Normas de gestão de segurança da informação

Publicado em por _SDinfo

ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS – Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Conhecer normas tais como a série 27000 é algo essencial para um bom profissional da área de segurança…

ISO 27000 – Vocabulário de Gestão da Segurança da Informação;

ISO 27001 – Publicada em Outubro de 2005, substituiu a norma BS 7799-2 para certificação de sistema de gestão de segurança da informação;

ISO 27002 – Substituiu em 2006/2007 o ISO 17799:2005 (Código de Boas Práticas);

ISO 27003 – Aborda as diretrizes para Implementação de Sistemas de Gestão de Segurança da Informação, contendo recomendações para a definição e implementação de um sistema de gestão de segurança da informação;

ISO 27004 – Esta norma incide sobre as métricas e relatórios de um sistema de gestão de segurança da informação;

ISO 27005 – Esta norma será constituída por indicações para implementação, monitoramento e melhoria contínua do sistema de controles. O seu conteúdo deverá ser idêntico ao da norma BS 7799-3:2005 – “Information Security Management Systems – Guidelines for Information Security Risk Management”, a publicar em finais de 2005. A publicação da norma ISO 27005 ocorreu em meados de 2008;

ISO 27006 – Esta norma especifica requisitos e fornece orientações para os organismos que prestem serviços de auditoria e certificação de um sistema de gestão da segurança da informação. De todas estas normas provavelmente as mais conhecidas são ISO 27001 e 27002, sendo assim falarei um pouco mais sobre ambas.

A ISO 27001demonstra todas as etapas de uma gestão de segurança da informação eficiente, como monitorar, interagir, prevenir e controlar todo e qualquer ativo. Esta enfatiza ao usuário:

  • O entendimento dos requisitos e a necessidade de se ter uma política da segurança da informação.
  • Implementar e operar controles para gerenciamento dos riscos
  • Monitorar o desempenho e a eficácia da política de segurança da informação.
  • Promover a melhoria contínua

A ISO 27002está estruturada em seções. Cada seção abaixo possui uma série de controles que podem ser implantados e/ou implementados, dependendo somente do tamanho e necessidade da empresa. No total, são cerca de 130 controles que podem ser implantados e/ou implementados, e que estão divididos entre as seções abaixo.

  • Política da segurança da informação
  • Organizando a segurança da informação
  • Gestão de ativos
  • Segurança em recursos humanos
  • Segurança física do ambiente
  • Gestão das operações e comunicações
  • Controle de acesso
  • Aquisição, desenvolvimento e manutenção de sistemas de informação
  • Gestão de incidentes da segurança da informação
  • Gestão da continuidade do negócio
  • Conformidade