Contato

Carreira

Termos de Uso

Home

Print

Segurança de Informação

ISO/IEC 27001

O governo, a indústria, os cidadãos e a sociedade dependem de inúmeras informações críticas (por exemplo, energia, abastecimento de água, transporte, setor financeiro, telecomunicações e serviços de cuidado médico). A necessidade de evitar rupturas nessas infra-estruturas é crucial. A segurança da informação é outro aspecto a se considerar. A informação é um bem de qualquer negócio e pode variar desde informação digital, documentos impressos e bens materiais (computadores e redes) até o conhecimento de funcionários individuais. Eventos que afetam a integridade, a confiabilidade e a disponibilidade de informações podem afetar a habilidade da empresa em manter seus negócios, causando impacto nas finanças e na credibilidade. De acordo com a Avaliação de Crimes por Computador e Segurança do CSI/FBI de 2006, entrevistados estimam que as perdas causadas por vários tipos de incidentes de segurança dos computadores alcançaram um total de US$52.494.290 em 2006 (haviam 313 pesquisados que estavam dispostos e habilitados a estimar as perdas).

A segurança da informação é definida como a preservação da confiabilidade, integridade e capacidade de informação. O ISO/IEC 27001:2005 é um Padrão Internacional que especifica os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um sistema de gerenciamento de informação documentado dentro do contexto geral de riscos empresariais da organização. Ele também fornece uma estrutura para a implementação de alguns princípios dados nas diretrizes da OECD ( Organização para o Desenvolvimento e Cooperação Econômica)  para a Segurança dos Sistemas e Redes de Informação usando o modelo PDCA ( Planejar – Fazer – Checar – Agir) e um método de processamento.

O ISO/IEC 27001 é baseado no BS 7799 e tem sido alinhado a outros padrões internacionais para sistemas de gestão, como o ISO 9001:2000 para sistemas de gestão da qualidade e  ISO 14001:2004 para sistemas de gestão ambiental. Alguns dos requisitos comuns a todos esses padrões são:

  • Estabelecimento de políticas e objetivos
  • Atividades de monitoramento, revisão e melhorias
  • Treinamento, cuidados e competências
  • Auditorias internas e revisões gerenciais 

Além disso, este padrão exige a definição de um método de avaliação de risco; identificação, análises e cálculo de risco; identificação e análise de opções para o tratamento de riscos e seleção de objetivos de controle e controles para o tratamento dos riscos identificados. O anexo A do padrão ISO/IEC 27001 fornece uma lista de objetivos de controle e controles que são diretamente derivados e alinhados com aqueles listados nas cláusulas de 5 a 15 do ISO/IEC 17799:2005, o que também fornece dicas das melhores práticas de implementação e direção em apoio aos controles encontrados no ISO/IEC 17799:2005.

O ABS Quality Evaluations tem um time de auditores de sistemas de gestão da qualidade altamente qualificados, prontos para conduzir avaliações de sistemas de gestão de segurança da informação de acordo com os requisitos do ISO/IEC 27001:2005.