• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    ISO 31000 e ISO 27001 – Como elas estão relacionadas?

    Ao contrário da crença popular de que a ISO 31000 é agora mandatória para a implementação da ISO 27001, isto não é verdade. Contudo, a ISO 31000 pode ser bastante útil para a implementação da ISO 27001 – ela não apenas oferece um bom direcionamento, mas também dá um contexto estratégico para gerenciar riscos (de segurança da informação).

    Mas primeiro vamos começar pelo básico…

    O que é a ISO 31000?

    A ISO 31000 provê direcionamento sobre como organizar a gestão de riscos em organizações – a norma não foca apenas em riscos de segurança da informação; ela pode ser utilizada para quaisquer tipos de risco, incluindo riscos relacionados a continuidade de negócio, mercado, moedas, crédito, operacionais e outros.

    Ela provê um glossário detalhado de termos relacionados a gestão de riscos, explica os princípios básicos da gestão de riscos, e provê uma estrutura geral, incluindo um ciclo PDCA (planejamento, implementação, monitoramento e melhoria – Plan/Do/Check/Act). Contudo, embora seja aplicável a qualquer tipo de organização e a qualquer tipo de risco, ela não fornece uma metodologia específica para, por exemplo, gestão de riscos de segurança da informação.

    O que é a ISO 27001?

    A ISO 27001 é uma norma que descreve como uma organização deveria organizar sua segurança da informação (leia este artigo para detalhes sobre a ISO 27001) – ela está baseada em princípios de gestão de risco, o que significa que uma organização deveria selecionar salvaguardas (controles de segurança) apenas se existirem riscos inaceitáveis que precisem ser tratados.

    Desta forma, você pode considerar a segurança da informação como sendo parte da gestão de riscos de sua organização como mostrado abaixo:

    Information security vs risk management PT

    Como você pode ver, a segurança da informação se sobrepõem com a cyber segurança, e é fortemente relacionada a tecnologia da informação, e é parte integral da gestão de riscos de sua organização.

    Relacionamento entre a ISO 31000 e a ISO 27001

    A versão anterior da ISO 27001 (de 2005) não mencionava a ISO 31000, mas a versão 2013 menciona, e é isto que tem causado confusão – muitas pessoas pensam que devem implementar algo novo na ISO 27001 por conta a ISO 31000, mas isso não é verdade.

    Vamos ver o que exatamente a ISO 27001 diz sobre a ISO 31000:

    Na cláusula 4.1, a ISO 27001 menciona que você poderia considerar contextos externos e internos da organização de acordo com a cláusula 5.3 da ISO 31000. E, de fato, as cláusulas 5.3.2 e 5.3.3 da ISO 31000 são muito úteis neste respeito porque elas proveem direcionamento valiosos em contextos externos e internos; contudo, a ISO 27001 menciona a ISO 31000 apenas em uma nota, o que significa que estes direcionamentos não são mandatórios.

    Na cláusula 6.1.3, a ISO 27001 menciona que a gestão da segurança da informação na ISO 27001 esta alinhada com a ISO 31000. Assim, a ISO 27001 não diz que você precisa implementar a avaliação e o tratamento de riscos de acordo com a ISO 31000 – ela apenas diz que todos os requisitos da ISO 27001 já estão em conformidade com a ISO 31000. Desta forma, você pode implementar a gestão de riscos da forma que desejar, contanto que esteja em conformidade com a ISO 27001. (Veja também este webinar: The basics of risk assessment and treatment according to ISO 27001.)

    E isso é tudo – não há nada mais além disso.

    ISO 31000 vs. ISO 27005

    Como mencionado antes, a ISO 31000 não fornece nenhum conselho específico sobre avaliação de riscos de segurança da informação e tratamento de riscos; para este propósito, a ISO 27005 – uma norma que dá direcionamentos para a avaliação e tratamento de riscos de segurança da informação – é muito melhor. Ela dá a você o conhecimento para identificar ativos, ameaças e vulnerabilidades, para avaliar consequências e probabilidades, para calcular riscos, etc. E ela está completamente em conformidade com a ISO 31000.

    Então, por que você deveria usar a ISO 31000? Além dos direcionamento já mencionados anteriormente para a identificação dos contextos internos e externos, seu maio valor está em prover uma estrutura para gerenciar todos os tipos de riscos em nível corporativo – ela pode ajudar você a transforma a gestão de riscos de um assunto obscuro e difícil de entender, para um pensamento que seja facilmente entendível por todos na organização.

    Uma vez que a ISO 31000 descreve como abordar a gestão de riscos estrategicamente e de forma abrangente, você pode considerar esta norma como uma excelente estrutura para a gestão de riscos empresarial (Enterprise Risk Management – ERM). Assim, uma vez que você tenha dominado a gestão de riscos de segurança da informação, você pode usá-la como base para construir a ERM.

    Veja aqui um exemplo da Metodologia de avaliação de riscos da ISO 27001 alinhada a ISO 31000.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: