Anda di halaman 1dari 2

O que é a ISO 27001, afinal?

A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002 um


padrão britânico que trata da definição de requisitos para um Sistema Gestão
de Segurança da Informação. O padrão foi incorporado pela The International
Organization for Standardization (ISO), Instituição internacional com sede na
Suíça que cuida do estabelecimento de padrões internacionais de certificação
em diversas áreas. O Reino Unido é um grande provedor de regras e padrões,
pela tradição de precursor atividades de padronização desde a Revolução
Industrial. Podemos citar como exemplo de normas BS que foram incorporadas
pela ISO: BS5750 que virou ISO 9000 (Qualidade) e BS7550 que virou
ISO14000 (Meio Ambiente).

A norma ISO 27001:2005 é a norma BS7799-2:2002 revisada, com melhorias e


adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos
que as normas de sistemas de gestão já incorporaram. A revisão foi feita por
um comitê técnico de âmbito internacional, formado pela ISO e pelo IEC (The
International Eletrotechnical Comission) o ISO/IEC JTC 1, sub-comitê SC 27,
que através de um trabalho conjunto que ocorreu desde 2000 efetuou as
alterações que são a compilação de diversas sugestões que os membros deste
comitê apresentaram ao longo do trabalho, cujas reuniões de discussão e
apresentação dos resultados ocorreram em diversos países até o primeiro
semestre de 2005.

Um breve histórico da evolução da norma até chegar a ISO 27001:


- 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 -
Tecnologia da Informação - Código de prática para gestão da segurança da
informação)
- 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema
de gestão da Segurança da Informação - Especificações e guia para uso)
- 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da
Informação - Código de prática para gestão da segurança da informação)
- 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC
17799:2000 - Tecnologia da Informação - Código de prática para gestão da
segurança da informação também referenciada como BS ISO/IEC 17799:2000)

- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799


(NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para
gestão da segurança da informação)
- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema
de gestão da Segurança da Informação - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC
17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de
prática para gestão da segurança da informação);
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 -
Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da
Segurança da Informação - Requisitos).

Acompanhando o processo de evolução histórica apresentado acima, pode-se


observar que a norma ISO/IEC 17799, que é a evolução da BS7799-1,
incorporada pela ISO em 2000, também foi revisada, e ambas as normas, a
ISO/IEC 27001 e a ISO/IEC 17799, já estão alinhadas. O próximo passo será a
conversão da ISO/EC 17799:2005 em ISO/IEC 27002, previsto para 2007,
formando assim a família ISO/IEC 27000 que tratará aspectos mais amplos de
Segurança da Informação.

As mudanças mais relevantes na migração para norma ISO/IEC 27001


ocorreram na estrutura do SGSI (sistema de gestão de segurança da
informação), quando são destacados aspectos de auditoria interna e
indicadores de desempenho do sistema de gestão de segurança e no Anexo A
que passou a ter na ISO/IEC 27001 11 seções, pois foi incluída a seção Gestão
de Incidentes de Segurança da Informação:

¨5.Política de Segurança da Informação


¨6. Organizando a Segurança da Informação
¨7. Gestão de Ativos
¨8. Segurança em Recursos Humanos
¨9. Segurança Física e do Ambiente
¨10. Gerenciamento das Operações e Comunicações
¨11. Controle de Acessos
¨12. Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação
¨13. Gestão de Incidentes de Segurança da Informação
¨14. Gestão da Continuidade do Negócio
¨15. Conformidade

De acordo com órgãos certificadores será concedido um tempo para as


empresas certificadas em BS7799-2:2002 se adequarem a nova norma
ISO/IEC 27001. A média é de 1 ano e meio, então todas as empresa
certificadas, se quiserem manter o seu certificado, deverão se revisar seus
sistemas e passar por uma auditoria de recertificação migrando para a norma
ISO/IEC 27001. A tendência natural é que as empresas passem a buscar a
nova norma e aumente o número de certificações no mundo, devido a maior
aceitação do padrão ISO com referência universal.

¹ Ciclo PDCA de melhoria - ferramenta utilizada para garantir a evolução dos


sistemas de gestão nas normas ISO 9001 e ISO 14000, por exemplo, que
significa: P- planejar, D - executar, C - verificar, A - agir corretivamente.