ISO 27001
A ISO 27001 é uma norma internacional publicada pela International Standardization Organization (ISO) e descreve como gerenciar a segurança da informação em uma organização.
A versão mais recente desta norma foi publicada em 2013 e seu título completo agora é ISO/IEC 27001:2013.
A primeira versão desta norma foi publicada em 2005, e foi desenvolvida com base na Norma Britânica BS 7799-2.
A ISO 27001 pode ser implementada em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, pequena ou grande. Ela é escrita pelos melhores especialistas mundiais no campo de segurança da informação e provê metodologia para a implementação da gestão da segurança da informação em uma organização. Ela também possibilita que organizações obtenham certificação, o que significa que um organismo certificador independente confirmou que uma organização implementou a segurança da informação em conformidade com a ISO 27001.
Com mais de 16,000+ organizações certificadas em mais de 100 países em outubro de 2013, é lançada a revisão da norma, que busca alinhamento com o novo formato de Sistemas de Gestão.
A nova versão da norma segue os padrões do Anexo SL das Diretivas da ISO, buscando alinhar com os demais sistemas de gestão. Encontramos esse padrão em normas como: 9001, 14001, 20000 e 22301. As normas que seguem esse padrão, possuem as seguintes
Cláusulas principais:
00. Introdução
01. Escopo
02. Referências Normativas
03. Termos e Definições
04. Contexto da Organização
05. Leadership
06. Planejamento
07. Suporte
08. Operação
09. Avaliação de Performance
10. Melhoria
Comparando a ISO/IEC 27001:2005 com a ISO/IEC 27001:2013, houve um aumento dos controles mandatórios: passou de 102 (2005) para 148 (2013). Para as organizações que fizeram o investimento adequado no seu Sistema de Gestão de Segurança da Informação e dedicaram os esforços necessários para a implantação e amadurecimento do mesmo dentro da organização, a migração não terá muita dificuldade.
A nova versão da norma possui uma ênfase maior nos controles mandatórios, exigidos durante a auditoria de certificação. Caso um controle não esteja implantado, ou esteja implantado de forma ineficiente, é considerado uma não conformidade, a organização não é recomendada para a certificação, ou é descertificada. A mudança deixa clara a crescente importância dos Sistemas de Gestão e a necessidade de maior atenção para a Gestão de Segurança da Informação.
TRANSIÇÃO
Após o lançamento da nova versão da norma, as organizações terão um período para se adaptar as mudanças. Empresas em processo de certificação para ISO/IEC 27001:2005, podem continuar o processo e se candidatar a certificação até dia 25 de setembro de 2014.
Empresas já certificadas, devem atualizar sua certificação para a ISO/IEC 27001:2013 até dia 25 de setembro de 2015. Demais empresas podem se candidatar a ISO/IEC 27001:2013 a partir de 25 de setembro de 2013.
A [SAFEWAY] tem expertise em clientes que buscam a certicação ou recertificação da ISO/IEC 27001:2013.
Quer saber mais sobre as mudanças da ISO27001? A [SAFEWAY] pode ajudá-lo.
Solicite um Assesment de Segurança: [email protected]