende-se para a avaliação de
possíveis consequências e probabilidade de ocorrências. Também por isso, há responsabilização dos
líderes, que precisam estar comprometidos com o SGSI, devendo garantir disponibilidade de recursos e
orientação aos colaboradores. A eficiência da gestão ainda é atrelada à definição de objetivos claros e

estratégias mensuráveis.

A norma estabelece uma série de competências necessárias, que precisam portanto ser atendidas com
responsáveis certificados. Outra exigência importante é a documentação apropriada de toda a informação,
que também é dependente de atualização constante e processos de formalização. Estes controles são
inclusive úteis para o atendimento do acompanhamento, avaliação e mensuração dos objetivos, que

viabilizam a análise e a melhoria contínua do SGSI.

Anexos da ISO 27001.

Como descrito acima, a ISO 27001 tem 3 anexos: A, B e C. O Anexo A é o mais conhecido, por ser
normativo. Logo, é necessário que seja implementado. Já os Anexos B e C são de caráter informativo. Nos
tópicos a seguir, você pode conhecer mais detalhes sobre cada anexo.

Anexo A da ISO 27001.

O Anexo A da ISO 27001 tem um catálogo de 114 controles de segurança, que a organização deve

selecionar de acordo com a aplicabilidade. Aliás, o número de controles é uma das mudanças da versão
2013 em comparação com a de 2005. Antes, o Anexo A tinha 133 controles, mas alguns requisitos foram
excluídos da versão 2013, como ações preventivas e o requisito para documentar certos procedimentos. O
conhecimento dos controles do Anexo A facilita na compreensão de que a segurança da informação não é
restrita à TI. Artigos como Segurança em Recursos Humanos, Gestão de Ativos, Segurança Física e do
Ambiente, Segurança nas Comunicações, e Relacionamento na Cadeia de Suprimento denotam a amplitude
da ISO 27001.

Anexos B e C da ISO 27001.

Os Anexos B e C são informativos. O Anexo B concentra os Princípios da OECD – Organization for Economic
Co-operation and Development. Esta organização tem a missão de promover políticas para melhorar
questões econômicas e de bem-estar no mundo. Atuante no compartilhamento de experiências e busca por
soluções para problemas comuns, a OECD publicou um documento com 9 princípios de Segurança da
Informação. Destes, 7 princípios estão na ISO 27001: conscientização, responsabilidade, resposta,
análise/avaliação de riscos, arquitetura e implementação de segurança, gestão de segurança e reavaliação.

Finalizando este trecho, o Anexo C tem uma tabela que apresenta a correspondência entre estas as normas
de qualidade, gestão ambiental e de segurança. Portanto, um anexo útil para quem trabalha com um

Sistema de Gestão Integrado – SGI.

Quais as vantagens da certificação na ISO 27001?

A implantação de um SGSI é uma decisão estratégica para uma organização. Como a norma pode ser usada
para avaliar a conformidade por partes internas e externas, funciona para aferir e garantir a confiabilidade

da empresa ou órgão. Outro ponto importante é a validade internacional e o reconhecimento global da ISO
27001. Ao mesclar estes dois cenários, as vantagens da certificação tornam-se nítidas e expressivas.

Aumento da confiabilidade com todos os stakeholders;

Mitigação de riscos e redução do impacto das ocorrências;

Ágil adaptação, pois as informações estão documentadas e são facilmente gerenciadas;

Ganhos para a organização interna, fluxos processuais e otimização da gestão;

Conformidade legal e cumprimento de padrões de excelência;

Redução de custos com a prevenção de incidentes;

Vantagem competitiva frente à concorrência.

A certificação ISO 27001 para organizações também é vantajosa para os stakeholders da empresa ou órgão.
Ou seja, os clientes, fornecedores e parceiros são beneficiados direta e indiretamente por terem um
relacionamento com a organização certificada. Neste universo, a segurança da informação aproxima-se
bastante da proteção de dados. Como a ISO 27001 certifica que há segurança na tratativa de informações,
os stakeholders têm confiança no tratamento adequado de dados, inclusive aqueles sensíveis.

O compromisso com a proteção da informação estende-se às interações da organização certificada,

portanto, as informações de terceiros serão tratadas de acordo com as melhores práticas e padrões
internacionais.

Além das organizações, a certificação na ISO 27001 também é viável para indivíduos. Os benefícios de ser
um profissional certificado são:

 Comprovação de conhecimento sobre SGSI;

Possibilidade de gerenciamento de uma equipe de auditores;

Aquisição de habilidades para planejamento e realização de auditorias em conformidade com o processo

de certificação da ISO 27001;

Reconhecimento internacional através da certificação com validade global;

Iniciação e/ou avanço na carreira em Segurança da Informação;

Alta demanda e mercado em ascensão.

Como as organizações se certificam na ISO 27001?

As organizações precisam provar que elas estão em conformidade com todas as cláusulas obrigatórias da
norma para serem certificadas. Lembrando que, a certificação é resultado de um processo de adequação à
ISO 27001. Portanto, de início, a organização precisa emergir nas exigências da norma e adaptar sua
estrutura para cumprir os requisitos. Caso a empresa ou órgão prefira, este processo pode ser realizado

com o suporte de consultoria especializada.

Então, a organização é submetida a uma auditoria realizada por organismo de certificação, conforme os
seguintes estágios:

Análise da documentação pelos auditores.

Realização de auditoria no local para verificar se todas as atividades estão em conformidade com a ISO
27001 e com a documentação do SGSI.

Emissão da certificação.

Após o certificado ser emitido, durante os 3 anos de sua validade, os auditores verificam se a organização
mantém seu SGSI em visitas de supervisão.

Obrigatoriedades para a certificação de organizações na ISO 27001.

Ainda sobre o processo de certificação para organizações, as seguintes documentações e requisitos
obrigatórios precisam ser escritos e cumpridos: 
 Escopo do SGSI;

Política de segurança da informação e objetivos;

Metodologia de avaliação de risco e de tratamento de risco;

Declaração de aplicabilidade;

Plano de tratamento de risco;

Relatório de avaliação de risco;

Definição de papéis e responsabilidades de segurança;

Inventário de ativos;

Uso aceitável dos ativos;

Política de controle de acesso;

Procedimentos operacionais para a gestão de TI;

Princípios para projetar sistemas seguros;

Política de segurança para fornecedores;

Procedimento para gestão de incidente;

Procedimentos de continuidade do negócio;

Requisitos estatutários, regulatórios e contratuais.

Junto às documentações, os registros a seguir também são obrigatórios:

Registros de treinamento, habilidades, experiência e qualificações;

Resultados de monitoramento e medição;

Programa de auditoria interna;

Resultados de auditorias internas;

Resultados de análises críticas pela direção;

Resultados de ações corretivas;

Registros (logs) de atividades de usuários, de exceções e de eventos de segurança.

Além disso, a organização pode complementar a documentação conforme necessário.

Como os indivíduos se certificam na ISO 27001?

A certificação de profissionais na ISO 27001 envolve curso e aprovação em exame. Há algumas opções de
certificação, sendo que as mais comuns são Auditor Líder ISO 27001, Implementador Líder da ISO 27001 e
Auditor Interno ISO 27001. A certificação atende auditores, gerentes de projetos, consultores e outros
perfis que queiram dominar o processo de auditoria de um Sistema de Gestão de Segurança da
Informação. 
Detalharemos aqui a certificação para Auditor Líder ISO 27001 do PECB. O exame abrange o domínio das
seguintes competências: princípios e conceitos fundamentais da segurança da informação; SGSI; conceitos
e princípios fundamentais de auditoria; preparação de uma auditoria ISO 27001; realização de uma

auditoria 27001; conclusão de uma auditoria ISO 27001 e gerenciamento de um programa de auditoria ISO
27001.

Auditor Líder ISO 27001.

A DARYUS Educação, em parceria com o PECB, realiza o curso Auditor Líder ISO 27001, que habilita
profissionais no domínio técnico e desenvolvimento de competências para a condução de uma auditoria.
Com 40h de duração, o curso engloba conhecimentos sobre a ISO 27001 e também sobre ISO 19011, ISO
17021 e ISO 27006.

Para saber mais, confira o whitepaper do curso Auditor Líder ISO 27001.