Segurança da Informação: ISO 27001 e ISO 20000

A ISO/IEC 27001 é um padrão para sistema de gerenciamento da segurança da informação (ISMS – Information Security Management System) que foi publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Foi publicado no Brasil pela ABNT como NBR ISO/IEC 27001. Seu nome completo é ISO/IEC 27001:2005 – Tecnologia da informação – Técnicas de segurança – Sistemas de gerenciamento da segurança da informação – Requisitos. Este padrão foi o primeiro da família de segurança da informação relacionado aos padrões a serem agrupados como a série 27000.

ISO 27000 – Vocabulário e definições (terminologia para todos os padrões da série 27000).

ISO 27001 – Principal padrão das exigências do sistema de gerência da segurança da informação (especificação), semelhante a parte 2 da BS 7799, baseado nesses padrões que as organizações serão certificadas.

ISO 27002 – Este é o guia de referência como a ISO 17799, descreve detalhadamente os objetivos de controle da segurança da informação e esboça um menu de controles de segurança baseado nas melhores praticas.

ISO 27003 – Será um guia de implementação, ainda não foi publicada.

ISO 27004 – Indicadores para medir a eficiência do sistema de gestão de segurança da informação.

ISO 27005 – Um padrão para gerenciamento de risco em segurança da informação.

ISO 27006 – Um guia para implementação de um plano de recuperação de desastres.

A série ISO 27000 está de acordo com a ISO 9001 e ISO 14001, em acordo com suas estruturas gerais e de natureza a combinar as melhores práticas com padrões de certificação. As certificações de organização com a ISO/IEC 27001 é um meio de garantir que a organização certificada implementou um sistema para gerência da segurança da informação de acordo com os padrões. A credibilidade é a chave de ser certificado por uma terceira parte que é respeitada, independente e competente. Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação – não perfeita, necessariamente, mas está rigorosamente no caminho certo de melhora contínua.

A certificação ISO/IEC 27001 geralmente envolve um processo de auditoria em dois estágios: No primeiro estágio faz-se uma revisão da existência e complexidade da documentação chave, como a política de segurança da organização, declaração de aplicabilidade e plano de tratamento de risco. No segundo estágio, faz-se um detalhamento, com auditoria em profundidade envolvendo a existência e efetividade do controle das práticas de segurança declaradas na declaração de aplicabilidade e no plano de tratamento de risco, bem como na documentação de suporte. A renovação do certificado envolve revisões periódicas e recertificações confirmando que o ISMS continua operando como desejado. Um modelo orientativo de planilha de riscos com base na ISO 27001 pode ser visualizado no quadro abaixo.

A ISO 27000 amplia o sistema de gestão, melhora a consciência dos profissionais sobre segurança, conduz processos de controle por toda organização e não apenas dentro dos processos de informática, define melhores as práticas para o gerenciamento da segurança da informação, balanceando a segurança física, técnica, procedural e pessoal. Sem um sistema de Gerenciamento da Segurança da Informação formal, como o sistema baseado ISO 27001, existe um grande risco de sua segurança ser invadida, é preciso compreender que segurança da informação é um processo de gerenciamento, não um processo tecnológico, uma metodologia que deve ser implantada de forma estruturada. A ISO 27001 define uma metodologia, reconhecida internacionalmente para validar, implementar, manter e gerenciar a segurança da informação. Além disso, em seu anexo A apresenta um grupo detalhado de controles compreendidos pelas melhores práticas, desenvolvido por organizações para organizações. Os objetivos de controle especificados no anexo A da ISO 27001, são abrangentes, indicam 133 itens de controle dentro das famílias descritas no quadro abaixo.

A ISO 27001:2005 conduz a preservação de: confidencialidade, integridade e disponibilidade da informação, implementando um grupo adequado de controles, política, práticas, procedimentos, estruturas organizacionais e funções de softwares. Existem muitas razões para se adotar a ISO 27001: melhorar a eficácia da segurança da informação, a organização será diferenciada no mercado, podendo mostrar aos clientes sua seriedade, atendendo às suas expectativas. A norma irá ajudar a atender a legislação, sendo uma grande oportunidade para reduzir e eliminar fraquezas. Se quiser ler a norma, no link http://cavalcante.us/normas/ABNT/ABNT-NBR-ISO_IEC-27001.pdf há uma cópia não autorizada do padrão.

Segundo dados do ISO Survey 2008, até o final de dezembro de 2008, foram emitidos 9.246 certificados ISO/IEC 27001:2005 em 82 países e economias. Esse número representou um aumento de 1.514 (+ 20 %) certificados sobre o ano de 2007, quando o total foi de 7.732 em 70 países e economias.

ISO 20000:2005

É uma norma internacional que tem como objetivo regulamentar, no âmbito mundial, o padrão para o gerenciamento de serviços de tecnologia da informação, ou seja, seguir um padrão para gerenciar todos os serviços de TI dentro de uma empresa. Foi lançada em dezembro de 2205 substituindo a BS 15000 e tem como objetivo certificar as empresas e não os produtos, ou seja, certifica o processo e não a qualidade do produto ou serviço prestado e sim se o mesmo é gerenciado seguindo as melhores práticas.

Esta certificação se dá por meio de auditorias efetuadas por empresas certificadoras, as quais avaliam se a organização está em acordo com a norma e, em caso positivo, emite o certificado, segue o mesmo esquema por exemplo da norma ISO 9000 e demais normas conhecidas. A ISO 20000 é baseada no PDCA, ou seja, no ciclo de vida com melhoria contínua (plan, do, check e act). A norma se divide em duas partes, a ISO 20000-1, que trata da especificação para a gerência de serviços de TI e a ISO 20000-2 que trata do código de prática para a gerência dos serviços de TI, de forma mais objetiva funciona assim:

  • A ISO 20000-1 é uma especificação formal e define os requisitos para uma organização entregar serviços gerenciados com uma qualidade aceitável para seus clientes, já a ISO 20000-2 é o Código de Prática e descreve as melhores práticas para os processos de Gerenciamento de Serviço dentro do escopo da ISO/IEC 20000-1, ou seja, o Código de Prática será de uso particular para as organizações se prepararem para serem auditadas na ISO 20000 ou planejar melhorias no serviço.

Para comprar as normas: http://www.abntcatalogo.com.br/normagrid.aspx ou www.target.com.br

Anúncios

3 Respostas

  1. […] Integrando a ISO 9001 à ISO 20000 Posted on Março 26, 2010 by hayrton Um leitor quer a minha opinião sobre a integração da ISO 9001 em empresas de tecnologia da informação (TI) com a ISO 20000. A ISO 20000, desenvolvida para o Gerenciamento de Serviços de TI, foi publicada em 15 de dezembro de 2005 e é baseada no IT Infrastructure Library (ITIL), um conjunto de melhores práticas para Serviços de TI e sucedeu a norma britânica BS 15000. Divide-se em duas partes: a ISO 20000-1 que trata da especificação para a gerência de serviços e a ISO 20000-2 que trata do código de prática para a gerência dos serviços de TI. A certificação é baseada nos requisitos da primeira parte da norma. Leia mais sobre a norma nesse site em https://qualidadeonline.wordpress.com/2010/01/14/seguranca-da-informacao-iso-27001-e-iso-20000/ […]

  2. É muito bom ver esses posts sobre segurança da informação, muito me interessa. Apesar de ser inicialmente leigo nessa vertente, por isso vou começar agora o curso de segurança da informação pelo IESB aqui em Brasília, escolhi essa faculdade por ser ótima de estrutura e qualidade. E agora mais do que nunca é preciso investir nessa área pois empresas e órgãos públicos necessitam urgentemente de um grande suporte nesse sentido, e me sinto feliz de estar indo por um caminho onde essa profissão gere um ápice na segurança de informação do Brasil. Muito bom essas informações, são de grande valia.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Google photo

Está a comentar usando a sua conta Google Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

%d bloggers like this: