Normas ISO 17799 e ISO 27001
GERÊNCIA E SUPORTE DA TECNOLOGIA DA INFORMAÇÃO
As normas ISO 17799 e ISO 27001 são padrões internacionais que definem as melhores práticas para a sistema de gestão da segurança da informação (SGSI) em organizações de todos os portes e setores.
1. ISO 17799
A ISO 17799, também conhecida como NBR ISO/IEC-17799, é uma norma internacional que trata da segurança das informações. Ela foi desenvolvida para proteger as informações e conhecimentos gerados pela humanidade, que são considerados um dos maiores bens que possuímos atualmente. Originou-se de um esforço do governo britânico em 1987, que criou o Comercial Computer Security Centre (CCSC) com o objetivo de criar critérios para a avaliação da segurança e um código de segurança para os usuários das informações. A versão final da NBR ISO/IEC-17799, que é uma “tradução literal” da norma Internacional de Segurança da Informação — ISO/IEC-17799:2000, foi homologada em Setembro de 2001
Diretrizes para Sistema de Gestão da Segurança da Informação
A ISO 17799, fornece um guia abrangente para a implementação de um SGSI eficaz. Ela aborda 11 áreas de controle:
1.1. Introdução: Define os termos e conceitos chave da segurança da informação. E descreve os benefícios da implementação de um SGSI.
1.2. Política de segurança da informação: Orienta sobre a criação e implementação de uma política de segurança da informação que atenda às necessidades da organização.
1.3. Gestão de riscos: Fornece um guia para a identificação, análise e tratamento dos riscos à segurança da informação.
1.4. Controle de acesso: Descreve as melhores práticas para controlar o acesso aos ativos de informação da organização.
1.5. Segurança de ativos: Aborda os métodos para proteger os ativos de informação da organização, como hardware, software, dados e informações confidenciais.
1.6. Segurança operacional: Fornece diretrizes para garantir a segurança das operações da organização, incluindo backups, recuperação de desastres e gerenciamento de incidentes.
1.7. Cumprimento legal: Orienta sobre a conformidade da organização com leis e regulamentações relevantes à segurança da informação.
1.8. Continuidade do negócio: Descreve os métodos para garantir a continuidade das operações da organização em caso de interrupções.
1.9. Conformidade: Aborda a importância da conformidade com os requisitos da ISO 27001 e outras normas relevantes.
1.10. Melhoria contínua: Fornece diretrizes para a melhoria contínua do SGSI da organização.
1.11. Apêndice A: Contém um conjunto de controles de segurança da informação que podem ser utilizados pela organização.
2. ISO 27001
A ISO 27001 é uma norma internacional de gestão de segurança da informação2. Ela tem como principal objetivo o atendimento de uma série de requisitos, processos e controles, que visam gerir a segurança da informação presentes em uma empresa.
A implementação da norma ISO 27001 busca garantir um alto compromisso com a proteção da informação, oferecendo às empresas uma referência e as melhores práticas para identificar, analisar e implementar controles para gerenciar riscos de segurança da informação e proteger a confidencialidade, integridade e disponibilidade de dados essenciais aos negócios.
Requisitos para Sistemas de Gestão da Segurança da Informação
A ISO 27001, publicada em 2005, é um padrão certificável que define os requisitos para um SGSI. Ela se baseia na ISO 17799 e inclui:
- Requisitos de gestão
- Requisitos de controle
- Processo de certificação
Relação entre as normas:
- A ISO 17799 fornece orientação para a implementação da ISO 27001.
- A ISO 27001 é um padrão formal para certificação.
Benefícios da implementação:
- Proteção da informação confidencial
- Redução de riscos de segurança
- Melhoria da conformidade legal
- Aumento da confiança dos clientes e parceiros
- Vantagem competitiva
Certificação ISO 27001:
- Demonstra o compromisso da organização com a segurança da informação.
- Aumenta a confiança dos clientes e parceiros.
- Pode abrir novas oportunidades de negócios.
Processo de certificação:
- Implementação do SGSI de acordo com a ISO 27001.
- Auditoria externa por um organismo de certificação acreditado.
- Emissão do certificado ISO 27001.
Observações:
- A versão mais recente da ISO 27001 foi publicada em 2013.
- A ISO 17799 foi revisada em 2013 e incorporada à ISO 27001.
As normas ISO 17799 e ISO 27001 são ferramentas valiosas para a proteção da informação e a melhoria da segurança em qualquer organização. A implementação de um SGSI pode trazer diversos benefícios, como a redução de riscos, o aumento da confiança e a vantagem competitiva.
Nota do Autor:
Grande parte do conteúdo é gerada por ferramentas de Inteligência Artificial (IA). Realizo a edição e complemento com imagens e informações adicionais que considero importantes para o tema. A ideia é compartilhar os estudos e enriquecer com mais conteúdo, fazendo ajustes quando necessário. Se você encontrar alguma inconsistência, sinta-se à vontade para compartilhar. Recomendo que você complemente seu estudo com outras fontes para obter uma compreensão mais abrangente. Bons estudos!