O que é a ISO 27001?

Introdução simples aos fatos básicos

what-is-iso27001-video-thumbnailA ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma organização. A versão mais recente desta norma foi publicada em 2013, e seu título completo agora é ISO/IEC 27001:2013. A primeira versão desta norma foi publicada em 2005, e foi desenvolvida com base na Norma Britânica BS 7799-2.

A ISO 27001 pode ser implementada em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, pequena ou grande. Ela é escrita pelos melhores especialistas mundiais no campo de segurança da informação e provê metodologia para a implementação da gestão da segurança da informação em uma organização. Ela também possibilita que organizações obtenham certificação, o que significa que um organismo certificador independente confirmou que uma organização implementou a segurança da informação em conformidade com a ISO 27001.

A ISO 27001 tornou-se a mais popular norma de segurança da informação no mundo e muitas organizações foram certificadas tendo-a como referência – aqui você pode ver o número de certificados nos últimos anos:

Fonte: Pesquisa da ISO sobre Certificações em Normas de Sistemas de Gestão

Como a ISO 27001 funciona?

O foco da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade da informação de uma organização. Isto é feito identificando-se quais potenciais problemas podem ocorrer com a informação (i.e. avaliação de risco), e então definindo quais necessidades devem ser atendidas para prevenir tais problemas de ocorrerem (i.e. mitigação de risco ou tratamento de risco).

Desta forma, a principal filosofia da ISO 27001 é baseada na gestão de riscos: descobrir onde os riscos estão, e então trata-los sistematicamente:

As salvaguardas (ou controles) que são implementadas em geral estão na forma de políticas, procedimentos e implementações técnicas (i.e. software e equipamento). Contudo, em muitos casos as organizações já possuem todo o hardware e software instalado, mas estão utilizando-os de forma insegura – desta forma, a maioria das implementações da ISO 27001 serão sobre definir as regras organizacionais (i.e. documentos escritos) que são necessárias de modo a prevenir brechas de segurança.

Uma vez que  tal implementação irá requerer a gestão de múltiplas políticas, procedimentos, pessoas, ativos, etc., a ISO 27001 descreve como encaixar todos estes elementos de forma coerente no sistema de gestão de segurança da informação (SGSI).

Desta forma, gerir a segurança da informação não trata apenas de segurança em TI (i.e. fierwalls, anti-virus, etc.) mas também sobre gerenciar processos, proteção legal, recursos humanos, proteção física, etc.

Veja também A lógica básica da ISO 27001: Como a segurança da informação funciona?

Por que a ISO 27001 é boa para sua organização? 

Existem 4 benefícios de negócio essenciais que uma organização pode atingir com a implementação desta norma de segurança da informação:

Conformidade com requsitos legais – existem cada vez mais leis, regulamentações e requisitos contratuais relacionados a segurança da informação, e a boa notícia é que muitos deles podem ser resolvidos pela implementação da ISO 27001 – esta norma dá a você uma metodologia perfeita para estar em conformidade com todos estes requisitos.

Obter vantagem de marketing – se sua organização obtem a certificação e seus competidores não, você pode ter vantagem sobre eles na visão de clientes que são sensíveis a questão de manter suas informações seguras.

Reduzir custos – a principal filosofia da ISO 27001 é prevenir incidentes de segurança de ocorrerem; e cada incidente, sendo este grande ou pequeno custa dinheiro – desta forma, ao prevenir incidentes sua organização economizará uma quantidade significativa de dinheiro. E a melhor coisa de tudo – investimento na ISO 27001 é muito menor do que a economia em custo que você obterá.

Melhor organização – tipicamente, organizações que crescem rápido não tem tempo para fazer uma pausa e definir seus processos e procedimentos – e como uma consequência, muito frequentemente os empregados não sabem o que precisa ser feito, quando e por quem. A implementação da ISO 27001 ajuda a resolver tal situação porque ela encoraja as organizações a escrever seus principais processos (mesmo aqueles que não são relacionados a segurança), possibilitando a elas reduzir a perda de tempo de seus empregados.

Veja também Calculadora Gratuita para cálculo do Retorno sobre o Investimento em Segurança

Onde a gestão da segurança da informação se encaixa em sua organização?

Essencialmente, a segurança da informação é parte da gestão geral de riscos em uma organização, com sobreposição em áreas de cyber segurança, gestão da continuidade do negócio e gestão de TI:

ISO-27001-Where-does-it-fit-PT

Como a ISO 27001 é realmente?

A ISO / IEC 27001 é dividia em 11 seções e Anexo A, onde as seções de 0 a 3 são introdutórias (e não são obrigatórias para a implementação), enquanto as seções de 4 a 10 são obrigatórias – significando que todos os seus requisitos devem ser implementados em uma organização se ela quer estar em conformidade com a norma. Controles do Anexo A devem ser implementados apenas se declarados como aplicáveis na Declaração de Aplicabilidade.

De acordo com o Anexo SL das Diretivas ISO / IEC da International Organization for Standardization, os títulos das seções da ISO 27001 são os mesmos da ISO 22301:2012, na nova ISO 9001:2015, e outras normas de gestão, permitindo uma integração mais fácil destas normas.

Seção 0: Introdução – explica o propósito da ISO 27001 e sua compatibilidade com outras normas de gestão.

Seção 1: Escopo – explica que esta norma é aplicável a qualquer tipo de organização.

Seção 2: Referência normativa – refere-se a ISO / IEC 27000 como uma norma onde termos e definições são dadas.

Seção 3: Termos e definições – novamente, refere-se a ISO / IEC 27000.

Seção 4: Contexto da organização – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para o entendimento de assuntos externos e internos, partes interessadas e seus requisitos, e a definição do escopo do SGSI.

Seção 5: Liderança – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define as responsabilidades da Alta Direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de segurança da informação de alto nível.

Seção 6: Planejamento – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para a avaliação de risco, tratamento de risco, Declaração de Aplicabilidade, plano de tratamento de risco, e define os objetivos de segurança da informação.

Seção 7: Apoio – esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos de disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros.

Seção 8: Operação – esta seção é parte da etapa execução (Do) do ciclo PDCA e define a implementação da avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir os objetivos de segurança da informação.

Seção 9: Avaliação do desempenho – esta seção é parte da etapa verificação (Check) do ciclo PDCA e define requisitos para o monitoramento, medição, análise, avaliação, auditoria interna e análise crítica pela Direção.

Seção 10: Melhoria – esta seção é parte da etapa de atuação (Act) do ciclo PDCA e define requisitos para não conformidades, ações corretivas e melhoria contínua.

Anexo A – este anexo disponibiliza um catálogo de 114 controles (salvaguardas) distribuídos em 14 seções (seções de A.5 até A.18).

Veja também: O ciclo PDCA foi removido das novas normas ISO?

Como implementar a ISO 27001

Para implementar a ISO 27001 em uma organização, você tem que seguir estas 16 etapas:

1) Obter apoio da Alta Direção
2) Utilizar metodologia de gerenciamento de projeto
3) Definir o escopo do SGSI
4) Escrever a política de segurança da informação de alto nível
5) Definir a metodologia de avaliação de risco
6) Realizar a avaliação de risco de o tratamento de risco
7) Escrever a Declaração de Aplicabilidade
8) Escrever o Plano de tratamento de risco
9) Definir como medir a eficácia de seus controles e do seu SGSI
10) Implementar todos os controles e procedimentos aplicáveis
11) Implementar programas de treinamento e conscientização
12) Realizar todas as operações diárias prescritas pela documentação do seu SGSI
13) Monitorar e medir seu SGSI
14) Realizar auditoria interna
15) Realizar análise crítica pela direção
16) Implementar ações corretivas

Para explicações mais detalhadas sobre estas etapas veja Lista de verificação para implementação da ISO 27001.

Documentação obrigatória

A ISO 27001 requer que a seguinte documentação seja escrita:

  • Escopo do SGSI (cláusula 4.3)
  • Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
  • Metodologia de avaliação de risco e de tratamento de risco (cláusula 6.1.2)
  • Declaração de aplicabilidade (cláusula 6.1.3 d)
  • Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
  • Relatório de avaliação de risco (cláusula 8.2)
  • Definição de papéis e responsabilidades de segurança (cláusulas A.7.1.2 e A.13.2.4)
  • Inventário de ativos (cláusula A.8.1.1)
  • Uso aceitável dos ativos (cláusula A.8.1.3)
  • Política de controle de acesso (cláusula A.9.1.1)
  • Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
  • Princípios para projetar sistemas seguros (cláusula A.14.2.5)
  • Política de segurança para fornecedores (cláusula A.15.1.1)
  • Procedimento para gestão de incidente (cláusula A.16.1.5)
  • Procedimentos de continuidade do negócio (cláusula A.17.1.2)
  • Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

E estes são os registros obrigatórios:

  • Registros de treinamento, habilidades, experiência e qualificações (cláusula 7.2)
  • Resultados de monitoramento e medição (cláusula 9.1)
  • Programa de auditoria interna (cláusula 9.2)
  • Resultados de auditorias internas (cláusula 9.2)
  • Resultados de análises críticas pela direção (cláusula 9.3)
  • Resultados de ações corretivas (cláusula 10.1)
  • Registros (logs) de atividades de usuários, de exceções e de eventos de segurança (cláusula A.12.4.1 e A.12.4.3)

Claro, uma organização pode decidir escrever documentos de segurança adicionais se considerar necessário.

Para ver explicações mais detalhadas de cada um destes documentos faça o download do artigo Lista de Verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013).

Como obter a certificação?

Existem dois tipos de certificação ISO 27001: (a) para organizações, e (b) para indivíduos. Organizações pode ser certificadas para provar que elas estão em conformidade com todas as cláusulas mandatórias da norma; indivíduos podem participar de cursos e passar em exames para obter o certificado.

Para obter a certificação como uma organização, ela deve implementar a norma como explicado nas seções anteriores, e então se submeter a uma auditoria de certificação realizada por um organismo de certificação. A auditoria de certificação é realizada nos seguintes estágios:

  • Estágio 1 da auditoria (Análise da documentação) – os auditores analisarão toda a documentação.
  • Estágio 2 da auditoria (Auditoria principal) – os auditores realizarão uma auditoria no local para verificar se todas as atividades na organização estão em conformidade com a ISO 27001 e com a documentação do SGSI.
  • Visitas de supervisão – após o certificado ser emitido, durante os 3 anos de sua validade, os auditores verificarão se a organização mantém seu SGSI.

Veja também Tornando-se certificado ISO 27001 – Como se preparar para a auditoria de certificação.

Indivíduos  podem participar de vários cursos para obter certificados – os mais populares são:

  • Curso de Auditor Líder ISO 27001 – este curso de 5 dias ensinará a você como realizar auditorias de certificação e é direcionado para auditores e consultores.
  • Curso de Implementador Líder da ISO 27001 – este curso de 5 dias ensinará a você como implementar a norma e é direcionado para praticantes de segurança da informação e consultores.
  • Curso de Auditor Interno ISO 27001 – este curso de 2 ou 3 dias ensinará a você o básico da norma e como realizar uma auditoria interna – ele é direcionado para iniciantes neste assunto e para auditores internos.

Veja também: Como aprender sobre a ISO 27001.

As versões 2005 e 2013 da ISO 27001

Como mencionado anteriormente, a ISO 27001 foi primeiramente publicada em 2005 e revisada em 2013 – então, a versão atual é a ISO/IEC 27001:2013.

As mudanças mais importantes na versão 2013 estão relacionadas a estrutura da parte principal da norma, partes interessadas, objetivos, monitoramento e medição; também, o Anexo A teve reduzido o número de controles de 133 para 114 e aumentado o número de seções de 11 para 14. Alguns requisitos foram excluídos da versão 2013, como ações preventivas e o requisito para documentar certos procedimentos.

Veja também Infográfico: Nova versão Iso 27001 2013 – O que mudou?

Contudo, todas estas mudanças na verdade não mudaram muito a norma como um todo – sua principal filosofia ainda é baseada na avaliação e tratamento de riscos, e as mesmas fases do ciclo PDCA permanecem. Esta nova versão da norma é mais fácil de ler e entender, e é muito mais fácil de integrar com outras normas de gestão como a ISO 9001, ISO 22301, etc.

As organizações que foram certificadas na ISO/IEC 27001:2005 devem fazer a transição para a nova versão 2013 até setembro de 2015 se desejam manter o certificado válido. Veja como fazer isso: Como fazer a transição da ISO 27001 versão 2005 para a versão 2013.

Normas relacionadas a segurança da informação e outras

ISO/IEC 27002 provê orientações para a implementação dos controles listados na ISO 27001. A ISO 27001 especifica 114 controles que podem ser utilizados para reduzir riscos de segurança, e a ISO 27002 pode ser bem útil porque ela disponibiliza detalhes sobre como implementar estes controles. A ISO 27002 era anteriormente referenciada como ISO/ IEC 17799, e surgiu a partir da norma Britânica BS 7799-1.

ISO/IEC 27004 provê orientações para a medição da segurança da informação – ela se ajusta bem com a ISO 27001 porque ela explica como determinar se o SGSI atingiu seus objetivos.

ISO/IEC 27005 provê orientações para a gestão de riscos de segurança da informação. Ela é um suplemento muito bom para a ISO 27001 porque dá detalhes sobre como realizar a avaliação de riscos, provavelmente o estágio mais difícil na implementação. A ISO 27005 surgiu a partir da norma Britânica BS 7799-3.

ISO 22301 define os requisitos para sistemas de gestão da continuidade do negócio – ela se ajusta bem com a ISO 27001 porque A.17 da ISO 27001 requer que a continuidade do negócio seja implementada sem contudo prover muitos detalhes. Aprenda mais sobre a ISO 22301 aqui…

ISO 9001 define os requisitos para sistemas de gestão da qualidade – embora em primeira vista gestão da qualidade e gestão da segurança da informação não tenham muito em comum, o fato é que 25% dos requisitos da ISO 27001 e ISO 9001 são os mesmos: controle de documentos, auditoria interna, análise crítica pela direção, ações corretivas, definição de objetivos e gestão de competências. Isto significa que se uma organização implementou a ISO 9001, ela terá um trabalho muito mais fácil para implementar a ISO 27001. Aprenda mais sobre a ISO 9001 aqui… 

rhand-circle

Rhand Leal
Especialista em 27001 para o Brasil

Você tem alguma questão sobre qualquer etapa?

Converse com nossos consultores gratuitamente

AGENDE UMA CONSULTORIA GRATUITA

Calculadora gratuita de Retorno sobre o Investimento em Segurança

Você já enfrentou uma situação onde lhe disseram que as medidas de segurança eram muito caras? Ou onde você encontrou muita dificuldade em explicar para a sua gerência quais as consequências se um incidente ocorresse? Provar que vale a pena investir em segurança é difícil, mas nossa calculadora de Retorno sobre o Investimento (Return on Security Investment – ROSI) pode ajudar você. Ela é completamente gratuita.

VEJA COMO FUNCIONA

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.