Em tempos em que os dados e informações são negociados como mercadorias, protegê-los é essencial. Uma maneira de fazer isso é implementar uma gestão de segurança da informação baseada na série de normas de segurança da informação ISO/IEC 2700x. Esta é uma família internacional de normas para segurança de TI e segurança da informação em organizações privadas, públicas ou sem fins lucrativos. Com base na ISO 27001, um sistema de gestão de segurança da informação (SGSI / ISMS) pode ser implementado, que as organizações e as autoridades públicas podem criar, operar e ter certificado para sua própria proteção.

Loading...

Normas de segurança da informação: A família de normas ISO 2700X

As normas individuais de segurança da informação da série ISO 2700x tratam de diversos tópicos na área de segurança da informação. Por exemplo, a norma internacional especifica ISO 27001, trata de um  sistema de gestão de segurança da informação (SGSI/ISMS), ISO 27701 um sistema de gerenciamento de proteção de dados, a  ISO 27017 fornece orientações sobre medidas de segurança da informação para computação em nuvem, e a ISO 27005 fornece orientações para o gerenciamento de riscos de segurança da informação.

As empresas de todos os setores podem se beneficiar da abordagem sistematicamente estruturada destas normas para a segurança da informação. Ela permite que dados confidenciais sejam protegidos contra perda e mau uso e ajuda a identificar e reduzir (potenciais) ameaças de forma confiável. A abordagem ajuda a garantir a disponibilidade dos sistemas de TI corporativos, contribuindo assim para a otimização dos processos de negócios, custos de TI e processos, e para a minimização dos riscos de negócios e de responsabilidade civil.

 

A certificação é uma vantagem competitiva

A certificação segundo a ISO 27001, pela DQS, requer uma certa preparação e esforço. No entanto, a empresa fornece provas documentadas de que cumpre com os requisitos de segurança da informação e implementa medidas para proteger os dados sensíveis da empresa. Esta é uma clara vantagem competitiva.

 

Dez normas ISO sobre segurança da informação com as quais você deve estar familiarizado

A lista abaixo fornece uma visão geral informativa do status atual da série de normas ISO 2700x em segurança da informação. Todas as normas estão disponíveis para compra no website da ISO.

ISO 27001 - Requisitos para sistemas de gestão de segurança da informação

Em tempos em que dados e informações são negociados como mercadorias raras, sua proteção é essencial. Uma base ideal para a implementação eficaz de uma estratégia de segurança abrangente é fornecida por um sistema de gestão da segurança da informação (SGSI / ISMS) bem estruturado, de acordo com a norma ISO 27001. Esta é uma norma reconhecida internacionalmente para segurança da informação em organizações privadas, públicas ou sem fins lucrativos, que não cobre apenas os aspectos da segurança de TI.

Uma ISMS ISO 27001 define requisitos, regras e métodos para garantir a segurança das informações que requerem proteção nas organizações. A norma ISO fornece um modelo para estabelecer, implementar, monitorar e melhorar o nível de proteção. O objetivo é identificar riscos potenciais para a empresa, analisá-los e torná-los controláveis através de medidas apropriadas. A ISO 27001 formula os requisitos para tal sistema de gestão, que são auditados como parte de um processo de certificação externo.

Isso pode ser alcançado com a norma:

  • Tornar a segurança de informações sensíveis uma parte integrante dos processos corporativos
  • Salvaguarda preventiva dos objetivos de proteção confidencialidade, disponibilidade e integridade da informação
  • Manutenção da continuidade do negócio através da melhoria contínua do nível de segurança
  • Sensibilização dos funcionários e aumento significativo da conscientização de segurança em todos os níveis da empresa
  • Construindo confiança com as partes interessadas
  • Estabelecimento de um processo eficaz de gestão de risco

ISO/IEC 27001:2013
Tecnologias de informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Requisitos

A versão atual da ISO/IEC 27001:2013 expirará em outubro de 2025.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Assista agora: O que está mudando com a nova ISO/IEC 27001:2022

A nova versão da ISO/IEC 27001, adaptada aos riscos de informação contemporâneos, foi publicada em 25 de outubro de 2022. O que isso significa para os usuários da norma? Em nossa  gravação gratuita de webinar , você aprenderá sobre 

  • Novos recursos da ISO/IEC 27001:2022 - Estrutura e Anexo A 
  • ISO/IEC 27002:2022-02 - estrutura, conteúdo, atributos e hashtags 
  • Linha do tempo para a transição e seus próximos passos

ISO 27019 - Medidas de segurança da informação para o fornecimento de energia.

A norma de segurança da informação ISO 27019 formula medidas complementares para o setor da indústria energética.

ISO/IEC 27019:2017
Tecnologia da informação - Técnicas de segurança - Controles de segurança da informação para a indústria de serviços públicos de energia.

Essa norma ajuda você a proteger seus sistemas eletrônicos de controle de processos usados para controlar e monitorar a produção, transmissão, armazenamento e distribuição de energia elétrica, gás, petróleo e calor, e para controlar os processos de suporte relacionados.

O que você pode fazer com a norma:

  • Assegurar sistematicamente as metas de proteção de confidencialidade, disponibilidade e integridade da informação.
  • Melhorar continuamente o nível de segurança e a resistência ao acesso não autorizado.
  • Alcançar maior segurança de ação e segurança jurídica, melhorar a adesão aos requisitos de conformidade relevantes
  • Aumentar a conscientização de segurança entre funcionários e gerentes
  • Atingir um alto nível de confiança e lealdade entre todas as partes interessadas
  • Demonstre às autoridades prova reconhecida da eficácia das suas medidas de segurança, como a Agência Federal Alemã de Redes (BNetzA)

 

ISO 27006 - Requisitos para organismos de certificação

A ISO 27006 destina-se a organismos como a DQS que realizam certificações de sistemas de gestão da segurança da informação. A norma de acreditação ISO 27006 descreve os requisitos que os organismos de certificação devem seguir ao avaliar os sistemas de gestão dos seus clientes para a certificação ISO 27001.

ISO/IEC 27006:2021
Tecnologia da informação - Técnicas de segurança - Requisitos para organismos de auditoria e certificação de sistemas de gestão da segurança da informação

Isto inclui, por exemplo, a prova dos esforços de auditoria especificados ou especificações sobre as qualificações dos auditores. Os processos de acreditação delineados na norma garantem que os certificados ISO 27001 emitidos por organismos de certificação acreditados têm validade internacional.

O que você pode conseguir com esta norma:

  • Critérios uniformes para procedimentos de certificação, manutenção e auditoria de recertificação
  • Assegurar a validade dos certificados ISO 27001
  • Assegurar requisitos mínimos para o esforço de auditoria e qualificação do pessoal que calcula e executa os procedimentos de certificação

 

ISO 27002 - Orientação sobre controles de segurança da informação

O Sistema de Gestão da Segurança da Informação (SGSI / ISMS) de acordo com a ISO 27001 contém um anexo normativo A: Objetivos e controles das medidas de referência. Este Anexo contém medidas específicas a serem implementadas como parte do sistema de gestão, conforme relevantes para a organização. A ISO 27002 é uma diretriz com recomendações para a implementação de medidas da ISO 27001.

A diretriz foi amplamente revisada e atualizada no início de 2022. A nova edição oferece aos gerentes de segurança da informação orientações de implementação precisas para garantir que nenhuma medida importante para abordar o risco de segurança da informação seja negligenciada.

ISO/IEC 27002:2022 Segurança da informação, ciber-segurança e proteção da privacidade - Controles de segurança da informação

Loading...

Diretriz de auditoria para ISO 27001

Anexo A

Beneficie-se de bons pontos de auditoria e possíveis evidências sobre controles selecionados no Anexo A. A diretriz é baseada na ISO/IEC 27001:2013.


De nossos especialistas na área.

Este anexo contém medidas específicas a serem implementadas como parte do sistema de gestão, conforme relevante para a organização. A ISO 27002 é um guia com recomendações para a implementação das medidas da ISO 27001.

Você pode fazer isso com a norma:

  • Suporte para a implementação da ISO 27001
  • Implementar as recomendações para as medidas do Anexo A da ISO 27001

 

ISO 27000 - Visão geral e vocabulário dos sistemas de gestão da segurança da informação

A ISO 27000 contém termos e definições que são usados na série de normas ISO 2700X. A ISO 27000 fornece uma visão geral dos sistemas de gestão de segurança da informação e da série de normas ISO 2700x com as suas normas de segurança da informação.

ISO/IEC 27000:2018
Tecnologias de informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Visão geral e vocabulário

Em um glossário, os termos (técnicos) são definidos explícita e formalmente.

O que você pode fazer com essa norma:

  • Glossário: cobertura da maioria dos termos técnicos utilizados na série de normas ISO2700x no campo da segurança da informação.
  • Clareza sobre a terminologia
  • Compreensão clara do vocabulário entre avaliadores e avaliadores ("uma língua comum")
  • Visão geral dos sistemas de gestão da segurança da informação: introdução da segurança da informação, gestão de risco e segurança, e sistemas de gestão

 

ISO 27701 - Orientação sobre gestão de proteção de dados

A norma de segurança da informação especificamente relacionada à privacidade dos dados ISO 27701 especifica um sistema de gestão de proteção de dados baseado nas normas ISO 27001, ISO 27002 (controles de segurança da informação) e ISO 29100 (estrutura de privacidade de dados) para tratar adequadamente tanto o processamento de dados pessoais como a segurança da informação. Isto aplica-se tanto aos controladores como aos processadores de dados pessoais.

ISO/IEC 27701:2019-08 Técnicas de segurança - Extensão para ISO/IEC 27001 e ISO/IEC 27002 para gerenciamento de informações de privacidade - Requisitos e diretrizes

Como você pode ter sucesso com essa norma:

  • Melhor gestão da segurança dos dados pessoais e da informação
  • Aplicação mais fácil dos princípios comuns de gestão de riscos da informação aos dados pessoais
  • Alinhar e ampliar os controles dentro da ISO 27001, bem como a ISO 27002 relacionada.

ISO 27017 - Guia de medidas de segurança da informação em serviços em nuvem

A norma ISO 27017 fornece orientações sobre medidas de segurança da informação na computação em nuvem dentro das normas de segurança da informação.

ISO/IEC 27017:2015
Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação baseado na ISO/IEC 27002 para serviços em nuvem

Ele recomenda, suporta e fornece medidas adicionais para a implementação de controles de segurança da informação específicos da nuvem.

O que você pode conseguir com essa norma:

  • Compreender os aspectos de segurança da informação da computação em nuvem.
  • Projetar e implementar controles de segurança da informação específicos para o sistema de nuvem
  • Controle sobre as opções de seleção, implementação e gerenciamento da segurança da informação para computação em nuvem

 

ISO 27018 - Orientação sobre proteção de dados em serviços na nuvem.

A norma ISO 27018 fornece orientação para garantir que os provedores de serviços em nuvem ofereçam controles de segurança da informação apropriados para proteger a privacidade e segurança de seus clientes, protegendo os dados pessoais a eles confiados.

ISO/IEC 27018:2019
Tecnologia da informação - técnicas - Código de prática para proteção de informação pessoalmente identificável (IPI) em nuvens públicas agindo como processadores de IPI.

Esta norma é seguida pela  ISO 27017 (Medidas de segurança da informação em serviços em nuvem), que cobre outros aspectos de segurança da informação da computação em nuvem que não apenas a proteção dos dados.

Aqui está o que você pode fazer com a norma:

  • Selecione controles de proteção PII como parte da implementação de um sistema de gestão de segurança da informação de computação em nuvem com base na ISO 27001
  • Implementar controles de proteção de IPI comumente aceitos
  • Aprofundar o conhecimento, pois a norma se baseia na ISO 27002 e amplia seus conselhos gerais em algumas áreas
  • Ligação dos princípios de privacidade da OCDE incorporados em várias leis e regulamentos de proteção de dados

 

ISO 27005 - Orientação sobre gestão de riscos de segurança da informação.

A norma ISO 27005 fornece orientações sobre gestão de riscos de segurança da informação e suporta os conceitos gerais sobre esta matéria estabelecidos na ISO 27001.

ISO/IEC 27005:2018-07
Tecnologias de informação - Técnicas de segurança de TI - Gestão de riscos de segurança de TI.

A ISO 27005 também se destina a apoiar a implementação da segurança da informação com base num conceito de gestão de risco.

Você pode fazer isso com a norma:

  • Implementar a segurança da informação com base numa abordagem de gestão de risco.
  • Definição do contexto de gestão de risco
  • Avaliação quantitativa ou qualitativa (isto é, identificação, análise e avaliação) dos riscos de informação relevantes
  • Monitorização e revisão contínua dos riscos, tratamentos de risco, requisitos e critérios
  • Tratamento adequado dos riscos
  • Comunicação contínua de todas as partes interessadas
newsletter-dqs-frau schaut auf ihr smartphone
Loading...

Nunca perca nada...

A nossa newsletter gratuita mantém-no atualizado sobre auditorias, sistemas de gestão e certificações. Leia os nossos exemplos de melhores práticas e receba dicas para a sua agenda.

ISO 27007 - Guia de auditoria do ISMS

A ISO 27007 é um guia para a realização de auditorias e destina-se a auditores internos e externos que avaliam um SGSI de acordo com a ISO/IEC 27001.

ISO/IEC 27007:2020
Segurança da informação, ciber-segurança e proteção da privacidade - Diretrizes para auditoria de sistemas de gestão de segurança da informação

O guia baseia-se fortemente no Guia de auditoria de sistemas de gestão (ISO 19011) e fornece orientações adicionais para um sistema de gestão da segurança da informação (ISMS).

Veja aqui como você pode ter sucesso com a norma:

  • Orientação específica para auditorias do ISMS ISO 27001
  • Orientação sobre planejamento e realização de auditorias integradas a partir da ISO 19011
  • Informações importantes sobre as competências dos auditores do SGSI
  • Compreender e realizar auditorias do SGSI

 

DQS - o que podemos fazer pela sua empresa

A DQS tem sido um especialista líder na certificação de sistemas e processos de gestão desde 1985. Desde então, a história da DQS tem estado intimamente ligada à história da ISO 9001. Trazemos nosso know-how mundial e nosso amplo conhecimento de normas aos nossos clientes em cerca de 30.000 dias de auditoria por ano. Assim, você pode ver quais são as suas opções.

Confiança e conhecimento

Os nossos textos e white papers são escritos exclusivamente pelos nossos especialistas em normas ou por auditores de longa data. Assim como a visão geral das normas de segurança da informação. Se você tiver alguma dúvida sobre o conteúdo do texto ou nossos serviços ao nosso autor, sinta-se à vontade para entrar em contato conosco.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Você tem alguma pergunta?

Contate-Nos!

Gratuitamente e sem quaisquer obrigações.

Normas de segurança da informação: Outros tópicos da família de normas ISO 2700X

ISO 27003 - Guia para o desenvolvimento e implementação de um SGSI

ISO/IEC 27003:2017

Tecnologia da informação - Técnicas de segurança - Sistemas de gestão da segurança da informação - Orientação.

ISO 27004 - Orientação sobre métodos de medição da gestão da segurança da informação

ISO/IEC 27004:2016

Tecnologias de informação - Técnicas de segurança - Gestão da segurança da informação - Monitoramento, medição, análise e avaliação.

ISO 27008 - Orientação sobre a avaliação das medidas de segurança da informação

ISO/IEC TS 27008:2019

Tecnologia da informação - Técnicas de segurança - Diretrizes para a avaliação dos controles de segurança da informação.

ISO 27009 - Guia para a aplicação setorial de um sistema de gestão de informação

ISO/IEC 27009:2020

Segurança da informação, ciber-segurança e proteção da privacidade - Aplicação setorial da ISO/IEC 27001 - Requisitos.

ISO 27010 - Orientação sobre gestão de segurança da informação para comunicações inter-setoriais e inter-organizacionais

ISO/IEC 27010:2015

Tecnologias de informação - Técnicas de segurança - Gestão da segurança da informação para comunicações inter-setoriais e inter-organizacionais.

ISO 27011 - Orientação na gestão da segurança da informação no setor das telecomunicações

ISO/IEC 27011:2016

Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação baseado na ISO/IEC 27002 para organizações de telecomunicações.

ISO 27013 - Orientação para a implementação integrada de um SGSI e gestão de serviços de TI

ISO/IEC 27013:2021

Segurança da informação, cibersegurança e proteção da privacidade - Orientação sobre a implementação integrada das normas ISO/IEC 27001 e ISO/IEC 20000-1.

ISO 27014 - "Governança" da segurança da informação

ISO/IEC 27014:2020

Segurança da informação, ciber-segurança e proteção da privacidade - Governança da segurança da informação.

ISO 27016 - Economia da gestão da segurança da informação

ISO/IEC TR 27016:2014

Tecnologias de informação - Técnicas de segurança - Gestão da segurança da informação - Economia organizacional.

ISO 27021 - Requisitos para a competência dos profissionais do SGSI

ISO/IEC 27021:2017/AMD 1:2021

Técnicas - Requisitos de competência para profissionais de sistemas de gestão de segurança da informação - Emenda 1: Adição de cláusulas ou sub cláusulas ISO/IEC 27001:2013 aos requisitos de competência.

ISO 27031 - Orientação sobre continuidade de negócios

ISO/IEC 27031:2011

Tecnologias de informação - Técnicas de segurança - Orientações para a prontidão das tecnologias de informação e comunicação para a continuidade do negócio.

DICA: Leia o nosso post no blog sobre gestão da continuidade de negócios para saber o que a norma ISO 22301 recomenda para garantir a continuidade da existência de uma empresa em situações excepcionais.

ISO 27032 - Guia de Ciber-segurança

ISO/IEC 27032:2012

Tecnologia da informação - Técnicas de segurança - Diretrizes para ciber-segurança

ISO 27033 - Orientação sobre segurança de rede

ISO/IEC 27033

Tecnologias de informação - Técnicas de segurança - Segurança de rede
Parte 1: Visão geral e conceitos, Parte 2: Diretrizes para o design e implementação da segurança de redes, Parte 3: Cenários de referência de redes - Ameaças, técnicas de design e questões de controle, Parte 4: Protegendo as comunicações entre redes usando gateways de segurança, Parte 5: Protegendo as comunicações através de redes usando redes privadas virtuais (VPNs), Parte 6: Protegendo o acesso à rede IP sem fio.

ISO 27034 - Orientação sobre segurança da aplicação

ISO/IEC 27034

Tecnologia da informação - Técnicas de segurança - Segurança das aplicações
Parte 1: Visão geral e conceitos, Parte 2: Quadro normativo da organização, Parte 3: Processo de gestão da segurança da aplicação, Parte 4: Validação e verificação, Parte 5: Protocolos e estrutura de dados de controle de segurança da aplicação, Parte 6: Estudos de elenco, Parte 7: Quadro de previsão da garantia.

ISO 27035 - Orientação sobre gestão de incidentes de segurança da informação

ISO/IEC 27035

Tecnologia da informação - Práticas de segurança em TI - Gestão de incidentes de segurança da informação.
Parte 1: Fundamentos da gestão de incidentes, Parte 2: Diretrizes para planejamento e preparação da resposta a incidentes, Parte 3: Diretrizes para resposta a incidentes de tecnologia da informação e comunicação (rascunho).

ISO 27036 - Orientação sobre relações com fornecedores

ISO/IEC 27036

Tecnologia da informação - Técnicas de segurança - Segurança da informação para relações com fornecedores.
Parte 1: Visão geral e conceitos, Parte 2: Requisitos, Parte 3: Diretrizes para segurança da cadeia de suprimentos de tecnologia da informação e comunicação, Parte 4: Diretrizes para segurança de serviços em nuvem.

ISO 27037 - Diretrizes para o tratamento de provas digitais.

ISO/IEC 27037:2012

Tecnologia da informação - Técnicas de segurança - Diretrizes para identificação, coleta, aquisição e preservação de provas digitais.

ISO 27038 - Especificação para redação digital

ISO/IEC 27038:2014

Tecnologia da informação - Técnicas de segurança - Especificação para redação digital.

ISO 27039 - Orientação sobre sistemas de detecção de intrusão (IDPS)

ISO/IEC 27039:2015

Tecnologias de informação - Técnicas de segurança - Seleção, implementação e operações de sistemas de detecção e prevenção de intrusões (IDPS).

ISO 27040 - Orientação sobre segurança de armazenamento

ISO/IEC 27040:2015

Tecnologia da informação - Técnicas de segurança - Segurança de armazenamento.

ISO 27041 - Orientação sobre métodos de investigação de incidentes

ISO/IEC 27041:2015

Tecnologia da informação - Técnicas de segurança - Orientação para assegurar a adequação e também a adequação do método de investigação de incidentes.

ISO 27042 - Orientação sobre análise e interpretação de provas digitais.

ISO/IEC 27042:2015

Tecnologia da informação - Técnicas de segurança - Orientações para a análise e interpretação de provas digitais.

ISO 27043 - Orientação sobre processos de investigação de incidentes.

ISO/IEC 27043:2015

Tecnologia da informação - Técnicas de segurança - Princípios e processos de investigação de incidentes.

ISO 27050 - Orientação sobre detecção eletrônica

ISO/IEC 27050

Tecnologia da informação - Descoberta eletrônica.
Parte 1: Visão geral e conceitos, Parte 2: Orientação para governança e gestão da descoberta eletrônica, Parte 3: Código de prática para descoberta eletrônica.

ISO 27102 - Orientação sobre seguros cibernéticos

ISO/IEC 27102:2019

Gestão da segurança da informação - Diretrizes para ciber-seguros.

ISO 27103 - Guia de segurança cibernética e normas ISO/IEC

ISO/IEC TR 27103:2018

Tecnologia da informação - Técnicas de segurança - Ciber-segurança e normas ISO e IEC.

ISO 27550 - Engenharia de privacidade para processos do ciclo de vida do sistema

ISO/IEC TR 27550:2019-09

Tecnologia da informação - Técnicas de segurança - Engenharia de privacidade para processos do ciclo de vida do sistema.

ISO 27799 - Gestão da segurança da informação no setor da saúde

ISO 27799:2016

Informática em saúde - Gestão da segurança da informação da saúde usando ISO/IEC 27002

Autor
André Säckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...