ISO 27002: o que eu preciso saber? Descubra aqui!

Tempo de leitura: 4 minutos

A segurança da informação é um problema na sua empresa? A ISO 27002 pode ajudar! Essa norma é um código de práticas para que as organizações consigam cuidar de seus dados e evitem o vazamento de informações relevantes.

Ela também ajuda a consolidar o Sistema de Gestão da Segurança da Informação (SGSI). Isso assegura que os processos sejam continuados e mantidos em seu empreendimento.

Para entender melhor o que é essa regra e de que forma ela pode te ajudar, este post vai abordar seu conceito, objetivos, benefícios e principais itens que a compõe. Vamos lá?

O que é a ISO 27002?

A série de normas 27000 foi criada pela International Organization for Standardization (ISO) e International Electrotechnical Comission (IEC) para indicar as diretrizes necessárias para a segurança da informação.

Dentro desse escopo está a 27002, que define o código de boas práticas para dar o suporte necessário à implantação do SGSI.

Quais são seus objetivos?

O foco da norma 27002 é determinar princípios gerais para implantar o SGSI e iniciar, manter e aprimorar a segurança da informação. Nesse contexto, também estão incluídos: seleção, implementação e gestão dos controles segundo os ambientes de risco encontrados na empresa.

Porém, essa não é uma norma de gestão, ou seja, seu objetivo não é indicar como determinado sistema deve ser administrado. Essa responsabilidade é da 27001, que ajuda a construir a base da segurança da informação. A 27002 é um complemento, porque permite implementar os controles para isso.

Quais são os benefícios para as empresas?

A 27002 oferece diversos benefícios às empresas que adotam suas diretrizes. Os principais são:

  • conscientização da importância da segurança da informação;

  • controle adequado de ativos e informações sensíveis;

  • abordagem correta para implantar políticas de controles;

  • identificação de riscos e possibilidade de corrigir os pontos fracos;

  • diminuição do risco de responsabilidade ao implementar o SGSI e/ou delimitação de políticas e processos;

  • conquista de diferencial competitivo, o que atrai mais clientes;

  • organização melhor estruturada de processos e mecanismos, os quais serão bem gerenciados e desenhados;

  • redução de custos devido à prevenção de incidentes na área de segurança da informação;

  • conformidade com a legislação e outros regulamentos.

Quais são os principais itens que compõem a ISO 27002?

A 27002 é composta por diferentes itens. Cada um deles representa uma seção, que oferece indicações sobre o controle da segurança da informação. Os principais componentes são:

Seção 5 — Política de segurança da informação

A norma indica a criação de um documento relativo à segurança da informação, o qual deve conter os principais conceitos e definir uma estrutura que identifica os objetivos e modos de controle. Além disso, determina-se que a direção deve estar comprometida com a política estipulada.

Seção 6 — Organização da segurança da informação

A ideia é definir uma estrutura para gerenciar a segurança da informação de modo adequado. Isso é obtido quando representantes da empresa coordenam as atividades e definem de maneira clara quais são as responsabilidades e de que forma deve-se proteger os dados sigilosos.

Seção 7 — Gestão de ativos

Esses itens são aqueles que têm valor para a empresa e que, portanto, devem ser protegidos. O primeiro passo é identificá-los e classificá-los para que um inventário seja elaborado e mantido. Também é preciso cumprir regras documentadas, que determinam o tipo de uso que é autorizado.

Seção 8 — Segurança em recursos humanos

A contratação de um novo colaborador ou fornecedor exige uma análise prévia, principalmente se ele tiver acesso a dados sensíveis. O objetivo, aqui, é impedir o roubo, fraude ou mau uso de recursos e informações. Também é recomendado repassar ao funcionário os riscos da segurança da informação e quais são suas responsabilidades e obrigações.

Seção 9 — Segurança física e do meio ambiente

As instalações e equipamentos de dados sensíveis devem permanecer em áreas seguras, que contenham controle de acesso e níveis hierárquicos para proteção contra imprevistos físicos ou ambientais.

Agora que você já sabe o que é a ISO 27002 e para que ela serve, que tal aplicar as práticas na sua empresa? Aproveite para ampliar, ainda mais, a segurança da informação na sua organização lendo o e-book “Tudo que você precisa saber para não ter dúvidas sobre cloud computing“.