Dejan Kosutic Se você está trabalhando como um consultor ou praticante de ISO 27001, você provavelmente é altamente dependente da série de normas ISO27k. Uma vez que existem várias delas (veja a lista aqui), é uma boa ideia manter-se a par das mudanças que estão por vir.
Como mencionei em um artigo sobre o que esperar em 2013, as principais normas desta série (ISO 27001 e ISO 27002) foram revisadas ano passado, e aqui estão as mudanças esperadas para 2014:
ISO/IEC 27000 – Esta norma oferece uma visão geral da gestão da segurança da informação, bem como do vocabulário (explicação dos principais termos) para segurança da informação. Uma nova versão já foi publicada agora no início de Janeiro de 2014.
ISO/IEC 27004 – Esta é a norma que define como medir a segurança da informação. A versão atual (2009) está sendo revisada, e espera-se que a nova versão seja publicada, se não em 2014, no primeiro primeiro semestre de 2015.
ISO/IEC 27005 – Esta norma descreve a gestão de riscos para segurança da informação – uma vez que esta área mudou um pouco na nova ISO27001:2013, a ISO 27005 será alterada de acordo – se não em 2015, então certamente em 2015.
ISO/IEC 27011 é a norma que provê direcionamento para gestão da segurança da informação em telecomunicações – uma vez que ela se apoia pesadamente na ISO 27002, ela será revisada provavelmente em 2014 devido as muitas mudanças trazidas pela ISO 27002:2013.
ISO/IEC TR 27016 é a norma que define a economia organizacional para a gestão da segurança da informação. A norma entrará na fase FDIS (final draft International Standard – esboço final de norma internacional) no início de 2014, então é uma expectativa realista esperar que a versão final seja publicada em 2014.
ISO/IEC 27018 é a norma que fornecerá o código de prática para controles para proteção de dados para serviços de computação em nuvem pública, e ele depende fortemente da ISO 27002. Ela entrou no estágio DIS (draft International Standard – esboço de norma internacional) no início de 2014, então a versão final pode ser publicada ao final deste ano.
ISO/IEC 27033-4 é a norma que trata sobre segurança em rede – em como proteger a comunicação entre redes utilizando gateways de segurança. Espera-se que seja publicada no segundo semestre de 2014.
ISO/IEC 27036-1 é a norma que dá uma visão geral e explica os conceitos relacionados a segurança a informação e a relação com fornecedores. Ela será publicada no primeiro trimestre de 2014.
ISO/IEC 27036-2 é a principal norma que descreve os requisitos relacionados a segurança da informação para relações com fornecedores. No início de 2014 a norma estava na fase FDIS, então é uma expectativa realista assumir que a versão final será publicada ao final de 2014.
ISO/IEC 27038 é a norma que dá especificações para “redaction” digital – no contexto de segurança da informação, redaction é o termo para o processo de negar aos destinatários de um arquivo o conhecimento de certos dados sensíveis contidos nos arquivos originais. Esta norma também será publicada ao final de 2014.
ISO/IEC 27039 é a norma que descreve a seleção, instalação e operação de sistemas de detecção de intrusão (IDPS) – ela estava no estágio DIS no início de 2014, então espera-se que seja publicada ao final de 2014.
ISO/IEC 27043 é outra norma que trata sobre incidentes, ou para ser mais preciso – com os princípios e processos para a investigação de incidentes. Similar a outros padrões, encontra-se na fase DIS, então espera-se que seja publicado ao final de 2014 (ou no início de 2015).
Se você está neste negócio, terá muito material para ler!
Para conhecer os requisitos da norma, confira este paper gratuito Clause-by-clause explanation of ISO 27001.
Agradecemos a Rhand Leal pela tradução para o português.
