Resenha ISO 27001

Resenha comentada ISO/NBR/IEC 27000

Normas relacionadas com a segurança da informação: ISO 27001, 27002, 27003, 27004,27005

A ISO - "International Organization for Standardization" é uma organização sediada em Genebra, na Suica. Foi fundada em 1946. O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.

A ISO 27001

É a Norma Internacional que define os Requisitos para Sistemas de Gestão de Segurança da Informação. Ela ajuda a empresa a adotar um sistema de gestão da segurança da Informação que permita mitigar os riscos de segurança atribuídos a seus ativos e adequar as necessidades a área de negócio.

Alguns benefícios propostos pela Norma ISO 27001

Reduz o risco de responsabilidade pela não implementação ou determinação

de políticas e procedimentos

Oportunidade de identificar e corrigir pontos fracos

A alta direção assume a responsabilidade pela segurança da informação

Permite revisão independente do sistema de gestão da segurança da

informação

Oferece confiança aos parceiros comerciais, partes interessadas, e clientes

Melhor conscientização sobre segurança

Combina recursos com outros Sistemas de Gestão

Mecanismo para se medir o sucesso do sistema

Estrutura da Norma ISO 27001

0 – Introdução

1 – Objetivo

2 – Referência normativa

3 – Termos e definições

4 – Sistema de gestão de segurança da informação

5 – Responsabilidade da direção

6 – Auditorias internas do SGSI

7 – Análise crítica do SGSI pela direção

8 – Melhoria do SGSI

A cerificação ISO 27001 pode ser obtida por empresas e não por profissionais.

A ISO 27002

É recomendável que a ISO 27001 seja utilizada em conjunto com a 27002, que é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação, facilitando atingir os requisitos especificados pela Norma ISO 27001

A ISO 27002 fornece um conjunto de Controles baseados em melhores práticas para a Segurança da Informação. Ela não deve ser utilizada em auditorias mas simplesmente servir como um guia. A Norma está dividida em 11 capítulos.

Ao contrário da ISO 27001, a certificação ISO 27002 pode ser obtida por profissionais. Ela corresponde a antiga certificação ISO 17799.

Com o crescimento da tecnologia e as exigências do mercado cada vez maiores, as corporações necessitam implantar a segurança da informação em seus processos. Desenvolvendo procedimentos em seus serviços, por meio de regras, restrições e criando responsabilidades específicas para cada setor da organização.

Como profissionais de TI precisamos também nos adaptar a esta evolução, e não devemos pensar apenas na obtenção do conhecimento técnico do assunto, mesmo este sendo de grande importância para o desenvolvimento profissional.

Para auxiliar tanto os profissionais quanto as organizações vários órgãos de padronização desenvolveram algumas normas com objetivos específicos em Segurança da Informação, atualmente as mais conhecidas, utilizadas e respeitadas são as NBR ISO/IEC 27001 e 27002. Tais normas tem como objetivo estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação.

ISO 27003

Segundo a ISO IEC 27003, deve-se compreender que o monitoramento é um processo contínuo e que, como tal, em seu projeto convém levar em consideração o estabelecimento do seu processo, bem como o projeto das reais necessidades e atividades de monitoramento. Essas atividades precisam de uma coordenação, que também faz parte do projeto. Os objetivos de monitoramento podem ser determinados pela combinação entre as informações previamente estabelecidas pelos ativos e pelo escopo, e os resultados da análise de riscos e seleção de controles. Convém

...