• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    ISO 31000 e ISO 27001 – Como elas estão relacionadas?

    Ao contrário da crença popular de que a ISO 31000 é agora mandatória para a implementação da ISO 27001, isto não é verdade. Contudo, a ISO 31000 pode ser bastante útil para a implementação da ISO 27001 – ela não apenas oferece um bom direcionamento, mas também dá um contexto estratégico para gerenciar riscos (de segurança da informação).

    Mas primeiro vamos começar pelo básico…

    O que é a ISO 31000?

    A ISO 31000 provê direcionamento sobre como organizar a gestão de riscos em organizações – a norma não foca apenas em riscos de segurança da informação; ela pode ser utilizada para quaisquer tipos de risco, incluindo riscos relacionados a continuidade de negócio, mercado, moedas, crédito, operacionais e outros.

    Ela provê um glossário detalhado de termos relacionados a gestão de riscos, explica os princípios básicos da gestão de riscos, e provê uma estrutura geral, incluindo um ciclo PDCA (planejamento, implementação, monitoramento e melhoria – Plan/Do/Check/Act). Contudo, embora seja aplicável a qualquer tipo de organização e a qualquer tipo de risco, ela não fornece uma metodologia específica para, por exemplo, gestão de riscos de segurança da informação.

    O que é a ISO 27001?

    A ISO 27001 é uma norma que descreve como uma organização deveria organizar sua segurança da informação (leia este artigo para detalhes sobre a ISO 27001) – ela está baseada em princípios de gestão de risco, o que significa que uma organização deveria selecionar salvaguardas (controles de segurança) apenas se existirem riscos inaceitáveis que precisem ser tratados.

    Desta forma, você pode considerar a segurança da informação como sendo parte da gestão de riscos de sua organização como mostrado abaixo:

    Information security vs risk management PT

    Como você pode ver, a segurança da informação se sobrepõem com a cyber segurança, e é fortemente relacionada a tecnologia da informação, e é parte integral da gestão de riscos de sua organização.

    Relacionamento entre a ISO 31000 e a ISO 27001

    A versão anterior da ISO 27001 (de 2005) não mencionava a ISO 31000, mas a versão 2013 menciona, e é isto que tem causado confusão – muitas pessoas pensam que devem implementar algo novo na ISO 27001 por conta a ISO 31000, mas isso não é verdade.

    Vamos ver o que exatamente a ISO 27001 diz sobre a ISO 31000:

    Na cláusula 4.1, a ISO 27001 menciona que você poderia considerar contextos externos e internos da organização de acordo com a cláusula 5.3 da ISO 31000. E, de fato, as cláusulas 5.3.2 e 5.3.3 da ISO 31000 são muito úteis neste respeito porque elas proveem direcionamento valiosos em contextos externos e internos; contudo, a ISO 27001 menciona a ISO 31000 apenas em uma nota, o que significa que estes direcionamentos não são mandatórios.

    Na cláusula 6.1.3, a ISO 27001 menciona que a gestão da segurança da informação na ISO 27001 esta alinhada com a ISO 31000. Assim, a ISO 27001 não diz que você precisa implementar a avaliação e o tratamento de riscos de acordo com a ISO 31000 – ela apenas diz que todos os requisitos da ISO 27001 já estão em conformidade com a ISO 31000. Desta forma, você pode implementar a gestão de riscos da forma que desejar, contanto que esteja em conformidade com a ISO 27001. (Veja também este webinar: The basics of risk assessment and treatment according to ISO 27001.)

    E isso é tudo – não há nada mais além disso.

    ISO 31000 vs. ISO 27005

    Como mencionado antes, a ISO 31000 não fornece nenhum conselho específico sobre avaliação de riscos de segurança da informação e tratamento de riscos; para este propósito, a ISO 27005 – uma norma que dá direcionamentos para a avaliação e tratamento de riscos de segurança da informação – é muito melhor. Ela dá a você o conhecimento para identificar ativos, ameaças e vulnerabilidades, para avaliar consequências e probabilidades, para calcular riscos, etc. E ela está completamente em conformidade com a ISO 31000.

    Então, por que você deveria usar a ISO 31000? Além dos direcionamento já mencionados anteriormente para a identificação dos contextos internos e externos, seu maio valor está em prover uma estrutura para gerenciar todos os tipos de riscos em nível corporativo – ela pode ajudar você a transforma a gestão de riscos de um assunto obscuro e difícil de entender, para um pensamento que seja facilmente entendível por todos na organização.

    Uma vez que a ISO 31000 descreve como abordar a gestão de riscos estrategicamente e de forma abrangente, você pode considerar esta norma como uma excelente estrutura para a gestão de riscos empresarial (Enterprise Risk Management – ERM). Assim, uma vez que você tenha dominado a gestão de riscos de segurança da informação, você pode usá-la como base para construir a ERM.

    Veja aqui um exemplo da Metodologia de avaliação de riscos da ISO 27001 alinhada a ISO 31000.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.