Uma surfada rápida na internet e facilmente encontramos diversos artigos e debates sobre a família ISO 27000. Mas, estes artigos e debates por muitas vezes estão limitados somente as ISO 27001 e 27002, de fato essas são as mais “exigidas” pelo mercado atual. Mas você concorda que é sempre bom conhecer um pouco mais deste universo? Então vamos em frente.
Um bom profissional não se prende somente a sua especialidade, ele busca aprender e compreender um universo cada vez maior de possibilidades, mesmo que de forma superficial. É importante ter foco, mas, isso não quer dizer que irei me fixar neste e esquecer todo o resto.
Para familiarizar os colegas leitores segue abaixo uma relação referente a família ISO 27000:
ISO/IEC 27000:2009 – Sistema de Gerenciamento de Segurança – Explicação da série de normas, objetivos e vocabulários;
ISO/IEC 27001:2005 – Sistema de Gestão de Segurança da Informação.
Abrange todos os tipos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos). Essa especifica os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão da Informação documentado a segurança no contexto dos riscos de negócio da organização em geral. Ela especifica os requisitos para a implementação de controles de segurança personalizados para as necessidades individuais das organizações e suas partes.
Fonte: http://www.iso.org/iso/catalogue_detail?csnumber=42103
ISO/IEC 27002:2005 – Código de Melhores Práticas para a Gestão de Segurança da Informação.
Estabelece as diretrizes e os princípios gerais para iniciar, implementar, manter e melhorar a gestão da segurança da informação em uma organização. Os objetivos traçados fornecem orientações gerais sobre os objetivos comumente aceitos de gestão de segurança da informação.
Fonte: http://www.iso.org/iso/catalogue_detail?csnumber=50297
ISO/IEC 27003:2010 – Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação.
Enfoca os aspectos críticos necessários para a concepção e implementação bem sucedida de um Sistema de Gestão da Segurança da Informação (SGSI), em conformidade com a norma ISO / IEC 27001:2005. Ele descreve o processo de ISMS especificação e design desde o início para a produção de planos de implementação. Ele descreve o processo de obtenção de aprovação da gestão para implementar um ISMS, define um projeto para implementar um ISMS (referido na norma ISO / IEC 27003:2010 como o projeto de ISMS).
Fonte: http://www.iso.org/iso/catalogue_detail?csnumber=42105
ISO/IEC 27004:2009 – Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação.
Fornece orientações sobre o desenvolvimento e a utilização de medidas e de medição, a fim de avaliar a eficácia de um sistema de gestão de segurança da informação (SGSI) e controles ou grupos de controles, conforme especificado na norma ISO / IEC 27001.
ISO / IEC 27004:2009 é aplicável a todos os tipos e tamanhos de organização.
Fonte: http://www.iso.org/iso/catalogue_detail?csnumber=42106
ISO/IEC 27005:2008 – Gestão de Riscos de Segurança da Informação.
Fornece diretrizes para o gerenciamento de informações de risco de segurança. Ele suporta os conceitos gerais especificados na norma ISO / IEC 27001 e é projetado para auxiliar a implementação satisfatória de segurança da informação com base em uma abordagem de gestão de risco. O conhecimento dos conceitos, modelos, processos e terminologias descritos na norma ISO / IEC 27001 e ISO / IEC 27002 é importante para uma completa compreensão da norma ISO / IEC 27005:2008. ISO / IEC 27005:2008 é aplicável a todos os tipos de organizações (por exemplo, empresas comerciais, agências governamentais, organizações sem fins lucrativos) que pretendam gerir os riscos que poderiam comprometer a segurança de informação da organização.
Fonte: http://www.iso.org/iso/catalogue_detail?csnumber=42107
ISO/IEC 27006:2007 – Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação.
Especifica os requisitos e fornece orientação para organismos que prestam auditoria e certificação de um sistema de gestão de segurança da informação (SGSI), além dos requisitos contidos no ISO / IEC 17021 e ISO / IEC 27001. Ele é destinado principalmente a apoiar a acreditação de organismos de certificação que fornecem ISMS certificação. As exigências contidas na norma ISO / IEC 27006:2007 precisa ser demonstrada em termos de competência e confiabilidade por qualquer organismo de certificação ISMS, e as orientações contidas na norma ISO / IEC 27006:2007 fornece interpretação adicional destes requisitos para qualquer organismo de certificação do SGSI .
Fonte: http://www.iso.org/iso/catalogue_detail?csnumber=42505
ISO/IEC 27007 – Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação.
Fornece orientações sobre o gerenciamento de um sistema de informação de gerenciamento de segurança (SGSI) programa de auditoria, sobre a realização de auditorias, e sobre a competência dos auditores do SGSI, além da orientação contida na ISO 19011. ISO / IEC 27007:2011 é aplicável para aqueles que necessitam de compreender ou realizar auditorias internas ou externas de um SGSI ou gerenciar um programa de auditoria ISMS.
Fonte: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42506
ISO/IEC 27008 – Auditoria nos controles de um SGSI.
Fornece orientações sobre a revisão da implementação e funcionamento dos controles, incluindo a verificação de conformidade técnica dos controles do sistema de informação, em conformidade com as normas de uma organização de segurança estabelecidas. ISO / IEC TR 27008:2011 é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e não-lucrativas organizações que conduzem avaliações de segurança da informação e verificações de conformidade técnica.
Fonte: http://www.iso.org/iso/catalogue_detail?csnumber=45244
Mais informações: http://marcoacorreia.wordpress.com/2011/03/27/sera-que-voce-realmente-conhece-a-familia-iso-27000/