ISO/IEC 27002

Esta página cita fontes, mas que não cobrem todo o conteúdo. Ajude a inserir referências (Encontre fontes: ABW  • CAPES  • Google (notícias • livros • acadêmico)). (Abril de 2017)

Esta página ou se(c)ção precisa ser formatada para o padrão wiki. Por favor ajude a formatar esta página de acordo com as diretrizes estabelecidas. (Outubro de 2013)

A ISO/IEC 17799 ^[1] foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999.

No mundo atual, globalizado e interativo, temos a capacidade de disponibilizar e absorver uma quantidade considerável de informação, principalmente através dos meios de comunicação e da internet. Informação significa, de acordo com os dicionários vigentes, o ‘ato ou o efeito de informar, a transmissão de notícia e/ou conhecimentos, uma instrução’ . Quando levamos em consideração as organizações, a informação toma uma dimensão extremamente importante, pois decisões importantes são tomadas com base na mesma. Assim, neste ambiente de empresas interligadas e extremamente competitivas, a informação se torna um fator essencial para a abertura e manutenção de negócios e como tal, precisa ser protegida.

A segurança da informação é a forma encontrada pelas organizações para proteger os seus dados, através de regras e controles rígidos, estabelecidos, implementados e monitorados constantemente. É sabido que muitos sistemas de informação não foram projetados para protegerem as informações que geram ou recebem, e essa é uma realidade tanto do setor Público como Privado. A interligação de redes públicas e privadas e o compartilhamento de recursos de informação dificultam o controle e a segurança do acesso, isso porque a computação distribuída acaba se tornando um empecilho à implementação eficaz de um controle de acesso centralizado. O sucesso da implementação de regras e controles rígidos de segurança da informação dependem de diversos fatores tais como: comprometimento de todos os níveis gerenciais; requisitos de segurança claros e objetivos; política de segurança que reflita o negócio da organização; processo eficaz de gestão dos incidentes da segurança da informação que possam acontecer, dentre outros.

De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da política de segurança da informação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização".

Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da organização, fica claro que o profissional de TI é peça chave nesse contexto, já que uma das principais responsabilidades do mesmo é a gerência, manutenção e segurança das informações, dos servidores e dos equipamentos da rede. Este profissional deverá estar comprometido, apoiando ativamente todos os processos e diretrizes implementadas. Caso seja necessário, a direção da organização poderá direcionar e identificar as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analisando e coordenando os resultados desta consultoria por toda a organização.

O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema.

A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:2-4.01) integra uma família de normas de sistema de gestão de segurança da informação SGSI que inclui normas sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família de normas adota um esquema de numeração usando a série de números 27000 em sequência.

A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização.