Published:
March 11, 2018
Category:
Ideas / Technology
Client:
Oceanthemes
Fundamentos da EIC-NBR ISO72001-2
Norma ABNT NBR ISO/IEC 2001:2022
A Norma ABNT NBR ISO/IEC 27001:2022 é um conjunto de requisitos para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI) em uma organização. Ela estabelece as diretrizes para o gerenciamento de riscos de segurança da informação, incluindo a definição de políticas, procedimentos e controles de segurança adequados.
A norma ISO/IEC 27001:2022 é baseada no ciclo PDCA (Plan-Do-Check-Act) e se concentra em ajudar as organizações a avaliar e tratar os riscos relacionados à segurança da informação, bem como estabelecer e manter um sistema eficaz de gestão da segurança da informação.
Entre os principais objetivos da norma estão: garantir a confidencialidade, integridade e disponibilidade das informações da organização, bem como prevenir e mitigar ameaças de segurança da informação. Além disso, a norma também estabelece requisitos para monitoramento, análise e melhoria contínua do SGSI.
É importante ressaltar que a implementação da norma ISO/IEC 27001:2022 não garante a segurança total da informação, mas ajuda as organizações a gerenciar melhor os riscos relacionados à segurança da informação e melhorar continuamente seu SGSI.
Anexo A da norma ABNT NBR ISO/IEC 2001:2022
O Anexo A da Norma ABNT NBR ISO/IEC 27001:2022 lista um conjunto de 114 controles de segurança da informação que podem ser utilizados pelas organizações como referência para implementar um Sistema de Gestão de Segurança da Informação (SGSI) eficaz. Esses controles são organizados em 14 categorias, conforme descrito abaixo:
Política de segurança da informação: estabelece a estrutura para gerenciar a segurança da informação na organização.
- Organização da segurança da informação: define as funções e responsabilidades de cada indivíduo dentro da organização em relação à segurança da informação.
- Gerenciamento de ativos: estabelece as diretrizes para o gerenciamento dos ativos de informação, incluindo hardware, software, dados e informações.
- Acesso ao controle: define como o acesso às informações e recursos deve ser controlado para garantir a confidencialidade, integridade e disponibilidade da informação.
- Criptografia: estabelece as diretrizes para a criptografia de informações sensíveis, bem como para a proteção de chaves criptográficas.
- Segurança física e do ambiente: define as medidas de segurança física que devem ser implementadas para proteger as informações e recursos da organização.
- Segurança operacional: estabelece as diretrizes para o gerenciamento seguro de processos operacionais, incluindo backups, contingência e planos de recuperação.
- Segurança nas comunicações: define as diretrizes para a segurança das informações transmitidas dentro e fora da organização.
- Aquisição, desenvolvimento e manutenção de sistemas: estabelece as diretrizes para a segurança da informação durante a aquisição, desenvolvimento e manutenção de sistemas de informação.
- Gerenciamento de incidentes de segurança da informação: define as diretrizes para a detecção, relato e tratamento de incidentes de segurança da informação.
- Aspectos de segurança na gestão da continuidade de negócios: estabelece as diretrizes para a continuidade de negócios em caso de interrupções de segurança.
- Conformidade: define as diretrizes para a conformidade com as leis, regulamentos e normas aplicáveis.
- Auditoria de segurança da informação: estabelece as diretrizes para a auditoria da segurança da informação na organização.
- Melhoria contínua da segurança da informação: define as diretrizes para a melhoria contínua do SGSI, incluindo revisão e avaliação periódicas do sistema.
Cada organização deve escolher e implementar os controles que são relevantes para sua estrutura, objetivos e riscos específicos. O objetivo é garantir a proteção adequada das informações e recursos da organização, minimizando os riscos de segurança da informação.
