ISO 27001

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mais conhecido como ISO 27001[1] .

Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. A especificação e implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, exigências de segurança, os processos empregados e o tamanho e estrutura da organização.

Este padrão é o primeiro da família de segurança da informação relacionado aos padrões ISO que espera-se sejam agrupados à série 27000. Outros foram incluídos antecipadamente:

  • ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação);
  • ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;
  • ISO 27002 - Esta norma irá substituir em 2006/2007 o ISO 17799:2005 (Código de Boas Práticas);
  • ISO 27003 - Esta norma abordará as diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação. Deverá ser publicada em 2006;
  • ISO 27004 - Esta norma incidirá sobre as métricas e relatórios de um sistema de gestão de segurança da informação. A sua publicação deverá ocorrer em 2007;
  • ISO 27005 - Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles. O seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – “Information Security Management Systems - Guidelines for Information Security Risk Management”, a publicar em finais de 2005. A publicação da norma ISO 27005 ocorreu em meados de 2008;
  • ISO 27006 - Esta norma especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação.

ISO 27001 foi baseado e substitui o BS 7799 parte 2, o qual não é mais válido.

Certificação[editar | editar código-fonte]

A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores práticas com padrões de certificação.

Certificações de organização com ISMS ISO/IEC 27001 é um meio de garantir que a organização certificada implementou um sistema para gerência da segurança da informação de acordo com os padrões. Credibilidade é a chave de ser certificado por uma terceira parte que é respeitada, independente e competente. Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação - não perfeita, necessariamente, mas está rigorosamente no caminho certo de melhora contínua.

A ABNT - A Associação Brasileira de Normas Técnicas (ABNT) elaborou a NBR ISO/IEC 27001:2006 que é uma tradução idêntica da ISO/IEC 27001:2005, que foi elaborada pelo Join Technical Committee Information Technology (ISO/IEC/JTC 1), subcommittee IT Security Tecchniques (SC 27).

Certificação ISO/IEC 27001 geralmente envolve um processo de auditoria em dois estágios:

Estágios[editar | editar código-fonte]

Estágio um é uma revisão em cima da mesa da existência e completude de documentação chave como a política de segurança da organização, declaração de aplicabilidade (SoA) e plano de tratamento de risco (PTR).

Estágio dois é um detalhamento, com auditoria em profundidade envolvendo a existência e efetividade do controle ISMS declarado no SoA e PTR, bem como a documentação de suporte. A renovação do certificado envolve revisões periódicas e re-declaração confirmando que o ISMS continua operando como desejado.

Referências

Ligações externas[editar | editar código-fonte]

Wiki letter w.svg Este artigo é um esboço. Você pode ajudar a Wikipédia expandindo-o. Editor: considere marcar com um esboço mais específico.