ISO 27001



por

b>O que é ISO 27001?

ISO 27001 (formalmente conhecido como ISO/IEC 27001:2005) é uma especificação para um sistema de gestão da segurança da informação (ISMS). Um SGSI é uma estrutura de políticas e procedimentos que inclui todos os controles legais, físicos e técnicos envolvidos nos processos de gestão de risco da informação de uma organização.

De acordo com sua documentação, a ISO 27001 foi desenvolvida para "fornecer um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gestão da segurança da informação".

p>ISO 27001 utiliza uma abordagem top-down, baseada em risco e é neutra do ponto de vista tecnológico. A especificação define um processo de planejamento em seis partes:

  1. Definir uma política de segurança.
  2. Definir o escopo do SGSI.
  3. Conduzir uma avaliação de risco.
  4. Gerenciar riscos identificados.
  5. Selecionar objetivos de controle e controles a serem implementados.
  6. Preparar uma declaração de aplicabilidade.

A especificação inclui detalhes para documentação, responsabilidade de gerenciamento, auditorias internas, melhoria contínua e ações corretivas e preventivas. A norma requer cooperação entre todas as secções de uma organização.

A norma 27001 não exige controlos específicos de segurança da informação, mas fornece uma lista de verificação de controlos que devem ser considerados no código de prática que a acompanha, ISO/IEC 27002:2005. Esta segunda norma descreve um conjunto abrangente de objectivos de controlo de segurança da informação e um conjunto de controlos de segurança de boas práticas geralmente aceites.

ISO 27002 contém 12 secções principais:

1. Avaliação de risco
2. Política de segurança
3. organização da segurança da informação
4. Gestão de activos
5. Segurança dos recursos humanos
6. Segurança física e ambiental
7. gestão das comunicações e operações
8. Controlo de acessos
br> 9. Aquisição, desenvolvimento e manutenção de sistemas de informação
10. Gestão de incidentes de segurança da informação
11. Gestão da continuidade do negócio
12. Conformidade

As organizações são obrigadas a aplicar estes controlos de forma apropriada de acordo com os seus riscos específicos. A certificação acreditada por terceiros é recomendada para conformidade ISO 27001.

Outros padrões sendo desenvolvidos na família 27000 são:

  • 27003 - guia de implementação.
  • 27004 - um padrão de medição de gerenciamento de segurança da informação sugerindo métricas para ajudar a melhorar a eficácia de um ISMS.
  • 27005 - um padrão de gerenciamento de risco de segurança da informação. (Publicado em 2008)
  • 27006 - um guia para o processo de certificação ou registo de organismos de certificação ou registo ISMS acreditados. (Publicado em 2007)
  • 27007 - guia de auditoria do ISMS.