Procurando soluções em ISO em segurança da informação ?

 

 

 

 

 

 


ISO em segurança da informação


Existem hoje duas normas ISO em segurança da informação, e para que se compreenda direito como funciona o processo, é importante conhecer a diferença entre as duas.

A ISO 17799 é “Code of practice for information security management” enquanto a ISO 27001 é “Information Security Management Systems – Requirements” Ou seja, a primeira é um "Guia de melhores de práticas" e a segunda é "requirementos para certificação” para sistema de gestão de segurança da informação".

Na primeira, você não é obrigado a seguir o que está escrito, pois são apenas RECOMENDAÇÕES, já na segunda, todos os itens são OBRIGATORIOS.

Isso significa conceitualmente que, a primeira não se trata de uma norma e sim de um guideline, enquanto a segunda sim é uma norma. E isso leva a outro ponto importantissimo, que é a questão da certificação. Não é possível certificar ISO 17799, pois ela é somente um guideline, enquanto que a ISO 27001, por ser uma norma, pode se obter a certificação através de uma empresa credenciada a fazer o serviço.

Vale lembrar ainda que existe a certificação BS 7799 (part1) que é a versão inglesa (Britanish Standart) e progenitora da ISO 17799, e que não há certificação BS 7799 (part2), mas sim a ISO 27001.

A ISO 27001 é uma norma que gere segurança na corporação, ou seja, cria um sistema de segurança (SGSI) dentro da sua empresa. Isso em nenhum momento garante segurança, mas com um sistema desses implementado, você consegue "ver" o problema de segurança muito mais facilmente. A norma contém controles de segurança macro, que devem ser interpretados mais profundamente e de maneira correta para serem eficientes. Podemos citar, por exemplo, o controle A.9.1.1 é Perímetro de Segurança Física. Esse controle diz que as áreas que você (security officer, gestor, diretor, etc...) definir como uma “área de segurança” devem ser protegidos por meios de barreiras lógicas ou físicas. Essa definição é muito abragente e pode ter várias interpretações. Nesse momento é que entra a ISO 17799, pois nessa ISO contem todos os controles que tem na ISO 27001 só que com explicações e exemplos de implementação. Ou seja, a iso 17799 pode ser usada como guia para se aingir a certificaçào 27001

Interessante acrescentar também que os controles não são co-relacionados, ou seja, um controle que na ISO 27001 é o número 10, não quer dizer que na ISO 17799 seja o mesmo número, até porque as duas normas tem revisão em tempos diferentes.

No processo de auditoria, como dito anteriormente, só existe a certificação ISO 27001, e é com base na ISO 27001 que a empresa é auditada, porém, por debaixo dos panos, a ISO 17799 é utilizada como referencia ou material de apoio. Outro ponto importante é o escopo da certificação. O selo 27001, contém um descritivo do escopo, ou seja quando uma empresa fala que é certificada ISO 27001, leia o selo porque ela pode ser certificada apenas no CPD, ou no setor financeiro. Nada impede que se faça isso, e também não é errado a empresa falar que é certificada 27001 quando se certifica apenas um CPD, pois se trata de uma jogada de marketing, porém quem quer usar isso como referencia para contratar o serviço de uma empresa, deve estar bem atento a esta questão para saber o que realmente esta comprando

Saiba mais sobre as nossas soluções em
ISO em segurança da informação

ATENDIMENTO ONLINE