Oferta por tempo limitado
Não perca os preços de 2024 agora para kits ISO 27001, exames de cursos e software!
Esta oferta é válida até 19 de dezembro de 2024.

ISO 31000 e ISO 27001 – Como elas estão relacionadas?

Ao contrário da crença popular de que a ISO 31000 é agora mandatória para a implementação da ISO 27001, isto não é verdade. Contudo, a ISO 31000 pode ser bastante útil para a implementação da ISO 27001 – ela não apenas oferece um bom direcionamento, mas também dá um contexto estratégico para gerenciar riscos (de segurança da informação).

Mas primeiro vamos começar pelo básico…

O que é a ISO 31000?

A ISO 31000 provê direcionamento sobre como organizar a gestão de riscos em organizações – a norma não foca apenas em riscos de segurança da informação; ela pode ser utilizada para quaisquer tipos de risco, incluindo riscos relacionados a continuidade de negócio, mercado, moedas, crédito, operacionais e outros.

Ela provê um glossário detalhado de termos relacionados a gestão de riscos, explica os princípios básicos da gestão de riscos, e provê uma estrutura geral, incluindo um ciclo PDCA (planejamento, implementação, monitoramento e melhoria – Plan/Do/Check/Act). Contudo, embora seja aplicável a qualquer tipo de organização e a qualquer tipo de risco, ela não fornece uma metodologia específica para, por exemplo, gestão de riscos de segurança da informação.

O que é a ISO 27001?

A ISO 27001 é uma norma que descreve como uma organização deveria organizar sua segurança da informação (leia este artigo para detalhes sobre a ISO 27001) – ela está baseada em princípios de gestão de risco, o que significa que uma organização deveria selecionar salvaguardas (controles de segurança) apenas se existirem riscos inaceitáveis que precisem ser tratados.

Desta forma, você pode considerar a segurança da informação como sendo parte da gestão de riscos de sua organização como mostrado abaixo:

Information security vs risk management PT

Como você pode ver, a segurança da informação se sobrepõem com a cyber segurança, e é fortemente relacionada a tecnologia da informação, e é parte integral da gestão de riscos de sua organização.

Relacionamento entre a ISO 31000 e a ISO 27001

A versão anterior da ISO 27001 (de 2005) não mencionava a ISO 31000, mas a versão 2013 menciona, e é isto que tem causado confusão – muitas pessoas pensam que devem implementar algo novo na ISO 27001 por conta a ISO 31000, mas isso não é verdade.

Vamos ver o que exatamente a ISO 27001 diz sobre a ISO 31000:

Na cláusula 4.1, a ISO 27001 menciona que você poderia considerar contextos externos e internos da organização de acordo com a cláusula 5.3 da ISO 31000. E, de fato, as cláusulas 5.3.2 e 5.3.3 da ISO 31000 são muito úteis neste respeito porque elas proveem direcionamento valiosos em contextos externos e internos; contudo, a ISO 27001 menciona a ISO 31000 apenas em uma nota, o que significa que estes direcionamentos não são mandatórios.

Na cláusula 6.1.3, a ISO 27001 menciona que a gestão da segurança da informação na ISO 27001 esta alinhada com a ISO 31000. Assim, a ISO 27001 não diz que você precisa implementar a avaliação e o tratamento de riscos de acordo com a ISO 31000 – ela apenas diz que todos os requisitos da ISO 27001 já estão em conformidade com a ISO 31000. Desta forma, você pode implementar a gestão de riscos da forma que desejar, contanto que esteja em conformidade com a ISO 27001. (Veja também este webinar: The basics of risk assessment and treatment according to ISO 27001.)

E isso é tudo – não há nada mais além disso.

ISO 31000 vs. ISO 27005

Como mencionado antes, a ISO 31000 não fornece nenhum conselho específico sobre avaliação de riscos de segurança da informação e tratamento de riscos; para este propósito, a ISO 27005 – uma norma que dá direcionamentos para a avaliação e tratamento de riscos de segurança da informação – é muito melhor. Ela dá a você o conhecimento para identificar ativos, ameaças e vulnerabilidades, para avaliar consequências e probabilidades, para calcular riscos, etc. E ela está completamente em conformidade com a ISO 31000.

Então, por que você deveria usar a ISO 31000? Além dos direcionamento já mencionados anteriormente para a identificação dos contextos internos e externos, seu maio valor está em prover uma estrutura para gerenciar todos os tipos de riscos em nível corporativo – ela pode ajudar você a transforma a gestão de riscos de um assunto obscuro e difícil de entender, para um pensamento que seja facilmente entendível por todos na organização.

Uma vez que a ISO 31000 descreve como abordar a gestão de riscos estrategicamente e de forma abrangente, você pode considerar esta norma como uma excelente estrutura para a gestão de riscos empresarial (Enterprise Risk Management – ERM). Assim, uma vez que você tenha dominado a gestão de riscos de segurança da informação, você pode usá-la como base para construir a ERM.

Veja aqui um exemplo da Metodologia de avaliação de riscos da ISO 27001 alinhada a ISO 31000.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.