A ISO/IEC 27001 e a ISO 27002 são normas internacionais publicadas pela Standardization Organization (ISO) e pela International Electrotechnical Commission (IEC). Elas definem, respectivamente, os requisitos e as melhores práticas para o Sistema de Gestão de Segurança da Informação (SGSI).
Enquanto as empresas podem ser certificadas pela ISO/IEC 27001, a 27002 funciona como um guia de práticas e controles que facilitam o alcance da primeira e pode ser usada em pequenas, médias e grandes companhias de todos os setores.
Empresas que aplicam as orientações dessas normas garantem um SGSI conforme orientações internacionais e usufruem de seus benefícios, entre eles redução de riscos e melhor organização de processos.
Série ISO 27000
As 45 normas desta família são projetadas com focos diferentes dentro da Segurança da Informação. Elas podem ser para implementação do SGSI, controles, métricas, avaliação e tratamento de riscos, auditoria, gestão e muitos outros objetivos. Dentre elas, apenas a ISO 27001 é auditável e os profissionais somente podem ser certificados na ISO 27002. Saiba mais sobre essas duas normas:
ISO 27001
Essa é uma norma de gestão que define os requisitos para a sua empresa possuir e administrar um Sistema de Gestão de Segurança da Informação certificado. Ela leva em consideração os ativos da companhia e as necessidades da área de negócio para definir a melhor forma de administrar o sistema. Em suma, isso significa que a segurança da informação deve ser planejada, implementada, monitorada, analisada e melhorada para seu nicho de trabalho. Com isso, todas as responsabilidades são definidas e os objetivos estabelecidos, medidos, analisados e auditados internamente.
Entre seus benefícios, estão:
- Redução de risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos
- Oportunidade de identificar e corrigir pontos fracos
- A segurança da informação passa a ser responsabilidade da alta gestão da companhia
- Permite revisão independente do sistema de gestão da segurança da informação
- Garante maior confiabilidade aos parceiros e clientes
- Aumenta a conscientização interna sobre segurança
- Combina recursos com outros Sistemas de Gestão
- Permite medir o sucesso do sistema
ISO 27002
Essa norma era o antigo padrão 17799:2005. Ela estabelece um código de melhores práticas para apoiar a implantação do Sistema de Gestão de Segurança da Informação (SGSI) nas organizações e tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização.
A ISO/IEC 27002 funciona como um guia completo de implementação, em que descreve como quais controles devem ser estabelecidos e de que forma. Ela tem como base uma avaliação de riscos dos ativos mais importantes da empresa.
É preciso lembrar que, em sua empresa, a tecnologia, as pessoas, a gestão, os processos, a segurança e os negócios estão interligados e é necessário saber lidar com a informação para garantir integridade, confidencialidade e disponibilidade.
Mesmo que a sua empresa não tenha interesse em ser auditada na norma ISO 27001, seguir as boas práticas da ISO 27002 pode ajudá-la a alcançar um Sistema de Gestão de Segurança da Informação mais robusto. Ao seguir suas orientações, você garantirá que a equipe (e os demais funcionários da companhia) tenha maior conscientização sobre a segurança da informação, fator fundamental para que seus dados não sejam acessados por terceiros não autorizados. Além disso, são vários os benefícios da aplicação da norma:
- Maior controle de ativos e informações estratégicas
- Identificação e correção de pontos fracos do Sistema
- Diferencial competitivo para clientes que valorizam a conformidade com normas internacionais
- Melhor organização dos processos
- Redução de custos com a prevenção de incidentes de segurança da informação
- Conformidade com a legislação e outras regulamentações.