ISO 27001 e ISO 27002

Olá meus queridos leitores, segue abaixo para quem deseja implantar algumas boas práticas relativas a segurança da informação dentro da sua empresa, antes não custa realizar uma introdução a sigla ISO:

A ISO - “International Organization for Standardization” é uma organização  sediada em Genebra, na Suiça. Foi fundada em 1946.  O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.

A ISO 27001

É a Norma Internacional que define os Requisitos para Sistemas de Gestão de Segurança da Informação. Ela ajuda a empresa a adotar um sistema de gestão da segurança da Informação que permita mitigar os riscos de segurança atribuídos a seus ativos e adequar as necessidades a área de negócio.

Alguns benefícios propostos pela Norma ISO 27001

• Reduz o risco de responsabilidade pela não implementação ou determinação
• de políticas e procedimentos
• Oportunidade de identificar e corrigir pontos fracos
• A alta direção assume a responsabilidade pela segurança da informação
• Permite revisão independente do sistema de gestão da segurança da
• informação
• Oferece confiança aos parceiros comerciais, partes interessadas, e clientes
• Melhor conscientização sobre segurança
• Combina recursos com outros Sistemas de Gestão
• Mecanismo para se medir o sucesso do sistema

Estrutura da Norma ISO 27001

0 – Introdução

1 – Objetivo

2 – Referência normativa

3 – Termos e definições

4 – Sistema de gestão de segurança da informação

5 – Responsabilidade da direção

6 – Auditorias internas do SGSI

7 – Análise crítica do SGSI pela direção

8 – Melhoria do SGSI

A certificação ISO 27001 pode ser obtida por empresas e não por profissionais.

A ISO 27002

É recomendável que a ISO 27001 seja utilizada em conjunto com a 27002, que  é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação, facilitando atingir os requisitos especificados pela Norma ISO 27001


A ISO 27002 fornece um conjunto de Controles baseados em melhores práticas para a Segurança da Informação. Ela não deve ser utilizada em auditorias mas simplesmente servir como um guia. A Norma está dividida em 11 capítulos. 


Ao contrário da ISO 27001, a certificação ISO 27002 pode ser obtida por profissionais. Ela corresponde a antiga certificação ISO 17799.

COBIT - Critérios de Informação

Para atender aos objetivos de negócios, as informações precisam se adequar a certos critérios de controles, aos quais o CobiT denomina necessidades de informação da empresa. Baseado em abrangentes requisitos de qualidade, guarda e segurança, sete critérios de informação distintos e sobrepostos são definidos, como segue:

1. Efetividade lida com a informação relevante e pertinente para o processo de negócio bem como a mesma sendo entregue em tempo, de maneira correta, consistente e utilizável.

 

2. Eficiência relaciona-se com a entrega da informação através do melhor (mais produtivo e econômico) uso dos recursos.

 

3. Confidencialidade está relacionada com a proteção de informações confidenciais para evitar a divulgação indevida.Empresa para TI

 

4. Integridade relaciona-se com a fidedignidade e totalidade da informação bem como sua validade de acordo os valores de negócios e expectativas.

 

5. Disponibilidade relaciona-se com a disponibilidade da informação quando exigida pelo processo de negócio hoje e no futuro. Também está ligada à salvaguarda dos recursos necessários e capacidades associadas.

 

6. Conformidade lida com a aderência a leis, regulamentos e obrigações contratuais aos quais os processos de negócios estão sujeitos, isto é, critérios de negócios impostos externamente e políticas internas.

 

7. Confiabilidade relaciona-se com a entrega da informação apropriada para os executivos para administrar a entidade e exercer suas responsabilidades fiduciárias e de governança.

 

 

Fonte: Gestão da TI