Normas ISO 17799 e ISO 27001

Célio Normando
4 min readFeb 15, 2024

GERÊNCIA E SUPORTE DA TECNOLOGIA DA INFORMAÇÃO

As normas ISO 17799 e ISO 27001 são padrões internacionais que definem as melhores práticas para a sistema de gestão da segurança da informação (SGSI) em organizações de todos os portes e setores.

Foto de FlyD no Unsplash

1. ISO 17799

A ISO 17799, também conhecida como NBR ISO/IEC-17799, é uma norma internacional que trata da segurança das informações. Ela foi desenvolvida para proteger as informações e conhecimentos gerados pela humanidade, que são considerados um dos maiores bens que possuímos atualmente. Originou-se de um esforço do governo britânico em 1987, que criou o Comercial Computer Security Centre (CCSC) com o objetivo de criar critérios para a avaliação da segurança e um código de segurança para os usuários das informações. A versão final da NBR ISO/IEC-17799, que é uma “tradução literal” da norma Internacional de Segurança da Informação — ISO/IEC-17799:2000, foi homologada em Setembro de 2001

Diretrizes para Sistema de Gestão da Segurança da Informação

A ISO 17799, fornece um guia abrangente para a implementação de um SGSI eficaz. Ela aborda 11 áreas de controle:

1.1. Introdução: Define os termos e conceitos chave da segurança da informação. E descreve os benefícios da implementação de um SGSI.

1.2. Política de segurança da informação: Orienta sobre a criação e implementação de uma política de segurança da informação que atenda às necessidades da organização.

1.3. Gestão de riscos: Fornece um guia para a identificação, análise e tratamento dos riscos à segurança da informação.

1.4. Controle de acesso: Descreve as melhores práticas para controlar o acesso aos ativos de informação da organização.

1.5. Segurança de ativos: Aborda os métodos para proteger os ativos de informação da organização, como hardware, software, dados e informações confidenciais.

1.6. Segurança operacional: Fornece diretrizes para garantir a segurança das operações da organização, incluindo backups, recuperação de desastres e gerenciamento de incidentes.

1.7. Cumprimento legal: Orienta sobre a conformidade da organização com leis e regulamentações relevantes à segurança da informação.

1.8. Continuidade do negócio: Descreve os métodos para garantir a continuidade das operações da organização em caso de interrupções.

1.9. Conformidade: Aborda a importância da conformidade com os requisitos da ISO 27001 e outras normas relevantes.

1.10. Melhoria contínua: Fornece diretrizes para a melhoria contínua do SGSI da organização.

1.11. Apêndice A: Contém um conjunto de controles de segurança da informação que podem ser utilizados pela organização.

2. ISO 27001

A ISO 27001 é uma norma internacional de gestão de segurança da informação2. Ela tem como principal objetivo o atendimento de uma série de requisitos, processos e controles, que visam gerir a segurança da informação presentes em uma empresa.

A implementação da norma ISO 27001 busca garantir um alto compromisso com a proteção da informação, oferecendo às empresas uma referência e as melhores práticas para identificar, analisar e implementar controles para gerenciar riscos de segurança da informação e proteger a confidencialidade, integridade e disponibilidade de dados essenciais aos negócios.

Requisitos para Sistemas de Gestão da Segurança da Informação

A ISO 27001, publicada em 2005, é um padrão certificável que define os requisitos para um SGSI. Ela se baseia na ISO 17799 e inclui:

  • Requisitos de gestão
  • Requisitos de controle
  • Processo de certificação

Relação entre as normas:

  • A ISO 17799 fornece orientação para a implementação da ISO 27001.
  • A ISO 27001 é um padrão formal para certificação.

Benefícios da implementação:

  • Proteção da informação confidencial
  • Redução de riscos de segurança
  • Melhoria da conformidade legal
  • Aumento da confiança dos clientes e parceiros
  • Vantagem competitiva

Certificação ISO 27001:

  • Demonstra o compromisso da organização com a segurança da informação.
  • Aumenta a confiança dos clientes e parceiros.
  • Pode abrir novas oportunidades de negócios.

Processo de certificação:

  • Implementação do SGSI de acordo com a ISO 27001.
  • Auditoria externa por um organismo de certificação acreditado.
  • Emissão do certificado ISO 27001.

Observações:

  • A versão mais recente da ISO 27001 foi publicada em 2013.
  • A ISO 17799 foi revisada em 2013 e incorporada à ISO 27001.

As normas ISO 17799 e ISO 27001 são ferramentas valiosas para a proteção da informação e a melhoria da segurança em qualquer organização. A implementação de um SGSI pode trazer diversos benefícios, como a redução de riscos, o aumento da confiança e a vantagem competitiva.

Nota do Autor:
Grande parte do conteúdo é gerada por ferramentas de Inteligência Artificial (IA). Realizo a edição e complemento com imagens e informações adicionais que considero importantes para o tema. A ideia é compartilhar os estudos e enriquecer com mais conteúdo, fazendo ajustes quando necessário. Se você encontrar alguma inconsistência, sinta-se à vontade para compartilhar. Recomendo que você complemente seu estudo com outras fontes para obter uma compreensão mais abrangente. Bons estudos!

--

--

Célio Normando

Apaixonado por Direito, Inovação e por criar um mundo com empatia e abundância.