ISO 27001 & BS 25999

Se você se deparou com a ISO 27001 e a ISO 27002, provavelmente notou que a ISO 27002 é muito mais detalhada, muito mais precisa. Então, qual é o propósito da norma ISO 27001?

Em primeiro lugar, você não pode obter a certificação ISO 27002 porque ela não é uma norma de gestão. O significa ser uma norma de gestão? Significa que essa norma define como administrar um sistema. No caso da ISO 27001, ela define o sistema de gestão da segurança da informação (SGSI), portanto, a certificação para a ISO 27001 é possível.

Esse sistema de gestão significa que a segurança da informação deve ser planejada, implementada, monitorada, analisada e aperfeiçoada. Significa que a gestão tem suas responsabilidades definidas, que os objetivos devem ser estabelecidos, medidos e analisados, que deve haver auditorias internas e assim por diante. Todos esses elementos são definidos na norma ISO 27001, mas não na ISO 27002.

Os controles da ISO 27002 tem os mesmos nomes do Anexo A da ISO 27001. Por exemplo, na norma ISO 27002 6.1.6, o controle é chamado de Contato com autoridades, enquanto na norma ISO 27001 é A.6.1.6 Contato com autoridades. Porém, a diferença está no nível de detalhamento – em média, a ISO 27002 explica um controle em uma página inteira, enquanto a ISO 27001 dedica apenas uma frase para cada controle.

Por fim, a diferença é que a ISO 27002 não faz distinção entre os controles aplicáveis a uma determinada organização, e aqueles que não são. Por outro lado, a ISO 27001 determina uma avaliação de riscos a ser executada a fim de identificar, para cada controle, se ela é necessária para diminuir os riscos, e se for, em que medida deve ser aplicada.

A pergunta é: por que essas duas normas existem separadamente, porque não foram fundidas, reunindo os lados positivos de ambas as normas? A resposta é a usabilidade: se fosse uma única norma, ela seria muito complexa e muito grande para uso prático.

Cada norma da série ISO 27000 é projetada com um determinado foco. Se você quiser construir os alicerces da segurança da informação em sua organização e definir sua estrutura, deve usar a ISO 27001; se você quiser implementar controles, deve usar a ISO 27002; se você quiser realizar avaliação de riscos e tratamento de riscos, deve usar a ISO 27005 etc.

Para concluir, poderíamos dizer que, sem os detalhes fornecidos na norma ISO 27002, os controles definidos no Anexo A da ISO 27001 não poderiam ser implementados. Porém, sem estrutura de gestão da ISO 27001, a ISO 27002 permaneceria apenas como um esforço isolado de alguns entusiastas da segurança da informação, sem aceitação da alta administração e, portanto, sem impacto real sobre a organização.

Você também pode conferir o webinar ISO 27001 Foundations Part 3: Annex A overview (treinamento vendido comercialmente).

Você já implementou a ISO 9001? Você já ouviu falar que a ISO 27001 pode ser uma boa ideia? Mas como algo que tem a ver com qualidade pode ajudar a implementar a segurança da informação?

É possível, mais do que você imagina… A ISO 9001 especifica como os sistemas de gestão da qualidade (SGQ) devem ser, enquanto a ISO/IEC 27001 especifica os sistemas de gestão da segurança da informação (SGSI). Portanto, a parte de “sistemas de gestão” é a mesma. E o que isso significa de verdade?

A filosofia dos sistemas de gestão surgiu a partir da teoria desenvolvida por W. Edwards Deming, durante a segunda metade do  século 20 e baseia-se no ciclo Planeje-Faça-Verifique-Aja. Basicamente, esse ciclo consiste no seguinte: na fase “Planeje” você precisa planejar o que deseja alcançar com o sistema de gestão; na fase “Faça”, você implementa esse sistema; na fase “Verifique”, você monitora constantemente se conseguiu alcançar o que planejou; e na fase “Aja”, você faz melhorias, ou seja, preenche as lacunas entre o que você planejou e o que alcançou.

Embora esse ciclo tenha sido elaborado para a gestão da qualidade, ele foi aceito como base para todos os outros sistemas de gestão: segurança da informação (ISO/IEC 27001), ambiente (ISO 14001), continuidade de negócios (BS 25999-2) etc. Isso significa que alguns dos elementos que você implementou para o sistema de gestão da qualidade, de acordo com a ISO 9001, também podem ser usados para o sistema de gestão da segurança da informação, aqui está a lista:

• Gestão de documentos – o processo utilizado para gestão de documentos no SGQ pode ser usado para a mesma finalidade no SGSI, com apenas pequenos ajustes
• Auditoria interna – o mesmo procedimento pode ser utilizado tanto para SGQ quanto para SGSI, embora a auditoria interna em si, normalmente, seja feita por pessoas diferentes, uma vez que não é muito provável que uma pessoa tenha conhecimento suficientemente profundo sobre segurança da informação e qualidade
• Ações corretivas e preventivas – o procedimento utilizado para SGQ pode ser usado para o mesmo fim no SGSI, embora seja provável que pessoas diferentes resolvam as questões relacionadas a SGQ ou SGSI
• Gestão de recursos humanos – o mesmo ciclo de planejamento de RH, treinamento e avaliação é utilizado para ambos os sistemas de gestão. Naturalmente, a diferença está no perfil de habilidades e conhecimentos necessários
• Análise crítica da gestão – os princípios da análise crítica da gestão são os mesmos para ambos os sistemas de gestão. Embora não seja recomendável realizar as duas avaliações paralelamente, a gerência já estará tão acostumada a tomar decisões sobre SGQ, que eles terão uma melhor compreensão sobre como tomar decisões no contexto do SGSI
• Definição dos objetivos empresariais e acompanhamento de sua realização – o mesmo mecanismo está previsto em ambas as normas, assim, a gerência estará acostumada a esse tipo de planejamento sistemático

Portanto, se você já implementou a ISO 9001, terá um trabalho mais fácil ao implementar a ISO 27001 (e vice-versa). É possível economizar até 30% do tempo. Além disso, você terá auditorias de certificação mais baratas, pois os organismos de certificação oferecem as chamadas “auditorias integradas”, o que significa que eles analisarão tanto a ISO 9001 quanto a ISO 27001 na mesma auditoria, cobrando uma taxa menor em relação a auditorias separadas.

Se o seu SGQ estiver funcionando bem, seu projeto SGSI irá se desenvolver tranquilamente. A gerência terá uma melhor compreensão dos possíveis benefícios para os negócios, enquanto todas as unidades organizacionais estarão acostumadas à necessidade de definir procedimentos, responsabilidades e documentações precisos.

Ter um SGQ de fato fornece uma base muito boa para a segurança da informação. Se você já tem a ISO 9001, pense seriamente sobre a norma ISO 27001.

Você também pode conferir o nosso webinar ISO 27001 implementation: How to make it easier using ISO 9001 grátis.