FACULDADE DE TECNOLOGIA DO IPIRANGA CURSO DE ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

TIAGO GREGÓRIO DA SILVA

Principais tópicos da norma NBR ISO/IEC 27001:2006

SÃO PAULO 2013

Índice

1 Introdução ........................................................................................................ 3

2 Assunto da norma .............................................................................................. 4

3 Objetivos e aplicabilidade da norma ..................................................................... 4

4 Estabelecimento, implantação, monitoramento e melhoria contínua do SGSI ............ 4

5 Controles de documentos e registros .................................................................... 5

6 Responsabilidades da organização e da empresa .................................................... 5

Considerações finais .............................................................................................. 6

Referência bibliográfica .......................................................................................... 6

1 Introdução

Este trabalho abordará a Norma NBR ISO/IEC 27001:2006, que consiste na tradução

idêntica da norma ISSO/IEC 27001:2005. Este documento fornece um conjunto de

requisitos necessários ao estabelecimento de um Sistema de Gestão de Segurança da

Informação (SGSI), que pode ser desenvolvido por organizações que desejam realizar a

gestão de suas informações de acordo com a gestão de riscos de negócio.

A norma está dividida em oito seções e três anexos, que são:

• 0 – Introdução;

• 1 – Objetivo;

• 2 – Referência normativa;

• 3 – Termos e definições;

• 4 - Sistema de gestão de segurança da informação;

• 5 – Responsabilidades da direção;

• 6 – Auditorias internas do SGSI;

• 7 – Análise crítica do SGSI pela direção;

• 8 – Melhoria do SGSI;

• Anexo A – Objetivos de controle e controles;

• Anexo B – Princípios da OECD (Organisation For Economic Co-Operation and

Development) e desta Norma;

• Anexo C – Correspondência entre a ABNT ISO 9001:2000, a ABNT ISO

14001:2004 e esta Norma.

Este trabalho se aterá apenas aos tópicos mais relevantes da norma.

2 Assunto da norma

Na introdução, a norma propõe um modelo de gestão da informação que engloba ações

de estabelecimento, implementação, operação, monitoramento, análise crítica,

manutenção e melhoria contínua de um SGSI, cuja adoção pelas organizações deve ser

pautada por suas necessidades, objetivos, requisitos de segurança e processos

envolvidos, bem como seu tamanho e estrutura.

Para a adoção do modelo, a organização precisa identificar seus processos e disseminar

o entendimento da necessidade de estabelecimento de políticas, objetivos e

gerenciamento dos riscos de segurança da informação. Nesta direção, a norma adota o

modelo PDCA (Plan-Do-Check-Act), que serve para ordenar os processos do SGSI,

aglutinando os requisitos de segurança da informação, expectativa dos stakeholders,

ações necessárias e processos de segurança da informação, possibilitando avaliação e

melhoria contínua dos processos e a solução de problemas organizacionais relativos à

informação.

3 Objetivos e aplicabilidade da norma

A norma propaga a aplicabilidade do modelo a qualquer espécie de organização,

contemplando o meio público, privado e o terceiro setor. Assim como na introdução, diz

que fornece requisitos genéricos para estabelecimento, implementação, operação,

monitoramento, análise crítica, manutenção e melhoria contínua de um SGSI, levando

em consideração os riscos e as necessidades de cada atividade.

Para se considerar adequada a norma, a organização não pode suprimir qualquer um dos

requisitos elencados nas seções 4 a 8, alvo com justificativas e fornecimento de

comprovação de que os riscos inerentes foram aceitos pelas pessoas responsáveis.

Ainda, as exclusões não podem de forma alguma interferir na capacidade da organização

em prover segurança as suas informações, observadas as regulamentações legais.

4 Estabelecimento, implantação, monitoramento e melhoria contínua do SGSI

O estabelecimento é a fase onde a empresa se organiza para a adoção do SGSI,

seguindo estritamente os passos do PDCA. É aqui que se define o escopo, abrangência,

políticas e métodos de análise de avaliação, identificação, análise e avaliação de riscos.

São identificadas e avaliadas também as opções para tratar os riscos identificados. É

imprescindível, em todas as fases, o apoio e comprometimento da alta direção.

Após o estabelecimento, o SGSI entra em operação, atribuindo papéis e

responsabilidades, implementando um plano de tratamento de riscos e definindo como

medir a eficácia dos controles, que servirão para indicar o alcance dos objetivos

propostos. É fundamental que a política seja propagada por intermédio de treinamento e

conscientização daqueles que lidam com informações. Além disso, devem ser

desenvolvidos mecanismos que detectem e respondam a eventos e incidentes de

segurança da informação.

Em seguida, o SGSI deve ser avaliado e melhorado continuamente, por meio de

métricas, auditorias internas e externas, ameaças internas e externas, verificação de

novas necessidades, incorporação de novas tecnologias e mudanças no aspecto legal.

5 Controles de documentos e registros

A documentação do SGSI compreende a política, objetivos, procedimentos

documentados e controles, inclusive os relacionados aos processos de segurança da

informação. Além disso, qualquer espécie de ferramenta adotada para avaliação e

tratamento de riscos, relatórios decorrentes destas avaliações, controles de acesso,

eventos monitorados devem ser registradas. Um procedimento para criação, utilização,

atualização, versionamento e descarte de documentos deve ser desenvolvido, mitigando

os riscos relativos ao uso de documentos não oficiais, não divulgados ou desatualizados.

6 Responsabilidades da organização e da empresa

A alta direção deve estar alinhada e comprometida com todas as dimensões da adoção

do SGSI, desde o planejamento até o seu refinamento contínuo, passando pela garantia

de provimento de recursos financeiros, materiais e humanos para o sucesso e

perenidade da política. Ainda estão no bojo de responsabilidades da alta direção a

garantia de realização de auditorias, de análises críticas que indiquem fragilidades e

possibilidades de melhoria, bem como planos de ações corretivas e preventivas.

Considerações finais

A adoção de um padrão reconhecido internacionalmente é sempre sinal de compromisso

e seriedade na condução das várias dimensões que compõem as organizações. Esta

norma, em especial, é de relevância ímpar por se tratar de algo imprescindível: a

informação, cujo acesso na qualidade, tempo e por pessoas certas são fundamentais

para a continuidade dos negócios.

Além disso, certificar-se nesta norma, principalmente para empresas de comércio e

serviços, constitui-se em atestado de seriedade no tocante a gestão da segurança da

informação, agregando valor ao negócio e mostrando ao mundo que seus processos de

gestão da informação são confiáveis.

Referência bibliográfica

ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Disponível em: <http://www.vazzi.com.br/moodle/pluginfile.php/135/mod_resource/content/1/ISO-IEC-27001.pdf> . Acesso em: 15/03/2012.