A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma organização. A versão mais recente desta norma foi publicada em 2013, e seu título completo agora é ISO/IEC 27001:2013. A primeira versão desta norma foi publicada em 2005, e foi desenvolvida com base na Norma Britânica BS 7799-2.
A ISO 27001 pode ser implementada em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, pequena ou grande. Ela é escrita pelos melhores especialistas mundiais no campo de segurança da informação e provê metodologia para a implementação da gestão da segurança da informação em uma organização. Ela também possibilita que organizações obtenham certificação, o que significa que um organismo certificador independente confirmou que uma organização implementou a segurança da informação em conformidade com a ISO 27001.
A ISO 27001 tornou-se a mais popular norma de segurança da informação no mundo e muitas organizações foram certificadas tendo-a como referência – aqui você pode ver o número de certificados nos últimos anos:
Fonte: Pesquisa da ISO sobre Certificações em Normas de Sistemas de Gestão
O foco da ISO 27001 é proteger a confidencialidade, integridade e disponibilidade da informação de uma organização. Isto é feito identificando-se quais potenciais problemas podem ocorrer com a informação (i.e. avaliação de risco), e então definindo quais necessidades devem ser atendidas para prevenir tais problemas de ocorrerem (i.e. mitigação de risco ou tratamento de risco).
Desta forma, a principal filosofia da ISO 27001 é baseada na gestão de riscos: descobrir onde os riscos estão, e então trata-los sistematicamente:
As salvaguardas (ou controles) que são implementadas em geral estão na forma de políticas, procedimentos e implementações técnicas (i.e. software e equipamento). Contudo, em muitos casos as organizações já possuem todo o hardware e software instalado, mas estão utilizando-os de forma insegura – desta forma, a maioria das implementações da ISO 27001 serão sobre definir as regras organizacionais (i.e. documentos escritos) que são necessárias de modo a prevenir brechas de segurança.
Uma vez que tal implementação irá requerer a gestão de múltiplas políticas, procedimentos, pessoas, ativos, etc., a ISO 27001 descreve como encaixar todos estes elementos de forma coerente no sistema de gestão de segurança da informação (SGSI).
Desta forma, gerir a segurança da informação não trata apenas de segurança em TI (i.e. fierwalls, anti-virus, etc.) mas também sobre gerenciar processos, proteção legal, recursos humanos, proteção física, etc.
Veja também A lógica básica da ISO 27001: Como a segurança da informação funciona?
Existem 4 benefícios de negócio essenciais que uma organização pode atingir com a implementação desta norma de segurança da informação:
Conformidade com requsitos legais – existem cada vez mais leis, regulamentações e requisitos contratuais relacionados a segurança da informação, e a boa notícia é que muitos deles podem ser resolvidos pela implementação da ISO 27001 – esta norma dá a você uma metodologia perfeita para estar em conformidade com todos estes requisitos.
Obter vantagem de marketing – se sua organização obtem a certificação e seus competidores não, você pode ter vantagem sobre eles na visão de clientes que são sensíveis a questão de manter suas informações seguras.
Reduzir custos – a principal filosofia da ISO 27001 é prevenir incidentes de segurança de ocorrerem; e cada incidente, sendo este grande ou pequeno custa dinheiro – desta forma, ao prevenir incidentes sua organização economizará uma quantidade significativa de dinheiro. E a melhor coisa de tudo – investimento na ISO 27001 é muito menor do que a economia em custo que você obterá.
Melhor organização – tipicamente, organizações que crescem rápido não tem tempo para fazer uma pausa e definir seus processos e procedimentos – e como uma consequência, muito frequentemente os empregados não sabem o que precisa ser feito, quando e por quem. A implementação da ISO 27001 ajuda a resolver tal situação porque ela encoraja as organizações a escrever seus principais processos (mesmo aqueles que não são relacionados a segurança), possibilitando a elas reduzir a perda de tempo de seus empregados.
Veja também Calculadora Gratuita para cálculo do Retorno sobre o Investimento em Segurança
Essencialmente, a segurança da informação é parte da gestão geral de riscos em uma organização, com sobreposição em áreas de cyber segurança, gestão da continuidade do negócio e gestão de TI:
A ISO / IEC 27001 é dividia em 11 seções e Anexo A, onde as seções de 0 a 3 são introdutórias (e não são obrigatórias para a implementação), enquanto as seções de 4 a 10 são obrigatórias – significando que todos os seus requisitos devem ser implementados em uma organização se ela quer estar em conformidade com a norma. Controles do Anexo A devem ser implementados apenas se declarados como aplicáveis na Declaração de Aplicabilidade.
De acordo com o Anexo SL das Diretivas ISO / IEC da International Organization for Standardization, os títulos das seções da ISO 27001 são os mesmos da ISO 22301:2012, na nova ISO 9001:2015, e outras normas de gestão, permitindo uma integração mais fácil destas normas.
Seção 0: Introdução – explica o propósito da ISO 27001 e sua compatibilidade com outras normas de gestão.
Seção 1: Escopo - explica que esta norma é aplicável a qualquer tipo de organização.
Seção 2: Referência normativa - refere-se a ISO / IEC 27000 como uma norma onde termos e definições são dadas.
Seção 3: Termos e definições - novamente, refere-se a ISO / IEC 27000.
Seção 4: Contexto da organização - esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para o entendimento de assuntos externos e internos, partes interessadas e seus requisitos, e a definição do escopo do SGSI.
Seção 5: Liderança - esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define as responsabilidades da Alta Direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de segurança da informação de alto nível.
Seção 6: Planejamento - esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos para a avaliação de risco, tratamento de risco, Declaração de Aplicabilidade, plano de tratamento de risco, e define os objetivos de segurança da informação.
Seção 7: Apoio - esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define requisitos de disponibilidade de recursos, competências, conscientização, comunicação e controle de documentos e registros.
Seção 8: Operação - esta seção é parte da etapa execução (Do) do ciclo PDCA e define a implementação da avaliação e tratamento de risco, assim como controles e outros processos necessários para atingir os objetivos de segurança da informação.
Seção 9: Avaliação do desempenho - esta seção é parte da etapa verificação (Check) do ciclo PDCA e define requisitos para o monitoramento, medição, análise, avaliação, auditoria interna e análise crítica pela Direção.
Seção 10: Melhoria - esta seção é parte da etapa de atuação (Act) do ciclo PDCA e define requisitos para não conformidades, ações corretivas e melhoria contínua.
Anexo A - este anexo disponibiliza um catálogo de 114 controles (salvaguardas) distribuídos em 14 seções (seções de A.5 até A.18).
Veja também: O ciclo PDCA foi removido das novas normas ISO?
Para implementar a ISO 27001 em uma organização, você tem que seguir estas 16 etapas:
1) Obter apoio da Alta Direção
2) Utilizar metodologia de gerenciamento de projeto
3) Definir o escopo do SGSI
4) Escrever a política de segurança da informação de alto nível
5) Definir a metodologia de avaliação de risco
6) Realizar a avaliação de risco de o tratamento de risco
7) Escrever a Declaração de Aplicabilidade
8) Escrever o Plano de tratamento de risco
9) Definir como medir a eficácia de seus controles e do seu SGSI
10) Implementar todos os controles e procedimentos aplicáveis
11) Implementar programas de treinamento e conscientização
12) Realizar todas as operações diárias prescritas pela documentação do seu SGSI
13) Monitorar e medir seu SGSI
14) Realizar auditoria interna
15) Realizar análise crítica pela direção
16) Implementar ações corretivas
Para explicações mais detalhadas sobre estas etapas veja Lista de verificação para implementação da ISO 27001.
A ISO 27001 requer que a seguinte documentação seja escrita:
E estes são os registros obrigatórios:
Claro, uma organização pode decidir escrever documentos de segurança adicionais se considerar necessário.
Para ver explicações mais detalhadas de cada um destes documentos faça o download do artigo Lista de Verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013).
Existem dois tipos de certificação ISO 27001: (a) para organizações, e (b) para indivíduos. Organizações pode ser certificadas para provar que elas estão em conformidade com todas as cláusulas mandatórias da norma; indivíduos podem participar de cursos e passar em exames para obter o certificado.
Para obter a certificação como uma organização, ela deve implementar a norma como explicado nas seções anteriores, e então se submeter a uma auditoria de certificação realizada por um organismo de certificação. A auditoria de certificação é realizada nos seguintes estágios:
Veja também Tornando-se certificado ISO 27001 – Como se preparar para a auditoria de certificação.
Indivíduos podem participar de vários cursos para obter certificados – os mais populares são:
Veja também: Como aprender sobre a ISO 27001.
Como mencionado anteriormente, a ISO 27001 foi primeiramente publicada em 2005 e revisada em 2013 – então, a versão atual é a ISO/IEC 27001:2013.
As mudanças mais importantes na versão 2013 estão relacionadas a estrutura da parte principal da norma, partes interessadas, objetivos, monitoramento e medição; também, o Anexo A teve reduzido o número de controles de 133 para 114 e aumentado o número de seções de 11 para 14. Alguns requisitos foram excluídos da versão 2013, como ações preventivas e o requisito para documentar certos procedimentos.
Veja também Infográfico: Nova versão Iso 27001 2013 – O que mudou?
Contudo, todas estas mudanças na verdade não mudaram muito a norma como um todo – sua principal filosofia ainda é baseada na avaliação e tratamento de riscos, e as mesmas fases do ciclo PDCA permanecem. Esta nova versão da norma é mais fácil de ler e entender, e é muito mais fácil de integrar com outras normas de gestão como a ISO 9001, ISO 22301, etc.
As organizações que foram certificadas na ISO/IEC 27001:2005 devem fazer a transição para a nova versão 2013 até setembro de 2015 se desejam manter o certificado válido. Veja como fazer isso: Como fazer a transição da ISO 27001 versão 2005 para a versão 2013.
ISO/IEC 27002 provê orientações para a implementação dos controles listados na ISO 27001. A ISO 27001 especifica 114 controles que podem ser utilizados para reduzir riscos de segurança, e a ISO 27002 pode ser bem útil porque ela disponibiliza detalhes sobre como implementar estes controles. A ISO 27002 era anteriormente referenciada como ISO/ IEC 17799, e surgiu a partir da norma Britânica BS 7799-1.
ISO/IEC 27004 provê orientações para a medição da segurança da informação – ela se ajusta bem com a ISO 27001 porque ela explica como determinar se o SGSI atingiu seus objetivos.
ISO/IEC 27005 provê orientações para a gestão de riscos de segurança da informação. Ela é um suplemento muito bom para a ISO 27001 porque dá detalhes sobre como realizar a avaliação de riscos, provavelmente o estágio mais difícil na implementação. A ISO 27005 surgiu a partir da norma Britânica BS 7799-3.
ISO 22301 define os requisitos para sistemas de gestão da continuidade do negócio – ela se ajusta bem com a ISO 27001 porque A.17 da ISO 27001 requer que a continuidade do negócio seja implementada sem contudo prover muitos detalhes. Aprenda mais sobre a ISO 22301 aqui…
ISO 9001 define os requisitos para sistemas de gestão da qualidade – embora em primeira vista gestão da qualidade e gestão da segurança da informação não tenham muito em comum, o fato é que 25% dos requisitos da ISO 27001 e ISO 9001 são os mesmos: controle de documentos, auditoria interna, análise crítica pela direção, ações corretivas, definição de objetivos e gestão de competências. Isto significa que se uma organização implementou a ISO 9001, ela terá um trabalho muito mais fácil para implementar a ISO 27001. Aprenda mais sobre a ISO 9001 aqui…
Para saber mais sobre a implementação da ISO 27001, por favor, visite nossa página ISO 27001 Download gratuito. Você encontrará vários recursos úteis.