Conhecendo a ABNT NBR ISO/IEC 27001 – SGSI – Parte 1

ABNT NBR ISO/IEC 27001 – Sistemas de gestão de segurança da informação – Requisitos especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).

E o que é um SGSI?

É um sistema de gestão desenvolvido para a segurança da informação de uma organização, baseado em uma abordagem de riscos do negócio.

O documento da norma é estruturado em oito seções. As seções 0 a 3 referem-se à IntroduçãoObjetivoReferência NormativaTermos e Definições. Já os requisitos propriamente ditos se localizam nas seções 4 a 8. Para facilitar o entendimento, serão apresentadas primeiramente as seções 0 a 2. A seção 3 referente aos Termos e Definições não será abordada. Apenas quando se fizer necessário, um ou outro termo será aqui esclarecido.

Seção 0 – Introdução

A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 também adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI.

O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas.

Ciclo PDCA aplicado ao SGSI

Figura 1 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

Ressalta-se que a ABNT NBR ISO/IEC 27001 está alinhada às normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatível com outros sistemas de gestão.

Seção 1 – Objetivo

A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações, independentemente do tipo, tamanho e natureza.

É importante salientar que não é aceitável que uma organização que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas seções 4 a 8. Porém, é observado que:

“Qualquer exclusão de controles considerada necessária para satisfazer aos critérios de aceitação de riscos precisa ser  justificada  e  as  evidências  de  que  os  riscos  associados  foram  aceitos  pelas  pessoas  responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2).”

Seção 2 – Referência Normativa

A norma ABNT NBR ISO/IEC 17799:2005 é referenciada como indispensável para a aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR ISO/IEC  27002. Você pode saber um pouco mais sobre essa norma em Conheça a NBR ISO/IEC 27002 – Parte 1

No próximo artigo, serão abordados os requisitos da norma ABNT NBR ISO/IEC 27001.

Referência Bibliográfica

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. ABNT, 2006.

Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 2

Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 3

Aléxia Lage de Faria

Mais artigos deste autor »

Agile Coach, com experiência nas áreas de Segurança da Informação, Qualidade (ISO 9001) e Qualidade de Software.


3 Comentários

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!