barra Ligue  (11) 4198.1243

» O que é a ISO 27001?


A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002 um padrão britânico que trata da definição de requisitos para um Sistema Gestão de Segurança da Informação. O padrão foi incorporado pela The International Organization for Standardization (ISO), Instituição internacional com sede na Suíça que cuida do estabelecimento de padrões internacionais de certificação em diversas áreas. O Reino Unido é um grande provedor de regras e padrões, pela tradição de precursor atividades de padronização desde a Revolução Industrial. Podemos citar como exemplo de normas BS que foram incorporadas pela ISO: BS5750 que virou ISO 9000 (Qualidade) e BS7550 que virou ISO14000 (Meio Ambiente).

A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. A revisão foi feita por um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC (The International Eletrotechnical Comission) o ISO/IEC JTC 1, sub-comitê SC 27, que através de um trabalho conjunto que ocorreu desde 2000 efetuou as alterações que são a compilação de diversas sugestões que os membros deste comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e apresentação dos resultados ocorreram em diversos países até o primeiro semestre de 2005.

Um breve histórico da evolução da norma até chegar a ISO 27001:
- 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
- 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso)
- 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
- 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000)
- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para gestão da segurança da informação);
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos).

Acompanhando o processo de evolução histórica apresentado acima, pode-se observar que a norma ISO/IEC 17799, que é a evolução da BS7799-1, incorporada pela ISO em 2000, também foi revisada, e ambas as normas, a ISO/IEC 27001 e a ISO/IEC 17799, já estão alinhadas. O próximo passo será a conversão da ISO/EC 17799:2005 em ISO/IEC 27002, previsto para 2007, formando assim a família ISO/IEC 27000 que tratará aspectos mais amplos de Segurança da Informação.

As mudanças mais relevantes na migração para norma ISO/IEC 27001 ocorreram na estrutura do SGSI (sistema de gestão de segurança da informação), quando são destacados aspectos de auditoria interna e indicadores de desempenho do sistema de gestão de segurança e no Anexo A que passou a ter na ISO/IEC 27001 11 seções, pois foi incluída a seção Gestão de Incidentes de Segurança da Informação:

¨5.Política de Segurança da Informação
¨6. Organizando a Segurança da Informação
¨7. Gestão de Ativos
¨8. Segurança em Recursos Humanos
¨9. Segurança Física e do Ambiente
¨10. Gerenciamento das Operações e Comunicações
¨11. Controle de Acessos
¨12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
¨13. Gestão de Incidentes de Segurança da Informação
¨14. Gestão da Continuidade do Negócio
¨15. Conformidade

De acordo com órgãos certificadores será concedido um tempo para as empresas certificadas em BS7799-2:2002 se adequarem a nova norma ISO/IEC 27001. A média é de 1 ano e meio, então todas as empresa certificadas, se quiserem manter o seu certificado, deverão se revisar seus sistemas e passar por uma auditoria de recertificação migrando para a norma ISO/IEC 27001. A tendência natural é que as empresas passem a buscar a nova norma e aumente o número de certificações no mundo, devido a maior aceitação do padrão ISO com referência universal.

¹ Ciclo PDCA de melhoria - ferramenta utilizada para garantir a evolução dos sistemas de gestão nas normas ISO 9001 e ISO 14000, por exemplo, que significa: P- planejar, D - executar, C - verificar, A - agir corretivamente.

O elo mais fraco da segurança: o fator humano


FONTE:
Módulo Security Magazine