Esta é a norma
que nos auxilia a manter a ordem e organizar muitas empresas no que tange a
Segurança da Informação, a mesma nos guia como realizar uma analise de risco,
quais controles são necessários para se possuir um ambiente mais seguro, entre
outras.
Atualmente
muitas empresas querem manter o seu ambiente mais seguro, porém não fazem a
menor idéia de qual será o ponto de inicio e nem os controles básicos devem ser
criados, esta família tem exatamente esta função.
Segue abaixo a
estrutura da família ISO 27000:
ISO 27001: norma
que trata a certificação do Sistema de Gerenciamento de Segurança da
Informação, ou seja, ela apresenta os requisitos para que uma empresa obtenha
esta certificação, mas a mesma não entra em detalhes com relação aos controles
necessários para obter tais requisitos.
ISO 27002:
apresenta uma série de controles que podem ser implementados, além de explicar
e orientar a necessidade de tais controles dentro de uma organização.
ISO 27003: guia
de implementação de um Sistema de Gerenciamento de Segurança da Informação
baseado no PDCA.
ISO 27004:
métricas de Gestão de Segurança da Informação.
ISO 27005: norma
que trata a gestão de risco, esta norma está ganhando muita força, pois a mesma
trata de aspectos financeiros, ou seja, ela mostra através de conceitos o
quanto uma empresa pode perder financeiramente com a falta de alguns controles.
Muitos irão ler
este artigo e dizer “não tem nenhuma novidade neste artigo”, esta frase esta
correta, uma busca rápida no Google e você encontrará inúmeros sites explicando
estas normas, mas a minha idéia é apresentar a norma e iniciar uma discussão,
em alguns anos de experiência só atuei em uma empresa que estava em compliance
com algumas destas normas, para ser mais
sincero, eu participei do processo de certificação. O nosso pais não dá o
verdadeiro valor para estas normas, se metade das empresas tivessem um
profissional certificado na norma ISO 27002, a nossa vida seria muito mais fácil, mas
não é o que vemos.
Apenas para
finalizar este artigo vou explicar uma duvida que muitos profissionais possuem:
Certificação ISO
27001: titulo concedido a empresa que esta em compliance com a norma ISO 27001.
Certificação ISO
27002: titulo concedido ao profissional que passar no exame de certificação aplicado
pelo EXIN, esta prova trata de assuntos conceituais e alguns pontos que estão
na norma ISO 27002.
Auditor Leader 27001: curso que habilita o
profissional a executar a auditoria no processo de certificação das empresas
que querem obter a certificação ISO 27001.
Nenhum comentário:
Postar um comentário