NBR ISO/IEC 27001:2006

Olá, pessoal!

Estou lançando uma turma de complementação de Segurança da Informação para o concurso do TCU no Ponto dos Concursos, para os alunos que fizeram a primeira turma no mês passado!

Quem tiver interessado, pode obter mais informações no link abaixo:

http://www.pontodosconcursos.com.br/cursos/produtos_descricao.asp?lang=pt_BR&codigo_produto=222

O curso será focado nas normas NBR ISO/IEC 27001, 15999, e 27005.

Segue uma palhinha do curso para vocês!

1. NBR ISO/IEC 27001:2006

1.1 Objetivo

A ISO/IEC 27001:2006 especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI documentado dentro do contexto dos riscos de negócio globais da organização. O SGSI é
projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.

Os requisitos definidos na norma são genéricos e devem ser aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza.

1.2 Abordagem de processo de gestão do SGSI

A abordagem de processo para a gestão da segurança da informação apresentada pela 27001 encoraja que seus usuários enfatizem a importância de:

a) entendimento dos requisitos de segurança da informação de uma organização e da necessidade de estabelecer uma política e objetivos para a segurança da informação de uma organização no contexto dos riscos de negócio globais da organização;

c) monitoração e análise crítica do desempenho e eficácia do SGSI; e

d) melhoria contínua baseada em medições objetivas.

A ISO/IEC 27001 adota o modelo conhecido como “Plan-Do-Check-Act” (PDCA), aplicado para estruturar todos os processos do SGSI, de forma que as entradas do processo são as expectativas e requisitos de Gestão da Segurança da Informação propriamente dita. Dessa maneira, essa norma foi projetada para permitir a uma organização alinhar ou integrar seu SGSI com requisitos de sistemas de gestão relacionados.

iso27001


Ciclo PDCA

Etapa do processo

Descrição

Plan (planejar)

estabelecer o SGSI

Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.

Do (fazer)

implementar e operar o SGSI

Implementar e operar a política, controles, processos e procedimentos do SGSI.

Check (checar)

monitorar e analisar criticamente o SGSI

Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.

Act (agir)

manter e melhorar o SGSI

Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

1.3 Aplicação da norma

A ISO 27002 (antiga 17799) trazia recomendações de uso opcional, ou seja, não era obrigatório o uso de todas as suas diretrizes pelas instituições para que uma empresa possa implementar uma política de segurança da informação com eficácia.

Entretanto, por se tratar de uma norma que estabeleceu critérios para certificação, para que uma empresa reivindique que está em conformidade com a ISO/IEC 27001, ela deve seguir todos os requisitos especificados em suas seções. A não conformidade em qualquer das seções, em regra, significa que a empresa não pode ser certificada como ISO 27001.

Contudo, é possível que alguns dos controles necessários para satisfazer aos critérios de aceitação de riscos sejam excluídos, mas para isso, as exclusões precisam ser justificadas e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Nesse caso, as reivindicações de conformidade com a 27001 só são aceitáveis se tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança.

Bons Estudos!

Sócrates Filho

»crosslinked«

Sócrates Filho

Analista de Finanças e Controle da CGU; Futuro Auditor Federal de Controle Externo do TCU; Professor do Ponto dos Concursos na área de TI.

Você pode gostar...

2 Resultados

  1. Tiago disse:

    Fred, este post é de junho do ano passado!

  2. Fred disse:

    A página do link tá com erro:
    error '80020009'
    /cursos/funcoes/funcoes.asp, line 2820

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *