ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. O seu nome completo é ISO/IEC 27001- Tecnologia da informação - técnicas de segurança - sistemas de gestão da segurança da informação - requisitos, mais conhecido como ISO 27001[1].
Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. Um SGSI introduzido em alguma entidade possui o intuito de reduzir a probabilidade e/ou o impacto provocado por algum tipo de incidente de segurança da informação[2]. A especificação e implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, exigências de segurança, os processos empregados e o tamanho e estrutura da organização.
Este padrão é o primeiro da família de segurança da informação relacionado aos padrões ISO que espera-se sejam agrupados à série 27000. Outros foram incluídos antecipadamente:
- ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação);
- ISO 27001 - Sistema de Gestão da Segurança da Informação - única norma da série 27000 com requisitos de certificação e passível de certificação acreditada.
- ISO 27002 - Tecnologia da informação - Técnicas de segurança - Guia de Boas prática para controles de segurança da informação - Sem certificação acreditada
- ISO 27003 - Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Orientação
- ISO 27004 - Tecnologia da informação - Técnicas de segurança - Gestão da segurança da informação - Monitorização, medição, análise e avaliação.
- ISO 27005 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos na segurança da informação
- ISO 27006 - Tecnologia da informação - Técnicas de segurança - Requisitos para os organismos que fornecem auditoria e certificação de sistemas de gestão de segurança da informação.
ISO 27001 foi baseado e substitui o BS 7799 parte 2, o qual não é mais válido.
Certificação
A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores práticas com padrões de certificação.
Certificações de acordo com a ISO/IEC 27001 é um meio de garantir que a organização certificada implementou um sistema para gestão da segurança da informação de acordo com os padrões e devidamente acreditado. Credibilidade é a chave de ser certificado por uma terceira parte que é respeitada, independente, competente caso seja acreditada. Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação - não perfeita, necessariamente, mas está rigorosamente no caminho certo de melhora contínua.
Certificação ISO/IEC 27001 geralmente envolve um processo de auditoria em dois estágios:
Estágios
Estágio um é uma análise preliminar, informal do SGSI, na verificação da existência e completude da documentação chave como a política de segurança da informação da organização, Declaração de Aplicabilidade (do inglês Statement of Applicability - SoA) e Plano de Tratamento de Risco (PTR).
Estágio dois é um detalhamento, com auditoria em profundidade envolvendo a existência e efetividade do controle ISMS declarado no SoA e PTR, bem como a documentação de suporte. A renovação do certificado envolve revisões periódicas e re-declaração confirmando que o ISMS continua operando como desejado.
História da ISO/IEC 27001
BS 7799 foi um padrão publicado originalmente pelo BSI Group[3] em 1995. Foi escrito pelo Departamento de Comércio e Indústria (DTI) do Governo do Reino Unido e consistia em várias partes.
A primeira parte, contendo as melhores práticas para a gestão da segurança da informação, foi revisada em 1998; após uma longa discussão nos órgãos de padronização em todo o mundo, foi eventualmente adotado pela ISO como ISO/IEC 17799, "Tecnologia da Informação - Código de prática para gerenciamento de segurança da informação." em 2000. ISO/IEC 17799 foi então revisado em junho de 2005 e finalmente incorporado na série de padrões ISO 27000 como ISO/IEC 27002 em julho de 2007.
A segunda parte do BS 7799 foi publicada pela primeira vez pela BSI em 1999, conhecida como BS 7799 Parte 2, intitulada "Sistemas de gerenciamento de segurança da informação - Especificação com orientação para uso". A BS 7799-2 focou em como implementar um sistema de gerenciamento de segurança da informação (SGSI), referindo-se à estrutura de gerenciamento de segurança da informação e controles identificados na BS 7799-2. Posteriormente, tornou-se ISO/IEC 27001:2005. BS 7799 Parte 2 foi adotado pela ISO como ISO/IEC 27001 em novembro de 2005.
A BS 7799 Parte 3 foi publicada em 2005, cobrindo análise e gerenciamento de risco. Está de acordo com a ISO/IEC 27001:2005.
Muito pouca referência ou uso é feito a qualquer um dos padrões BS em conexão com a ISO/IEC 27001.
Referências
- ↑ Informações ISO 27001
- ↑ https://ostec.blog/padronizacao-seguranca/primeiros-passos-iso-27000/
- ↑ «Fast facts and figures». www.bsigroup.com (em English). Consultado em 16 de março de 2021