ISO 27001

ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. O seu nome completo é ISO/IEC 27001- Tecnologia da informação - técnicas de segurança - sistemas de gestão da segurança da informação - requisitos, mais conhecido como ISO 27001[1].

Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização. Um SGSI introduzido em alguma entidade possui o intuito de reduzir a probabilidade e/ou o impacto provocado por algum tipo de incidente de segurança da informação[2]. A especificação e implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, exigências de segurança, os processos empregados e o tamanho e estrutura da organização.

Este padrão é o primeiro da família de segurança da informação relacionado aos padrões ISO que espera-se sejam agrupados à série 27000. Outros foram incluídos antecipadamente:

  • ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de publicação);
  • ISO 27001 - Sistema de Gestão da Segurança da Informação - única norma da série 27000 com requisitos de certificação e passível de certificação acreditada.
  • ISO 27002 - Tecnologia da informação - Técnicas de segurança - Guia de Boas prática para controles de segurança da informação - Sem certificação acreditada
  • ISO 27003 - Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Orientação
  • ISO 27004 - Tecnologia da informação - Técnicas de segurança - Gestão da segurança da informação - Monitorização, medição, análise e avaliação.
  • ISO 27005 - Tecnologia da informação - Técnicas de segurança - Gestão de riscos na segurança da informação
  • ISO 27006 - Tecnologia da informação - Técnicas de segurança - Requisitos para os organismos que fornecem auditoria e certificação de sistemas de gestão de segurança da informação.

ISO 27001 foi baseado e substitui o BS 7799 parte 2, o qual não é mais válido.

Certificação

A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores práticas com padrões de certificação.

Certificações de acordo com a ISO/IEC 27001 são um meio de garantir que a organização certificada implementou um sistema para gestão da segurança da informação de acordo com os padrões e devidamente acreditado. Credibilidade é a chave de ser certificado por uma terceira parte que é respeitada, independente, competente caso seja acreditada. Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação - não perfeita, necessariamente, mas está rigorosamente no caminho certo de melhora contínua.

Certificação ISO/IEC 27001 geralmente envolve um processo de auditoria em dois estágios:

Estágios

Estágio um é uma análise preliminar, informal do SGSI, na verificação da existência e completude da documentação chave como a política de segurança da informação da organização, Declaração de Aplicabilidade (do inglês Statement of Applicability - SoA) e Plano de Tratamento de Risco (PTR).

Estágio dois é um detalhamento, com auditoria em profundidade envolvendo a existência e efetividade do controle ISMS declarado no SoA e PTR, bem como a documentação de suporte. A renovação do certificado envolve revisões periódicas e re-declaração confirmando que o ISMS continua operando como desejado.

História da ISO/IEC 27001

BS 7799 foi um padrão publicado originalmente pelo BSI Group[3] em 1995. Foi escrito pelo Departamento de Comércio e Indústria (DTI) do Governo do Reino Unido e consistia em várias partes.

A primeira parte, contendo as melhores práticas para a gestão da segurança da informação, foi revisada em 1998; após uma longa discussão nos órgãos de padronização em todo o mundo, foi eventualmente adotado pela ISO como ISO/IEC 17799, "Tecnologia da Informação - Código de prática para gerenciamento de segurança da informação." em 2000. ISO/IEC 17799 foi então revisado em junho de 2005 e finalmente incorporado na série de padrões ISO 27000 como ISO/IEC 27002 em julho de 2007.

A segunda parte do BS 7799 foi publicada pela primeira vez pela BSI em 1999, conhecida como BS 7799 Parte 2, intitulada "Sistemas de gerenciamento de segurança da informação - Especificação com orientação para uso". A BS 7799-2 focou em como implementar um sistema de gerenciamento de segurança da informação (SGSI), referindo-se à estrutura de gerenciamento de segurança da informação e controles identificados na BS 7799-2. Posteriormente, tornou-se ISO/IEC 27001:2005. BS 7799 Parte 2 foi adotado pela ISO como ISO/IEC 27001 em novembro de 2005.

A BS 7799 Parte 3 foi publicada em 2005, cobrindo análise e gerenciamento de risco. Está de acordo com a ISO/IEC 27001:2005.

Muito pouca referência ou uso é feito a qualquer um dos padrões BS em conexão com a ISO/IEC 27001.

Referências

  1. Informações ISO 27001
  2. https://ostec.blog/padronizacao-seguranca/primeiros-passos-iso-27000/
  3. «Fast facts and figures». www.bsigroup.com (em inglês). Consultado em 16 de março de 2021 

Ligações externas

  • lista de certificações ISO 27001 por países
  • Bureau Veritas
  • v
  • d
  • e
Padrões ISO
Listas: Lista de romanizações ISO · Lista de normas IEC
Categorias: Categoria:Normas ISO · Categoria:Protocolos OSI
1-9k
····· 31 · 31-0 · 31-1 · 31-2 · 31-3 · 31-4 · 31-5 · 31-6 · 31-7 · 31-8 · 31-9 · 31-10 · 31-11 · 31-12 · 31-13 · 128 · 216 · 217 · 226 · 228 · 233 · 259 · 269 · 302 · 306 · 428 · 639 · 639-1 · 639-2 · 639-3 · 639-5 · 639-6 · 646 · 690 · 732 · 746 · 843 · 1000 · 1007 · 1073-1 · 1413 · 1745 · 2014 · 2015 · 2022 · 2108 · 2145 · 2281 · 2709 · 2711 · 2788 · 3029 · 3103 · 3166 · 3166-1 · 3166-2 · 3166-3 · 3307 · 3602 · 3864 · 3901 · 3977 · 4031 · 4157 · 4217 · 5218 · 5775 · 5776 · 5964 · 6166 · 6344 · 6346 · 6425 · 6429 · 6438 · 6523 · 6709 · 7001 · 7002 · 7098 · 7185 · 7498 · 7736 · 7810 · 7811 · 7812 · 7813 · 7816 · 8217 · 8571 · 8583 · 8601 · 8632 · 8652 · 8807 · 8820-5 · 8859 · 8859-8 · 9000 · 9075 · 9126 · 9241 · 9362 · 9407 · 9506 · 9529 · 9594 · 9660 · 9897 · 9945 · 9984 · 9985 · 9995
10k-
10006 · 10118-3 · 10160 · 10161 · 10165 · 10179 · 10206 · 10303 · 10303-11 · 10303-21 · 10303-22 · 10303-238 · 10303-28 · 10383 · 10487 · 10585 · 10589 · 10646 · 10664 · 10746 · 10962 · 10967 · 11073 · 11170 · 11179 · 11404 · 11544 · 11783 · 11784 · 11785 · 11801 · 11898 · 11940 · 11941 · 11941 · 11992 · 12006 · 12182:1998 · 12207 · 12234-2 · 13211-1 · 13216 · 13250 · 13399 · 13406-2 · 13407 · 13450 · 13485 · 13490 · 13567 · 13568 · 13584 · 13616 · 14000 · 14031 · 14396 · 14443 · 14496-10 · 14496-14 · 14644 · 14644-1 · 14644-2 · 14644-3 · 14644-4 · 14644-5 · 14644-6 · 14644-7 · 14644-8 · 14644-9 · 14649 · 14651 · 14698 · 14698-2 · 14750 · 14882 · 14971 · 15022 · 15189 · 15288 · 15291 · 15292 · 15408 · 15444 · 15445 · 15438 · 15504 · 15686 · 15693 · 15706 · 15706-2 · 15897 · 15919 · 15924 · 15926 · 15926 WIP · 15930 · 16023 · 16262 · 16750 · 17024 · 17025 · 17369 · 17799 · 18000 · 18004 · 18014 · 18245 · 18629 · 18916 · 19005 · 19011 · 19092-1 · 19092-2 · 19114 · 19115 · 19439 · 19501:2005 · 19752 · 19757 · 19770 · 19775-1 · 20000 · 20022 · 21827:2002 · 22000 · 23270 · 25178 · 26000 · 26300 · 27000 · 27001 · 27002 · 27003 · 27004 · 27005 · 27006 · 27007 · 27799 · 29110 · 29500 · 32000 · 38500 · 42010 · 80000
Ver também: Todos os artigos que começam com ISO
Este artigo é um esboço. Você pode ajudar a Wikipédia expandindo-o. Editor: considere marcar com um esboço mais específico.