ISO 27001

Origem: Wikipdia, a enciclopdia livre.

ISO/IEC 27001 um padro para sistema de gesto da segurana da informao (ISMS
- Information Security Management System) publicado em outubro de 2005 pelo
International Organization for Standardization e pelo International Electrotechnical
Commission. Seu nome completo ISO/IEC 27001:2005 - Tecnologia da informao tcnicas de segurana - sistemas de gerncia da segurana da informao - requisitos
mais conhecido como ISO 270011 .
Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana
da Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para
uma organizao. A especificao e implementao do SGSI de uma organizao so
influenciadas pelas suas necessidades e objetivos, exigncias de segurana, os processos
empregados e o tamanho e estrutura da organizao.
Este padro o primeiro da famlia de segurana da informao relacionado aos padres
ISO que espera-se sejam agrupados srie 27000. Outros foram includos
antecipadamente:

ISO 27000 - Vocabulrio de Gesto da Segurana da Informao (sem data de

publicao);

ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma
BS 7799-2 para certificao de sistema de gesto de segurana da informao;

ISO 27002 - Esta norma ir substituir em 2006/2007 o ISO 17799:2005 (Cdigo

de Boas Prticas);

ISO 27003 - Esta norma abordar as diretrizes para Implementao de Sistemas

de Gesto de Segurana da Informao, contendo recomendaes para a
definio e implementao de um sistema de gesto de segurana da informao.
Dever ser publicada em 2006;

ISO 27004 - Esta norma incidir sobre as mtricas e relatrios de um sistema de

gesto de segurana da informao. A sua publicao dever ocorrer em 2007;

ISO 27005 - Esta norma ser constituda por indicaes para implementao,
monitoramento e melhoria contnua do sistema de controles. O seu contedo
dever ser idntico ao da norma BS 7799-3:2005 Information Security
Management Systems - Guidelines for Information Security Risk Management,
a publicar em finais de 2005. A publicao da norma ISO 27005 ocorreu em
meados de 2008;

ISO 27006 - Esta norma especifica requisitos e fornece orientaes para os

organismos que prestem servios de auditoria e certificao de um sistema de
gesto da segurana da informao.

ISO 27001 foi baseado e substitui o BS 7799 parte 2, o qual no mais vlido.

ndice

1 Certificao

2 Estgios

3 Referncias

4 Ligaes externas

Certificao
A srie ISO 27000 est de acordo com outros padres de sistemas de gerncia ISO,
como ISO 9001 (sistemas de gerncia da qualidade) e ISO 14001 (sistemas de gerncia
ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as
melhores prticas com padres de certificao.
Certificaes de organizao com ISMS ISO/IEC 27001 um meio de garantir que a
organizao certificada implementou um sistema para gerncia da segurana da
informao de acordo com os padres. Credibilidade a chave de ser certificado por
uma terceira parte que respeitada, independente e competente. Esta garantia d
confiana gerncia, parceiros de negcios, clientes e auditores que uma organizao
sria sobre gerncia de segurana da informao - no perfeita, necessariamente, mas
est rigorosamente no caminho certo de melhora contnua.
A ABNT - A Associao Brasileira de Normas Tcnicas (ABNT) elaborou a NBR
ISO/IEC 27001:2006 que uma traduo idntica da ISO/IEC 27001:2005, que foi
elaborada pelo Join Technical Committee Information Technology (ISO/IEC/JTC 1),
subcommittee IT Security Tecchniques (SC 27).
Certificao ISO/IEC 27001 geralmente envolve um processo de auditoria em dois
estgios:

Estgios
Estgio um uma anlise preliminar, informal do SGSI, na verificao da existncia e
completude da documentao chave como a poltica de segurana da informao da
organizao, Declarao de Aplicabilidade (do ingls Statement of Applicability - SoA)
e Plano de Tratamento de Risco (PTR).
Estgio dois um detalhamento, com auditoria em profundidade envolvendo a
existncia e efetividade do controle ISMS declarado no SoA e PTR, bem como a

documentao de suporte. A renovao do certificado envolve revises peridicas e redeclarao confirmando que o ISMS continua operando como desejado.