A ABNT NBR ISO/IEC 27001 – Sistemas de gestão de segurança da informação – Requisitos especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).
E o que é um SGSI?
É um sistema de gestão desenvolvido para a segurança da informação de uma organização, baseado em uma abordagem de riscos do negócio.
O documento da norma é estruturado em oito seções. As seções 0 a 3 referem-se à Introdução, Objetivo, Referência Normativa e Termos e Definições. Já os requisitos propriamente ditos se localizam nas seções 4 a 8. Para facilitar o entendimento, serão apresentadas primeiramente as seções 0 a 2. A seção 3 referente aos Termos e Definições não será abordada. Apenas quando se fizer necessário, um ou outro termo será aqui esclarecido.
Seção 0 – Introdução
A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 também adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI.
O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.
Figura 1 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.
Ressalta-se que a ABNT NBR ISO/IEC 27001 está alinhada às normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatível com outros sistemas de gestão.
Seção 1 – Objetivo
A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações, independentemente do tipo, tamanho e natureza.
É importante salientar que não é aceitável que uma organização que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas seções 4 a 8. Porém, é observado que:
“Qualquer exclusão de controles considerada necessária para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2).”
Seção 2 – Referência Normativa
A norma ABNT NBR ISO/IEC 17799:2005 é referenciada como indispensável para a aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR ISO/IEC 27002. Você pode saber um pouco mais sobre essa norma em Conheça a NBR ISO/IEC 27002 – Parte 1
No próximo artigo, serão abordados os requisitos da norma ABNT NBR ISO/IEC 27001.
Referência Bibliográfica
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. ABNT, 2006.
3 Comentários
Alexia,
Você pode me encaminhar seu Email, gostaria de lhe enviar algumas duvidas.
Grande Abraço
Olá Wagner! Você pode entrar em contato comigo através do e-mail [email protected]
Abraços, Aléxia Lage.