ISO 27002 explicada:seu modelo para controles robustos de segurança da informação

A Organização Internacional de Padronização (ISO) é uma entidade não governamental que existe para criar padrões principalmente para assuntos técnicos. ISO 27002 é um conjunto de padrões e procedimentos que reforçam a segurança da informação e controles que permitem que uma empresa execute a segurança adequada. Até 2005, a ISO 27002 tinha dois outros nomes. Esta norma é amplamente complementada pela ISO 27001, que detalha as tarefas gerenciais, como avaliação de riscos e revisão de segurança, em vez do aspecto de controle da 27002.

Duas normas vieram antes da ISO 27002, cada uma semelhante em tópico e controle. A primeira encarnação foi em 1995 e apareceu no Reino Unido (UK) como BS7799. Depois de limpo e modernizado, foi publicado novamente pela ISO, desta vez como ISO 17799. Em 2005, após novas edições, foi denominado ISO 27002. Embora cada versão seja diferente e destaque sucessivamente problemas e controles mais modernos, todas as três encarnações tratam da segurança da informação.

O padrão 27002 destaca centenas de maneiras de lidar com a segurança da informação e possui muitos capítulos diferentes para os diferentes aspectos da segurança da informação. Alguns capítulos tratam de recursos humanos e sua interação com as informações, enquanto outros explicam à empresa como controlar o acesso e a continuidade dos negócios com seus procedimentos de segurança. A segurança da informação geralmente implica tecnologia da informação (TI), mas a ISO 27002 também se preocupa com informações e ativos em papel, embora a maior parte da norma seja destinada ao departamento de TI.

Na sua primeira versão, o padrão 27002 pretendia ser um padrão abrangente para todas as instituições que necessitavam de segurança da informação. Isso significa que uma empresa, um estabelecimento sem fins lucrativos, uma agência governamental e uma empresa seguiriam todos o mesmo padrão. As futuras publicações desta norma estão focadas em separar a norma para que diferentes setores sejam mais eficientes.

A ISO 27002 detalha detalhadamente os controles e procedimentos envolvidos para manter as informações seguras. Outras normas, como a complementar ISO 27001, oferecem apenas uma ou duas frases sobre o controle. Em vez disso, o 27002 entra no controle com grande detalhamento, mas oferece pouco no caso de gerenciamento. Com a ISO 27001, todos os aspectos de gestão são especificados.

Muitas pessoas confundem a ISO 27001 e a 27002, pois tratam dos mesmos assuntos de maneiras diferentes. Isso significa que muitas pessoas se perguntam por que o padrão foi separado em duas partes. A razão é porque, se as duas partes existissem juntas, seria muito longo para uma publicação.

About Mechanics se dedica a fornecer informações precisas e confiáveis. Selecionamos cuidadosamente fontes confiáveis ​​e empregamos um rigoroso processo de verificação de fatos para manter os mais altos padrões. Para saber mais sobre nosso compromisso com a precisão, leia nosso processo editorial.