Publicação

ISO 27001 e ISO 27002

foto de
Fernando Palma CONTEÚDO EM DESTAQUE

Quais os objetivos das ISO 27001 e ISO 27002?

São tantas as normas disponíveis e exigidas hoje pelo mercado que costumamos ficar confusos com o escopo e objetivo de cada uma. Nesta publicação irei diferenciar duas Normas relacionadas com a Segurança da Informação: ISO 27001 e ISO 27002 .

Antes, não custa realizar uma introdução a sigla ISO :

A ISO - “International Organization for Standardization” é uma organização  sediada em Genebra, na Suiça. Foi fundada em 1946.  O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.


A ISO 27001


É a norma internacional que define os Requisitos para Sistemas de Gestão de Segurança da Informação. Ela ajuda a empresa a adotar um sistema de gestão da segurança da Informação que permita mitigar os riscos de segurança atribuídos a seus ativos e adequar as necessidades a área de negócio.

Alguns benefícios propostos pela Norma ISO 27001
  • Reduz o risco de responsabilidade pela não implementação ou determinação
  • de políticas e procedimentos
  • Oportunidade de identificar e corrigir pontos fracos
  • A alta direção assume a responsabilidade pela segurança da informação
  • Permite revisão independente do sistema de gestão da segurança da
  • informação
  • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes
  • Melhor conscientização sobre segurança
  • Combina recursos com outros Sistemas de Gestão
  • Mecanismo para se medir o sucesso do sistema
Estrutura da Norma ISO 27001
  1. Introdução
  2. Objetivo
  3. Referência normativa
  4. Termos e definições
  5. Sistema de gestão de segurança da informação
  6. Responsabilidade da direção
  7. Auditorias internas do SGSI
  8. Análise crítica do SGSI pela direção
  9. Melhoria do SGSI
A certificação ISO 27001 pode ser obtida por empresas e não por profissionais.

A ISO 27002


É recomendável que a ISO 27001 seja utilizada em conjunto com a 27002 , que  é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação , facilitando atingir os requisitos especificados pela Norma ISO 27001.


A ISO 27002 fornece um conjunto de Controles baseados em melhores práticas para a Segurança da Informação. Ela não deve ser utilizada em auditorias mas simplesmente servir como um guia. A Norma está dividida em 11 capítulos.

Ao contrário da ISO 27001, a certificação ISO 27002 pode ser obtida por profissionais. Ela corresponde a antiga certificação ISO 17799 .

Veja um Guia Completo para a certificação ISO 27002 .

Comentários