Escolar Documentos
Profissional Documentos
Cultura Documentos
política de
segurança da
informação
Real, Cilene
SST Padrões da política de segurança da informação /
Cilene Real
Ano: 2020
nº de p.: 9
Apresentação
Trataremos nesta unidade dos padrões da política de segurança da informação,
analisando a importância da adoção de normas internacionais da família ISO. Para
tanto, iremos compreender o que é uma norma ISO e quais as principais normas
existentes na área de segurança da informação.
Em seguida, iremos analisar mais a fundo a norma ISO 27000 e a norma ISO 27001,
pois são dois documentos muito importantes para área de segurança da informação,
tidas como normas de referência para certificações e gestão em qualidade.
Padrão ISO
Para a segurança de nossas informações, utilizamos as normas internacionais
auditáveis da família da ISO 27000, que formam um padrão de certificação
promovido pela International Organization for Standardization – ISO.
3
As normas são compostas por conceitos e fundamentos que auxiliam os
administradores da tecnologia da informação a estabelecerem, implementarem,
monitorarem, manterem e melhorarem a segurança da informação.
• ISO 27000: contempla uma visão geral da série, com termos e definições que
fazem parte de seu vocabulário;
• ISO 27001: contém os requisitos de um SGSI;
• ISO 27002: detém o código de práticas que descreve os objetivos e controles
recomendados para a segurança da informação;
• ISO 27003: possui as diretrizes para a implementação do SGSI e informações
do PDCA (Plan-Do-Check-Act). No nosso idioma, o método PDCA é traduzido
em Planejar (Plan), etapa em que são definidos os objetivos a serem atingi-
dos; Fazer (Do), fase em que se executa o plano; Checar (Check), momento
em que se verifica os resultados obtidos; e Agir (Act), a última etapa do ciclo,
na qual são definidas as ações corretivas e efetuados os ajustes. Na família
do SGSI, é utilizado o método de gestão PDCA para garantir a melhoria con-
tínua dos métodos empregados.
• ISO 27004: apresenta as técnicas e métricas para o controle do SGSI.
• ISO 27005: contém as diretrizes para a gestão de riscos da Segurança da
Informação.
• ISO 27006: contempla os requisitos para auditoria.
• ISO 27007: é composta pelas diretrizes para auditar o SGSI.
Um exemplo que pode ser aplicado no dia a dia da área de tecnologia refere-se a
ISO 27005, que é a aquisição de um servidor para controlar os acessos de internet
dos colaboradores da empresa.
Já para a ISO 27002, uma implementação valiosa a ser efetuada trata dos recursos
e acessos que um colaborador que será contratado deverá possuir. Uma maneira de
realizar tal ação é a criação de um formulário, que deve ser preenchido inicialmente
pelo RH, com as informações básicas do novo colaborador, como nome e setor; em
seguida, deve ser encaminhado para o gestor que está efetuando a contratação
4
definir que tipo de equipamento de informática esse colaborador deverá possuir
para realizar suas atividades: notebook, tablet e/ou celular; e esse gestor deve
indicar a quais informações esse colaborador deverá possuir acesso e se esse
acesso é apenas de leitura ou de gravação. Em seguida, o formulário será destinado
ao setor de TI, que irá providenciar os equipamentos necessários, a criação do
usuário e a atribuição dos acessos definidos.
Saiba mais
Você sabe a importância da ISO? A ISO é uma organização sediada
em Genebra, na Suíça, e foi fundada em 1946. A sigla ISO foi originada
da palavra isonomia. O propósito da ISO é desenvolver e promover
normas que possam ser utilizadas, igualmente, por todos os países do
mundo. Cerca de 111 países integram essa importante organização
internacional, especializada em padronização, cujos membros são
entidades normativas de âmbito nacional. O Brasil é representado
pela Associação Brasileira de Normas Técnicas – ABNT.
ISO 27000
O documento oficial da Norma ISO 27000 é formado por definições peculiares,
exigindo um vocabulário claro para não gerar diferentes interpretações.
Definições Descrição
Ação para eliminar a causa de uma não conformidade identificada
Ação corretiva ou uma situação indesejada.
5
Garantia de que uma característica reclamada por uma entidade é
Autenticação correta.
Risco de segurança Uma ameaça que explora uma vulnerabilidade de um ativo e causa
danos à organização.
da informação
Vulnerabilidade Fraquezas de um ativo que pode ser explorada por uma ameaça.
6
ISO 27001
Considerando a ABNT (2009), a ISO 27001 é a única norma internacional de gestão
de segurança da informação, assim como a ISO 9001 é a referência internacional
para a certificação de gestão em qualidade. A ISO 27001 foi criada para definir
um modelo para estabelecer, implementar, operar, monitorar, analisar, manter e
melhorar um SGSI, buscando a proteção da informação.
Esta norma vem sendo melhorada continuamente ao longo dos anos e deriva de um
conjunto anterior de normas. Milhares de profissionais já contribuíram com o seu
know-how e experiência para o estabelecimento de um modelo padrão estável e
maduro, mas que certamente continuará a evoluir ao longo dos tempos.
7
Fechamento
Estudamos os principais conceitos relacionados aos padrões da política de
segurança da informação, analisamos a importância da adoção de normas
internacionais da família ISO e sua relação com a tecnologia da informação. Vimos
também as principais características das normas ISO da família 27000 que auxiliam
na elaboração das diretrizes de segurança da informação.
Por fim, estudamos alguns dos elementos que compõe a norma ISO 27001, norma
internacional de grande relevância na área de gestão da segurança da informação.
8
Referências
ABNT – Associação Brasileira de Normas Técnicas. ISO Guia 73: gestão de riscos:
vocabulário. Rio de Janeiro, 2009.