logo_FEDER español
gss-logo-header
PT
ESENFR
DemoSolicite uma demonstração
Segurança

ISO 27000 e o conjunto de normas de Segurança da Informação

César Alonso
🕑 7 minutes read

Table of contents

O que é ISO 27000?

As normas que formam a série ISO/IEC-27000 são um conjunto de padrões criados e geridos pela Organização Internacional para a Normalização (ISO) e pela Comissão Eletrónica Internacional (IEC). Ambas as organizações internacionais contam com a participação de vários países, o que garante a sua ampla divulgação, implementação e reconhecimento em todo o mundo.

Atualmente, a informação é um dos ativos mais importantes de uma empresa, pelo que é necessário que esta se encontre devidamente protegida. As normas da família ISO 27000 abordam a gestão da segurança da informação e podem ser combinadas para proporcionar um enquadramento reconhecido a nível mundial.

Estas normas estão orientadas para o estabelecimento de boas práticas em relação com a implementação, manutenção e gestão do Sistema de Gestão de Segurança da Informação (SGSI) ou pela sua denominação em inglês Information Security Management System (ISMS). Estas diretrizes têm como objetivo estabelecer as melhores práticas em relação com diferentes aspetos vinculados à gestão da segurança da informação, com uma forte orientação para a melhoria contínua e a mitigação de riscos. Importa destacar que as recomendações que estas normas apresentam são aplicáveis a qualquer tipo de organização, quer sejam empresas grandes, pequenas, públicas, privadas, etc.

A norma ISO 27000 em concreto facilita as bases e a linguagem comum para o resto das normas da série.

Conjunto de normas da família ISO 27000

  • ISO 27001: Especifica os requisitos necessários para implementar e gerir um SGSI. É a norma mais importante da família e é certificável.
  • ISO 27002: em suporte do processo de gestão de riscos da norma ISO/IEC-27001, define um conjunto de boas práticas para a implementação do SGSI, através de 93 controlos, estruturados em 4 grandes domínios.
  • ISO 27003: proporciona um guia para a implementação de forma correta de um SGSI, centrando-se nos aspetos importantes para realizar com sucesso esse processo.
  • ISO 27004: proporciona diretrizes orientadas para a correta definição e estabelecimento de métricas que permitam avaliar de forma correta o desempenho do SGSI.
  • ISO 27005: define como se deve realizar a gestão de riscos vinculados aos sistemas de gestão da informação, orientado em como estabelecer a metodologia a empregar.
  • ISO 27006: estabelece os requisitos que devem cumprir aquelas organizações que queiram ser acreditadas para certificar outras no cumprimento da ISO/IEC-27001.
  • ISO 27007: é um guia que estabelece os procedimentos para realizar auditorias internas ou externas com o objetivo de verificar e certificar implementações da ISO/IEC-27001.
  • ISO 27008: define como se devem avaliar os controlos do SGSI com o fim de rever a adequação técnica dos mesmos, de forma que sejam eficazes para a mitigação de riscos.
  • ISO 27009: complementa a norma ISO/IEC-27001 para incluir requisitos e novos controlos adicionados que são de aplicação em setores específicos, com o objetivo de tornar mais eficaz a sua implementação.
  • ISO 27010: indica como deve ser tratada a informação quando é partilhada entre várias organizações, que riscos podem aparecer e os controlos que se devem empregar para os mitigar, especialmente quando estão relacionados com a gestão da segurança em infraestruturas críticas.
  • ISO 27011: estabelece os princípios para implementar, manter e gerir um SGSI em organizações de telecomunicações, indicando como implementar os controlos de maneira eficiente.
  • ISO 27013: estabelece um guia para a integração das normas ISO/IEC-27001 (SGSI) e ISO/IEC-20000 Sistema de Gestão de Serviços (SGS) naquelas organizações que implementam ambas.
  • ISO 27014: estabelece princípios para o governo da segurança da informação.
  • ISO 27015: facilita os princípios de implementação de um SGSI em empresas que prestam serviços financeiros e de seguros.
  • ISO 27016: proporciona um guia para a tomada de decisões económicas vinculadas à gestão da segurança da informação, como apoio à direção das organizações.
  • ISO 27017: proporciona um guia para os serviços Cloud, com controlos baseados na norma ISO/IEC-27002.
  • ISO 27018: complementa as normas ISO/IEC-27001 e ISO/IEC-27002 na implementação de procedimentos e controlos para proteger dados pessoais naquelas organizações que proporcionam serviços na Cloud para terceiros.
  • ISO 27019: facilita um guia baseado na norma ISO/IEC-27002 para aplicar às indústrias vinculadas ao setor da energia, de forma que possam implementar um SGSI.
  • ISO 27021: estabelece os requisitos de competência para os profissionais do SGSI que lideram ou participam no estabelecimento, implementação, manutenção e melhoria contínua de um ou mais processos do SGSI.
  • ISO 27022: proporciona um modelo de referência de processos para o SGSI.
  • ISO 27023: facilita um guia de correspondências entre as normas ISO/IEC-27001 e ISO/IEC-27002.
  • ISO 27031: proporciona apoio para a adequação das tecnologias da informação e comunicação.
  • ISO 27032: facilita a identificação das linhas gerais para fortalecer o estado da cibersegurança numa empresa.
  • ISO 27033: estabelece as diretrizes de segurança da administração, operação e uso das redes.
  • ISO 27034: proporciona orientação na área de tecnologia da informação, técnicas de segurança e segurança da aplicação.
  • ISO 27035: define um conjunto de melhores práticas relacionadas com a gestão de incidentes de segurança, enfatizando a deteção, reporte e avaliação de incidentes de segurança.
  • ISO 27036: referida à Segurança da informação para as relações com fornecedores, oferece orientação sobre a avaliação e o tratamento dos riscos de informação envolvidos na aquisição de bens e serviços de fornecedores.
  • ISO 27037: oferece diretrizes para a identificação, recolha, aquisição e preservação de evidências digitais.
  • ISO 27038: especifica as características das técnicas para a redação digital.
  • ISO 27039: proporciona um guia para ajudar as empresas com a seleção, implementação e operação de sistemas de deteção e prevenção de intrusão.
  • ISO 27040: facilita umas diretrizes para proteger a segurança dos sistemas de armazenamento, assim como para a proteção dos dados contidos nos mesmos.
  • ISO 27041: oferece um guia e diretrizes para garantir a idoneidade e adequação dos métodos de investigação de incidentes.
  • ISO 27042: define as diretrizes para uma correta análise e interpretação de evidências digitais.
  • ISO 27043: proporciona um guia de princípios e processos para a recolha de evidências digitais e investigação de incidentes.
  • ISO 27050: trata-se de uma norma desenvolvida em quatro partes que aborda a informação armazenada em dispositivos eletrónicos.
  • ISO 27070: define requisitos de segurança que têm como objetivo estabelecer raízes de confiança para a provisão de ambientes informáticos confiáveis.
  • ISO 27099: oferece requisitos para gerir a segurança da informação para os fornecedores de serviços de confiança de infraestrutura de chave pública (PKI).
  • ISO 27100: facilita uma visão geral da cibersegurança e define conceitos relevantes que estejam relacionados.
  • ISO 27102: descreve diretrizes de gestão para quando se considere a aquisição de seguros cibernéticos como uma opção de tratamento de riscos.
  • ISO 27103: oferece um guia sobre o aproveitamento dos padrões e normas existentes num enquadramento de cibersegurança.
  • ISO 27110: baseada nos princípios de flexibilidade, compatibilidade e interoperabilidade, esta norma proporciona diretrizes para estandardizar medidas de segurança.
  • ISO 27400: proporciona um guia baseado em diretrizes sobre riscos, princípios e controlos para a segurança e privacidade das soluções de Internet das coisas (IoT).
  • ISO 27550: oferece diretrizes de engenharia de privacidade orientadas para ajudar as organizações a integrar nos seus processos do sistema os avanços na engenharia de privacidade.
  • ISO 27555: facilita diretrizes para o desenvolvimento e implementação de políticas e procedimentos para a eliminação da informação de identificação pessoal (PII) nas organizações.
  • ISO 27570: proporciona orientação sobre a proteção da privacidade no desenvolvimento dos ecossistemas das cidades inteligentes.
  • ISO 27701: desenvolvida como um guia de extensão aos requisitos e controlos da ISO 27001, contribui para as organizações com os requisitos para administrar, gerir os dados e proteger a privacidade da informação de identificação pessoal (PII).
  • ISO 27799: define diretrizes para a implementação da ISO/IEC-27002 na indústria da saúde.

Destacam-se do mencionado conjunto a ISO/IEC-27001 que se considera a principal norma da família ISO 27000 e onde se especificam os requisitos necessários para implementar, manter e gerir um SGSI, dentro do processo de melhoria contínua conhecido como Ciclo Deming ou PDCA, acrónimo de Plan-Do-Check-Act, em relação com as fases de Planear, Fazer, Verificar e Atuar. Por outro lado, a ISO/IEC-27002 é um conjunto de 93 controlos, agrupados em 4 domínios, que têm como objetivo facilitar boas práticas em relação com a gestão do SGSI.

Como abordar a ISO 27001 através de um software?

Desde GlobalSuite Solutions dispomos de um software de sistema de segurança. Uma ferramenta que permite a implementação, gestão e manutenção de Sistemas de Gestão de Segurança da Informação baseados na norma ISO 27001. Uma ferramenta que ajuda as empresas e equipas de trabalho na gestão integral da norma e cumpre com o ciclo completo da mesma, desde o início e planeamento do projeto até à manutenção e à sua melhoria contínua.

Share:

César Alonso
. Director del departamento de Consultoría de GlobalSuite Solutions. Ingeniero industrial por la Universidad Politécnica de Madrid (UPM), CISA, CISM, PMP, Lead Auditor ISO 27001, ISO 20000 e ISO 22301, ITIL Foundations v3 y cuenta con la certificación GlobalSuite® Expert.

More articles