ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Semelhanças e diferenças entre a ISO 27001 e a ISO 27002

Se você se deparou com a ISO 27001 e a ISO 27002, provavelmente notou que a ISO 27002 é muito mais detalhada, muito mais precisa. Então, qual é o propósito da norma ISO 27001?

Em primeiro lugar, você não pode obter a certificação ISO 27002 porque ela não é uma norma de gestão. O significa ser uma norma de gestão? Significa que essa norma define como administrar um sistema. No caso da ISO 27001, ela define o sistema de gestão da segurança da informação (SGSI), portanto, a certificação para a ISO 27001 é possível.

Esse sistema de gestão significa que a segurança da informação deve ser planejada, implementada, monitorada, analisada e aperfeiçoada. Significa que a gestão tem suas responsabilidades definidas, que os objetivos devem ser estabelecidos, medidos e analisados, que deve haver auditorias internas e assim por diante. Todos esses elementos são definidos na norma ISO 27001, mas não na ISO 27002.

As diferenças entre os controles na ISO 27002 e ISO 27001

blogpost-banner-27001-premium-pt

Os controles na ISO 27002 são nomeados da mesma forma que no Anexo A da ISO 27001 – por exemplo, na ISO 27002, o controle 6.1.2 é nomeado “Segregação de funções”, enquanto que na ISO 27001 ele é “A.6.1.2 Segregação de funções.” Mas, a diferença está no nível de detalhes – em média, a ISO 27002 explica um controle um uma página interia, enquanto que a ISO 27001 dedica apenas uma sentença para cada controle.

Por fim, a diferença é que a ISO 27002 não faz distinção entre os controles aplicáveis a uma determinada organização, e aqueles que não são. Por outro lado, a ISO 27001 determina uma avaliação de riscos a ser executada a fim de identificar, para cada controle, se ela é necessária para diminuir os riscos, e se for, em que medida deve ser aplicada.

A pergunta é: por que essas duas normas existem separadamente, porque não foram fundidas, reunindo os lados positivos de ambas as normas? A resposta é a usabilidade: se fosse uma única norma, ela seria muito complexa e muito grande para uso prático.

Qual norma usar de série ISO 27000 e quando

Cada norma da série ISO 27000 é projetada com um determinado foco. Se você quiser construir os alicerces da segurança da informação em sua organização e definir sua estrutura, deve usar a ISO 27001; se você quiser implementar controles, deve usar a ISO 27002; se você quiser realizar avaliação de riscos e tratamento de riscos, deve usar a ISO 27005 etc.

Para concluir, poderíamos dizer que, sem os detalhes fornecidos na norma ISO 27002, os controles definidos no Anexo A da ISO 27001 não poderiam ser implementados. Porém, sem estrutura de gestão da ISO 27001, a ISO 27002 permaneceria apenas como um esforço isolado de alguns entusiastas da segurança da informação, sem aceitação da alta administração e, portanto, sem impacto real sobre a organização.

Use este treinamento online gratuito ISO 27001:2013 Foundations Course para saber mais sobre ISO 27001.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
How to integrate GDPR with ISO 27001
Wednesday – September 25, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.