A ABNT NBR ISO/IEC 27001 – Sistemas de gestão de segurança da informação - Requisitos especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). E o que é um SGSI? É um sistema de gestão desenvolvido para a segurança da informação de uma organização, baseado em uma abordagem de riscos do negócio.
O documento da norma é estruturado em oito seções. As seções 0 a 3 referem-se à Introdução, Objetivo, Referência Normativa e Termos e Definições. Já os requisitos propriamente ditos se localizam nas seções 4 a 8. Para facilitar o entendimento, serão apresentadas primeiramente as seções 0 a 2. A seção 3 referente aos Termos e Definições não será abordada. Apenas quando se fizer necessário, um ou outro termo será aqui esclarecido.
Seção 0 – Introdução
A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 também adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.
Figura 1 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.
Na fase Plan, devem ser estabelecidos a política, os objetivos, os processos e os procedimentos de um Sistema de Gestão de Segurança da Informação. Na etapa Do, a política, os controles, os processos e os procedimentos do sistema são implementados e entram em operação. Na fase Check, o SGSI é monitorado e avaliado (com medição de desempenho, quando aplicável) e seus resultados são apresentados para a direção para que sejam analisados criticamente. Por fim, na fase Act, as ações corretivas e preventivas identificadas em auditorias, em análise crítica da direção ou por qualquer outra forma pertinente, são implementadas.
Ressalta-se que a ABNT NBR ISO/IEC 27001 está alinhada às normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatível com outros sistemas de gestão.
Seção 1 – Objetivo
A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações, independentemente do tipo, tamanho e natureza.
É importante salientar que não é aceitável que uma organização que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas seções 4 a 8. Porém, é observado que:
“Qualquer exclusão de controles considerada necessária para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2).”
Seção 2 – Referência Normativa
A norma ABNT NBR ISO/IEC 17799:2005 é referenciada como indispensável para a aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR ISO/IEC 27002. Você pode saber um pouco mais sobre essa norma em Conheça a NBR ISO/IEC 27002 – Parte 1
No próximo artigo, serão abordados os requisitos da norma ABNT NBR ISO/IEC 27001.
Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.
Você pode fazer o download completo deste artigo em: http://www.box.net/shared/0g9pztf5a9
0 comentários:
Postar um comentário