As normas da família ISO/IEC 27000 convergem para um ponto, o Sistema de Gestão de Segurança da Informação (SGSI), tendo como as normas mais conhecidas as ISO 27001 e ISO 27002. Estão muito relacionadas à segurança de dados digitais ou sistemas de armazenamento eletrônico. O conceito de segurança da informação vai além do quesito informático e tecnológico, apesar de andarem bem próximos. O SGSI é uma forma de segurança para todos os tipos de dados e informações, e possui quatro atributos básicos: confidencialidade, integridade, disponibilidade e autenticidade.

Funcionalidades

Existem diversas normas nas séries da ISO 27000, e cada uma delas tem uma função específica, mas todas tem como o grande objetivo a criação, manutenção, melhoria, revisão, funcionamento e análise de um SGSI. As normas podem ser adotadas independente do tamanho ou tipo da empresa, e suas diretrizes buscam fazer com que não só as informações da organização, mas também os sistemas estejam seguros. As normas trazem estratégias e orientações que fazem com que o SGSI se adapte à empresa que deseja implementá-lo.

As diretrizes variam dos primeiros passos para a implementação de um sistema de gestão de segurança da informação até pontos mais específicos, como requisitos e orientações para organizações que prestarão serviços de certificação ou auditoria para empresas ou organizações que queiram implementar um SGSI. Existem diversos outras normas e outras funções relacionadas à segurança da informação.

Vantagens

A série de normas da ISO 27000 possui dois tipos de certificados, os de empresa e os para profissionais. Ambos trazem seus benefícios, mas normalmente os dois precisam estar sempre em conjunto, por isso listaremos as vantagens focando no certificado de empresas e no certificado da norma ISO 27001.

Uma empresa certificada com essa norma tem o reconhecimento de uma organização de padronização internacional, e apenas isso já traz confiabilidade e gera uma boa imagem para todas as partes interessadas: clientes, colaboradores, parceiros etc. Outro benefício é que as ISO 27000 também se comunicam com outros sistemas de gestão, como o de qualidade da série ISO 9000. A implementação das normas fará com que a empresa localize e corrija com mais eficácia falhas e pontos fracos no SGSI e revise-o com mais facilidade, além de dar uma consciência maior sobre a segurança da informação para o público interno.

Critérios de certificação

As normas mais conhecidas da família ISO 27000 são as 27001 e 27002, e é recomendável que sejam usadas em conjunto. O certificado da norma ISO 27002 é para profissionais, e as orientações e códigos de prática fazem com que seja mais fácil atingir os critérios para obter-se o certificado ISO 27001, que é direcionado para empresas. Cada uma dessas normas tem critérios diferentes para a certificação.

A norma 27001 segue o padrão para a certificação de outros sistemas de gestão da ISO, assim como a ISO 9000 e ISO 14000. Então, além da questão específica do sistema de gestão de segurança da informação, como diretrizes de implementação, é preciso se atentar para o monitoramento, funcionamento e um programa de melhoria do sistema. A certificação é realizada em duas etapas: a primeira é uma revisão mais documental, a segunda é uma auditoria mais detalhada.

Já a norma 27002 é uma certificação profissional, e os critérios para avaliar se uma pessoa é ou não qualificada para receber esse certificado são inspecionados com uma prova. O profissional precisa ter conhecimentos sobre conceitos de segurança de informação, riscos e ameaças, entre outros.

Normas ISO 27000

A família ISO/IEC 27000 é grande, existem diversas normas relacionadas à SGSI. Apresentaremos de forma breve algumas das normas mais conhecidas da série. São elas:

• ISO/IEC 27000 – Traz informações básicas sobre as normas da série.
• ISO/IEC 27001 – Bases para a implementação de um SGSI em uma organização.
• ISO/IEC 27002 – Certificação profissional, traz códigos de práticas para profissionais.
• ISO/IEC 27003 – Diretrizes mais específicas para implementação do SGSI.
• ISO/IEC 27004 – Normas sobre as métricas e relatórios do SGSI.
• ISO/IEC 27005 – Norma sobre gestão de riscos do SGSI.