Scribd Logo
Hochladen

Willkommen bei Scribd!

  • O Que É A ISO 27001, Afinal

    Hochgeladen von

    jorges_santos
    195 Ansichten2 Seiten

    Originaltitel

    O que é a ISO 27001, afinal

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    DOC, PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    195 Ansichten2 Seiten

    O Que É A ISO 27001, Afinal

    Hochgeladen von

    jorges_santos

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als DOC, PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 2

    O que é a ISO 27001, afinal?

    A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002 um


    padrão britânico que trata da definição de requisitos para um Sistema Gestão
    de Segurança da Informação. O padrão foi incorporado pela The International
    Organization for Standardization (ISO), Instituição internacional com sede na
    Suíça que cuida do estabelecimento de padrões internacionais de certificação
    em diversas áreas. O Reino Unido é um grande provedor de regras e padrões,
    pela tradição de precursor atividades de padronização desde a Revolução
    Industrial. Podemos citar como exemplo de normas BS que foram incorporadas
    pela ISO: BS5750 que virou ISO 9000 (Qualidade) e BS7550 que virou
    ISO14000 (Meio Ambiente).

    A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e


    adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos
    que as normas de sistemas de gestão já incorporaram. A revisão foi feita por
    um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC (The
    International Eletrotechnical Comission) o ISO/IEC JTC 1, sub-comitê SC 27,
    que através de um trabalho conjunto que ocorreu desde 2000 efetuou as
    alterações que são a compilação de diversas sugestões que os membros deste
    comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e
    apresentação dos resultados ocorreram em diversos países até o primeiro
    semestre de 2005.

    Um breve histórico da evolução da norma até chegar a ISO 27001:


    - 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 -
    Tecnologia da Informação - Código de prática para gestão da segurança da
    informação)
    - 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema
    de gestão da Segurança da Informação - Especificações e guia para uso)
    - 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da
    Informação - Código de prática para gestão da segurança da informação)
    - 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC
    17799:2000 - Tecnologia da Informação - Código de prática para gestão da
    segurança da informação também referenciada como BS ISO/IEC 17799:2000)

    - 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799


    (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para
    gestão da segurança da informação)
    - 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema
    de gestão da Segurança da Informação - Especificações e guia para uso).
    - Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC
    17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de
    prática para gestão da segurança da informação);
    - Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 -
    Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da
    Segurança da Informação - Requisitos).

    Acompanhando o processo de evolução histórica apresentado acima, pode-se


    observar que a norma ISO/IEC 17799, que é a evolução da BS7799-1,
    incorporada pela ISO em 2000, também foi revisada, e ambas as normas, a
    ISO/IEC 27001 e a ISO/IEC 17799, já estão alinhadas. O próximo passo será a
    conversão da ISO/EC 17799:2005 em ISO/IEC 27002, previsto para 2007,
    formando assim a família ISO/IEC 27000 que tratará aspectos mais amplos de
    Segurança da Informação.

    As mudanças mais relevantes na migração para norma ISO/IEC 27001


    ocorreram na estrutura do SGSI (sistema de gestão de segurança da
    informação), quando são destacados aspectos de auditoria interna e
    indicadores de desempenho do sistema de gestão de segurança e no Anexo A
    que passou a ter na ISO/IEC 27001 11 seções, pois foi incluída a seção Gestão
    de Incidentes de Segurança da Informação:

    ¨5.Política de Segurança da Informação


    ¨6. Organizando a Segurança da Informação
    ¨7. Gestão de Ativos
    ¨8. Segurança em Recursos Humanos
    ¨9. Segurança Física e do Ambiente
    ¨10. Gerenciamento das Operações e Comunicações
    ¨11. Controle de Acessos
    ¨12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
    ¨13. Gestão de Incidentes de Segurança da Informação
    ¨14. Gestão da Continuidade do Negócio
    ¨15. Conformidade

    De acordo com órgãos certificadores será concedido um tempo para as


    empresas certificadas em BS7799-2:2002 se adequarem a nova norma
    ISO/IEC 27001. A média é de 1 ano e meio, então todas as empresa
    certificadas, se quiserem manter o seu certificado, deverão se revisar seus
    sistemas e passar por uma auditoria de recertificação migrando para a norma
    ISO/IEC 27001. A tendência natural é que as empresas passem a buscar a
    nova norma e aumente o número de certificações no mundo, devido a maior
    aceitação do padrão ISO com referência universal.

    ¹ Ciclo PDCA de melhoria - ferramenta utilizada para garantir a evolução dos


    sistemas de gestão nas normas ISO 9001 e ISO 14000, por exemplo, que
    significa: P- planejar, D - executar, C - verificar, A - agir corretivamente.

    Das könnte Ihnen auch gefallen