ABNT NBR ISO/IEC 27001:2013 Sistemas de gestão da segurança da informação

ABNT ISO 27001Vamos falar um pouco sobre algumas publicações que tratam de segurança em um nível conceitual abordando primeiramente o Sistema de Gestão de Segurança da Informação proposto pela ABNT NBR ISO/IEC 27001:2013 Sistemas de gestão da segurança da informação, iremos abordar alguns livros que fazem parte e complementam os requisitos desta norma.

A ISO (International Organization for Standardization) é uma organização fundada em 1946 com sede na Suíça, tem como principal objetivo desenvolver e promover normas e padrões que possam ser utilizados em todo o mundo. Já presente em cerca de 163 países que integram esta organização, no Brasil a entidade normativa é a ABNT – Associação Brasileira de Normas Técnicas.

A norma ABNT NBR ISO/IEC 27.001:2013 define o requisito para o Sistema de Gestão de Segurança da Informação ou SGSI, de acordo com a política da ISO cada norma deve ser revisada a períodos de 5 anos, os principais contribuidores desta revisão são profissionais de Segurança da Informação em todo mundo que revisam e atualizam com metodologias atuais, testadas e discutidas em comitês regionais e internacionais.

Está norma oferece diretrizes para práticas do SGSI contém 14 seções, 35 objetivos e 114 controles

Seção:

  • Possui um ou mais objetivos de controle.

Objetivo:

  • Declara o que se espera que seja alcançado.

Controles:

  • Determina o que deve conter para atingir os objetivos.

Diretrizes:

  • Informa o caminho a seguir, apoiando a implementação.

Informações Adicionais

  • Dicas para melhor entendimento e considerações sobre o controle, indicando outras normas, questões legais, etc.

Está norma é aplicável a qualquer organização independente do ramo de atividade, porte ou localidade, utilizada por organizações que pretendem implementar o SGSI baseado na ISO 27001 com a meta de certificação ou não da norma.

Um fator crítico para implementação de qualquer mudança cultural no negócio é o apoio e comprometimento da alta gestão da empresa algumas vezes na pessoa do presidente, conselho administrativo ou qualquer outra entidade que, para isso  pode ser utilizada uma carta de comprometimento do presidente ou conselho administrativo ou uma política de segurança de 01 página “One page document” que reduz todos os critérios da segurança da informação em apenas um documento “mestre” que deverá ser desdobrado em normas, processo e procedimentos.

No próximo post falaremos sobre a ABNT NBR ISO/IEC 27.002:2013 Código de Prática para Controles de Segurança da Informação.

Ricardo Lino

Profissional de Tecnologia da Informação há 17 anos, tendo os últimos 7 anos na área de Segurança da Informação, Risco&Fraude e Compliance, projetando e definindo as melhores soluções, alinhando as melhores práticas de mercado as metas de negócio, provendo transformações internamente e externamente mantendo uma Governança de segurança da informação, gestão de risco para elevar a maturidade das empresas, são o que eu faço melhor.

2 comentários em “ABNT NBR ISO/IEC 27001:2013 Sistemas de gestão da segurança da informação

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *