Take the ISO 27001 course exam and get the
EU GDPR course exam for free
LIMITED-TIME OFFER – ENDS MARCH 30, 2023
ISO-27001-ISO-22301-blog

Blog ISO 27001 e ISO 22301

ISO 27001 vs. ITIL: Similaridades e diferenças

Os serviços de TI estão entre as principais vias para o fluxo de informações entre organizações, seus clientes e parceiros, e com requisitos legais e contratuais demandando cada vez mais medidas de proteção da informação (o setor de saúde é um exemplo), estes serviços e suas práticas de gestão devem evoluir para se adaptar a este novo cenário. Mas como fazer isso de forma apropriada e de forma eficiente em custo?

Este artigo apresentará uma visão geral de como a ISO 27001, uma norma ISO com foco na gestão da segurança da informação, e o ITIL, um framework público-privado que foca na gestão de serviços de TI, estão relacionado considerando a proteção de informações e como ele podem ser usados em conjunto para aumentar seus benefício para o negócio de uma organização.

Fatos gerais

Aqui estão algumas informações que você pode achar úteis para um entendimento inicial da ISO 27001 e ITIL:

ISO 27001 ITIL
Norma internacional Estrutura de boas práticas
Define requisitos para o estabelecimento, implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI). Apresenta um conjunto de boas práticas para a gestão de serviços de TI, dando orientações para a provisão de serviços de TI de qualidade e os processos, funções e outras capacidades necessárias para suportá-los.
Aplicável para qualquer tipo e tamanho de organização. Aplicável para quase todos os tipos de ambiente de TI.
Implementação e certificação são opcionais. Implementação não está sujeita a certificação.
Versão atual: ISO 27001:2013 Versão atual: ITIL edição 2011

Como você pode ver, a ISO 27001 possui uma definição direta com relação a proteção da informação, enquanto que no ITIL ela é mais indireta. Isso é desta forma porque o termo “ITIL” se refere a múltiplas práticas para gestão e provisão de serviços de TI de qualidade, como gestão financeira e atendimento a solicitações. Contudo, uma vez que a segurança da informação também é um aspecto crítico na gestão de serviços de TI e na qualidade de serviços de TI, o ITIL trata da segurança da informação como um de seus processos de apoio (gestão da segurança), e integra a segurança da informação em muitos dos processos presentes no framework.

Estrutura da ISO 27001

A ISO 27001 consiste de 11 cláusulas e 114 controles de segurança genéricos agrupados em 13 seções (o Anexo A). Para maiores informações, leia estes artigos: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.

Uma das limitações da ISO 27001 é que ela não prove detalhes sobre como atender os requisitos ou implementar controles, apenas sobre o que você precisa atingir. Para maiores detalhes, você pode usar a ISO 27002 como guia. Para mais informações, leia este artigo: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.

Estrutura do ITIL e similaridades e diferenças com a ISO 27001

Por outro lado, a estrutura do ITIL consiste de 26 processos e quarto funções, baseados em uma abordagem de ciclo de vida de serviço com cinco estágios:

Estratégia de serviço (4 processos): envolve o alinhamento da estratégia de TI com as metas e expectativas gerais do negócio, para assegurar a agregação de valor para a organização. Este estágio pode ser relacionado a cláusula 4 (Contexto da organização) da ISO 27001.

Design de serviço (7 processos): envolve assegurar que os serviços de TI atendam os objetivos de negócio equilibrando custo, funcionalidade e desempenho. Um dos processos no design de serviço e a gestão de segurança, e devido ao uso de muitos conceitos similares (e.g., tríade CIA, controles de segurança, etc.), ele pode ser coberto pela cláusula 6 (Planejamento) da ISO 27001. Para mais informações, leia este artigo: If anything shouldn’t be taken for granted… it’s Information Security Management.

Transição de serviço (7 processos): envolve assegurar que serviços de TI novos, modificados e retirados estejam atendendo as necessidades do negócio, e que as mudanças sejam geridas e controlada de forma eficiente. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001 e ao controle A.12.1.2 – Gestão de mudança.

Operação de serviço (5 processos): envolve assegurar que os serviços de TI são operados de forma segura e confiável para apoiar as necessidades do negócio. Este estágio pode ser relacionado a cláusula 8 (Operação) da ISO 27001.

Melhoria continua de serviço (3 processos): envolve a melhoria da qualidade, eficiência e eficácia dos serviços de TI, ao mesmo tempo reduzindo custos. Este estágio pode ser relacionado às cláusulas 9 (Avaliação de desempenho) e 10 (Melhoria contínua) da ISO 27001.

Como você pode ver, embora a ISO 27001 e o ITIL tenham apresentações diferentes, eles compartilham uma abordagem similar ao ciclo PDCA, o que facilita trabalhar com ambos em conjunto.

Ciclo PDCA Cláusulas da ISO 27001:2013 Estágios do ITIL
Plan (planejar)

Cláusula 4 – Contexto da organização

Cláusula 5 – Liderança

Cláusula 6 – Planejamento

Cláusula 7 – Suporte

Estratégia de serviço

Design de serviço

Do (executar) Cláusula 8 – Operação

Transição de serviço

Operação de serviço

Check (checar) Cláusula 9 – Avaliação de desempenho Melhoria contínua de serviço
Act (ajustar) Cláusula 10 – Melhoria contínua Melhoria contínua de serviço

Adicionalmente, como na ISO 27001, ao ITIL faltam detalhes sobre “como fazer” com relação a como os processos deveriam ser implementados, embora ele forneça descrições detalhadas com relação a objetivos, atividades a serem feitas, entradas e saídas, em adição a listas de verificação, tudo para prover espaço para que as organizações possam adequá-los de acordo com suas necessidades. Uma comparação grosseira seria pensar no ITIL como se o conteúdo da ISO 27002 estive incluído na ISO 27001.

Como usar o ITIL e a ISO 27001 juntos?

Não há resposta exata para esta questão, uma vez que ela depende da organização e de seus requisitos. Uma abordagem é começar a implementação da ISO 27001 primeiro, porque ela cobre a gestão de segurança da informação de forma geral (da qual o ambiente de TI é apenas uma parte), e após isso ir para o ITIL, o qual fornecerá mais detalhes para implementação.

Outra alternativa é considerar os elementos da ISO 27001 para cada estágio do ITIL e implementá-los em sequência de acordo com um cronograma de implementação do ITIL.

Para mais informações sobre a implementação da ISO 27001 e ITIL, veja estes materiais: Diagrama para a implementação da ISO 27001:2013 e ITIL implementation diagram.

O importante aqui é que você veja a ISO 27001 e o ITIL como materiais complementares que podem ajudar uma organização a prover serviços ao cliente com a segurança apropriada.

Para saber mais sobre como implementar a ISO 27001, veja este ISO 27001:2013 Lead Implementer Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are: ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.