» O que é a ISO 27001? A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002 um padrão britânico que trata da definição de requisitos para um Sistema Gestão de Segurança da Informação. O padrão foi incorporado pela The International Organization for Standardization (ISO), Instituição internacional com sede na Suíça que cuida do estabelecimento de padrões internacionais de certificação em diversas áreas. O Reino Unido é um grande provedor de regras e padrões, pela tradição de precursor atividades de padronização desde a Revolução Industrial. Podemos citar como exemplo de normas BS que foram incorporadas pela ISO: BS5750 que virou ISO 9000 (Qualidade) e BS7550 que virou ISO14000 (Meio Ambiente). A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC (The International Eletrotechnical Comission) o ISO/IEC JTC 1, sub-comitê SC 27, que através de um trabalho conjunto que ocorreu desde 2000 efetuou as alterações que são a compilação de diversas sugestões que os membros deste comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e apresentação dos resultados ocorreram em diversos países até o primeiro semestre de 2005. Um breve histórico da evolução da norma até chegar a ISO 27001: - 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso) - 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) - 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para gestão da segurança da informação); - Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos). Acompanhando o processo de evolução histórica apresentado acima, pode-se observar que a norma ISO/IEC 17799, que é a evolução da BS7799-1, incorporada pela ISO em 2000, também foi revisada, e ambas as normas, a ISO/IEC 27001 e a ISO/IEC 17799, já estão alinhadas. O próximo passo será a conversão da ISO/EC 17799:2005 em ISO/IEC 27002, previsto para 2007, formando assim a família ISO/IEC 27000 que tratará aspectos mais amplos de Segurança da Informação. As mudanças mais relevantes na migração para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gestão de segurança da informação), quando são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO/IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação: ¨5.Política de Segurança da Informação ¨6. Organizando a Segurança da Informação ¨7. Gestão de Ativos ¨8. Segurança em Recursos Humanos ¨9. Segurança Física e do Ambiente ¨10. Gerenciamento das Operações e Comunicações ¨11. Controle de Acessos ¨12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação ¨13. Gestão de Incidentes de Segurança da Informação ¨14. Gestão da Continuidade do Negócio ¨15. Conformidade De acordo com órgãos certificadores será concedido um tempo para as empresas certificadas em BS7799-2:2002 se adequarem a nova norma ISO/IEC 27001. A média é de 1 ano e meio, então todas as empresa certificadas, se quiserem manter o seu certificado, deverão se revisar seus sistemas e passar por uma auditoria de recertificação migrando para a norma ISO/IEC 27001. A tendência natural é que as empresas passem a buscar a nova norma e aumente o número de certificações no mundo, devido a maior aceitação do padrão ISO com referência universal. ¹ Ciclo PDCA de melhoria - ferramenta utilizada para garantir a evolução dos sistemas de gestão nas normas ISO 9001 e ISO 14000, por exemplo, que significa: P- planejar, D - executar, C - verificar, A - agir corretivamente. O elo mais fraco da segurança: o fator humano FONTE: Módulo Security Magazine
|