A ABNT NBR ISO/IEC 27001 Sistemas de gesto de segurana da informao Requisitos especifica requisitos para um Sistema de Gesto de Segurana

na da Informao (SGSI). E o que um SGSI? um sistema de gesto desenvolvido para a segurana da informao de uma organizao, baseado em uma abordagem de riscos do negcio. O documento da norma estruturado em oito sees. As sees 0 a 3 referem-se Introduo, Objetivo, Referncia Normativa e Termos e Definies. J os requisitos propriamente ditos se localizam nas sees 4 a 8. Para facilitar o entendimento, sero apresentadas primeiramente as sees 0 a 2. A seo 3 referente aos Termos e Definies no ser abordada. Apenas quando se fizer necessrio, um ou outro termo ser aqui esclarecido.

Seo 0 Introduo
A norma sugere a adoo de uma abordagem de processo para um SGSI, ou seja, que a organizao deve identificar e gerenciar os processos envolvidos em um Sistema de Gesto de Segurana da Informao, bem como reconhecer suas interaes. Alm disso, a ABNT NBR ISO/IEC 27001 tambm adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA uma ferramenta gerencial que possibilita a melhoria contnua de processos e a soluo de problemas.

Figura 1 Ciclo PDCA aplicado aos processos de um Sistema de Gesto de Segurana da Informao. Fonte: ABNT, 2006, p. v. Ressalta-se que a ABNT NBR ISO/IEC 27001 est alinhada s normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatvel com outros sistemas de gesto.

Seo 1 Objetivo
A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementao, operao, monitorao, anlise crtica, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao (SGSI). Os requisitos so genricos de maneira a permitir que sejam aplicveis a quaisquer organizaes, independentemente do tipo, tamanho e natureza.

 importante salientar que no aceitvel que uma organizao que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas sees 4 a 8. Porm, observado que: Qualquer excluso de controles considerada necessria para satisfazer aos critrios de aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas. Onde quaisquer controles forem excludos, reivindicaes de conformidade a esta Norma no so aceitveis, a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidade de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis (ABNT, 2006, p. 2).

Seo 2 Referncia Normativa

A norma ABNT NBR ISO/IEC 17799:2005 referenciada como indispensvel para a aplicao da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituda pela ABNT NBR ISO/IEC 27002. Voc pode saber um pouco mais sobre essa norma em Conhea a NBR ISO/IEC 27002 Parte 1 No prximo artigo, sero abordados os requisitos da norma ABNT NBR ISO/IEC 27001.

Referncia Bibliogrfica
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27001 Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. ABNT, 2006.