📁
METODOLOGIAS E PADRÕES DE GOVERNANÇA DE TECNOLOGIA
  • Apresentação
  • Fundamentos da Governança de TI
    • Introdução
    • Objetivos da Governança TI
    • Importância da Governança TI
    • Componentes da Governança TI
    • Governança TI e Corporativa
    • A lei SOX e suas implicações
  • Leitura Sugerida
  • Modelos de Governança
    • Introdução
  • Alinhamento estratégico na Governança de TI
  • A decisão em TI
  • Entrega de valor
  • Gestão de desempenho
  • Comunicação
  • Gestão de recursos
  • Gestão de mudanças
  • Avaliação
  • Riscos e compliance
  • Os Papéis da Governança de TI na Organização
  • Planejamento Estratégico de TI
    • Introdução
    • O que é planejamento
      • Níveis de planejamento
      • Tipos de planejamento
  • Alinhamento estratégico
  • Processos de planejamento
  • Ferramentas de Análise
  • Balanced Scorecard
  • Planejando, implementando e gerenciando a governança de TI
    • Introdução
  • Melhores Práticas
    • ISO/IEC 38500
    • ISO/IEC 2000
    • COBIT
    • ITIL
    • MOF
    • MR-MPS
    • ISO/IEC 27001 e 27002
  • Frameworks de Governança ( COBIT)
    • Introdução
  • História
  • Os cinco Princípios do COBIT 5
  • Objetivos do COBIT
  • Modelos de Maturidade
  • Benefícios do Modelo
  • Certificações
  • GESTÃO DE SERVIÇOS DE TI - ITIL
    • Introdução
  • História do ITIL
  • Objetivos
  • LIVROS ITIL
    • Estratégia de serviços
    • Projeto de Serviços
    • Transição de Serviços
    • Operação de Serviços
    • Melhoria contínua de serviço
  • Benefícios
  • Certificação
Powered by GitBook
On this page

Was this helpful?

  1. Melhores Práticas

ISO/IEC 27001 e 27002

O Governo Britânico é praticamente a origem de todas as normas internacionais referentes à segurança da informação, não estranha-se então que a ISO/IEC 27001 e a 27002 tenham sua origem de uma British Standard (BS).

A Commercial Computer Security Centre (CCSC) do Department of Trade and Industry é responsável pelo nascimento da norma, que foi aperfeiçoada pelo Governo Britânico até se tornar a ISO 17799 que foi substituída posteriormente pela ISO/IEC 27002. O mesmo que ocorreu com a 17799 ocorreu com a BS 7799-2:2002, transformando-se na ISO/IEC 27001:2005.

O objetivo da ISO/IEC 27001 é prover requisitos para estabelecer, implementar, manter e melhorar o sistema de gestão de segurança da informação, já o da ISO/IEC 27002 é como um guia para organizações que usam a norma, para implementar controles de segurança da informação.

Enquanto a ISO/IEC 27001 aplica uma abordagem útil para organizações, através de estrutura que mantém compatibilidade com outras normas de sistemas de gestão, organizando o sistema em: A determinação do escopo do sistema; A liderança do sistema; O planejamento do sistema; Estabelecendo o apoio ao sistema; A operação do sistema; A avaliação do desempenho do sistema; A melhoria do sistema. A ISO/IEC 27002 divide-se em seções, sendo constituída por categorias de segurança da informação, que têm objetivo de controle definido, sendo essas seções: Política de segurança da informação; Organização da segurança da informação; Segurança em recursos humanos; Gestão de ativos; Controle de acesso; Criptografia; Segurança física e ambiental; Segurança das operações; Segurança das comunicações; Aquisição, desenvolvimento e manutenção de sistemas; Relacionamentos com fornecedores; Gestão dos incidentes de segurança da informação; Aspectos de segurança da informação da gestão da continuidade de negócios; Conformidade.

Tendo em vista esse foco, o modelo pode ser aplicado em qualquer organização que tenha grande dependência de informação e TI, ficando quase que uma obrigação a utilização desse modelo para empresas que precisam proporcionar garantia de proteção de informações do cliente e garantia da continuidade dos serviços. Dada a amplitude que a segurança da informação têm, a implantação de um sistema de gerenciamento de segurança da informação precisa de auxílio das demais áreas de negócio e de um programa contínuo de conscientização.

A implantação do modelo deve ser vista como um projeto de longa duração, pois pode demorar 2 anos ou mais dependendo da natureza da organização. Empresas que forneçam serviços na nuvem, big data, mídias sociais também causam um grande impacto no sistema de gestão, por isso o uso do modelo deve ser bem analisado para se aproveitar os seus benefícios.

Os principais benefícios se encontram na prevenção dos danos que poderiam ocorrer à empresa caso não gerisse de forma correta a segurança da informação. O uso do modelo auxilia na prevenção, mas vai além disso, uma empresa pode ter sua imagem abalada ou sofrer ações na justiça, ser atrelada a fraudes digitais ou ser responsabilizada por perdas de dados de clientes e muitos outros casos que vemos no dia-a-dia, tornando essa prevenção indispensável.

A certificação na norma ISO/IEC 27001 fica a cargo do Sistema de Gestão da Segurança da Informação (ISMS), podendo ser relacionada a uma operação específica da empresa ou de sua totalidade, mas não precisa compreender todos os controles previstos ou os detalhados na ISO/IEC 27002, ficando atrelada somente aos que são aplicáveis a empresa em questão. Já a ISO/IEC 27002 pode gerar certificação no âmbito pessoal, a fim de atestar a proficiência dos profissionais nos fundamentos da norma, ficando a certificação a cargo da ISO/IEC 27002 Foundation.

PreviousMR-MPSNextIntrodução

Last updated 3 years ago

Was this helpful?