Pesquisar neste blog

segunda-feira, 6 de junho de 2011

ISO 27001 e ISO 27002


Olá meus queridos leitores, segue abaixo para quem deseja implantar algumas boas práticas relativas a segurança da informação dentro da sua empresa, antes não custa realizar uma introdução a sigla ISO:




A ISO - “International Organization for Standardization” é uma organização  sediada em Genebra, na Suiça. Foi fundada em 1946.  O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.



A ISO 27001

É a Norma Internacional que define os Requisitos para Sistemas de Gestão de Segurança da Informação. Ela ajuda a empresa a adotar um sistema de gestão da segurança da Informação que permita mitigar os riscos de segurança atribuídos a seus ativos e adequar as necessidades a área de negócio.

Alguns benefícios propostos pela Norma ISO 27001
  • Reduz o risco de responsabilidade pela não implementação ou determinação
  • de políticas e procedimentos
  • Oportunidade de identificar e corrigir pontos fracos
  • A alta direção assume a responsabilidade pela segurança da informação
  • Permite revisão independente do sistema de gestão da segurança da
  • informação
  • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes
  • Melhor conscientização sobre segurança
  • Combina recursos com outros Sistemas de Gestão
  • Mecanismo para se medir o sucesso do sistema

Estrutura da Norma ISO 27001
0 – Introdução
1 – Objetivo
2 – Referência normativa
3 – Termos e definições
4 – Sistema de gestão de segurança da informação
5 – Responsabilidade da direção
6 – Auditorias internas do SGSI
7 – Análise crítica do SGSI pela direção
8 – Melhoria do SGSI

A certificação ISO 27001 pode ser obtida por empresas e não por profissionais.

A ISO 27002

É recomendável que a ISO 27001 seja utilizada em conjunto com a 27002, que  é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação, facilitando atingir os requisitos especificados pela Norma ISO 27001


A ISO 27002 fornece um conjunto de Controles baseados em melhores práticas para a Segurança da Informação. Ela não deve ser utilizada em auditorias mas simplesmente servir como um guia. A Norma está dividida em 11 capítulos. 


Ao contrário da ISO 27001, a certificação ISO 27002 pode ser obtida por profissionais. Ela corresponde a antiga certificação ISO 17799.

COBIT - Critérios de Informação

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles, aos quais o CobiT denomina necessidades de informação da empresa. Baseado em abrangentes requisitos de qualidade, guarda e segurança, sete critérios de informação distintos e sobrepostos são definidos, como segue:

1. Efetividade lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável.
 
2. Eficiência relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso dos recursos.
 
3. Confidencialidade está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida.Empresa para TI
 
4. Integridade relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo os valores de negócios e expectativas.
 
5. Disponibilidade relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades associadas.
 
6. Conformidade lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas internas.
 
7. Confiabilidade relaciona-se com a entrega da informação apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiduciárias e de governança.