Semelhanças e diferenças entre a ISO 27001 e a ISO 27002

Se você se deparou com a ISO 27001 e a ISO 27002, provavelmente notou que a ISO 27002 é muito mais detalhada, muito mais precisa. Então, qual é o propósito da norma ISO 27001?

Em primeiro lugar, você não pode obter a certificação ISO 27002 porque ela não é uma norma de gestão. O significa ser uma norma de gestão? Significa que essa norma define como administrar um sistema. No caso da ISO 27001, ela define o sistema de gestão da segurança da informação (SGSI), portanto, a certificação para a ISO 27001 é possível.

Esse sistema de gestão significa que a segurança da informação deve ser planejada, implementada, monitorada, analisada e aperfeiçoada. Significa que a gestão tem suas responsabilidades definidas, que os objetivos devem ser estabelecidos, medidos e analisados, que deve haver auditorias internas e assim por diante. Todos esses elementos são definidos na norma ISO 27001, mas não na ISO 27002.

As diferenças entre os controles na ISO 27002 e ISO 27001

Os controles na ISO 27002 são nomeados da mesma forma que no Anexo A da ISO 27001 – por exemplo, na ISO 27002, o controle 6.1.2 é nomeado “Segregação de funções”, enquanto que na ISO 27001 ele é “A.6.1.2 Segregação de funções.” Mas, a diferença está no nível de detalhes – em média, a ISO 27002 explica um controle um uma página interia, enquanto que a ISO 27001 dedica apenas uma sentença para cada controle.

Por fim, a diferença é que a ISO 27002 não faz distinção entre os controles aplicáveis a uma determinada organização, e aqueles que não são. Por outro lado, a ISO 27001 determina uma avaliação de riscos a ser executada a fim de identificar, para cada controle, se ela é necessária para diminuir os riscos, e se for, em que medida deve ser aplicada.

A pergunta é: por que essas duas normas existem separadamente, porque não foram fundidas, reunindo os lados positivos de ambas as normas? A resposta é a usabilidade: se fosse uma única norma, ela seria muito complexa e muito grande para uso prático.

Qual norma usar de série ISO 27000 e quando

Cada norma da série ISO 27000 é projetada com um determinado foco. Se você quiser construir os alicerces da segurança da informação em sua organização e definir sua estrutura, deve usar a ISO 27001; se você quiser implementar controles, deve usar a ISO 27002; se você quiser realizar avaliação de riscos e tratamento de riscos, deve usar a ISO 27005 etc.

Para concluir, poderíamos dizer que, sem os detalhes fornecidos na norma ISO 27002, os controles definidos no Anexo A da ISO 27001 não poderiam ser implementados. Porém, sem estrutura de gestão da ISO 27001, a ISO 27002 permaneceria apenas como um esforço isolado de alguns entusiastas da segurança da informação, sem aceitação da alta administração e, portanto, sem impacto real sobre a organização.

Use este treinamento online gratuito ISO 27001:2013 Foundations Course para saber mais sobre ISO 27001.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001