Dando continuidade ao primeiro artigo, esta seção resume
os vários padrões que compõem a ISO
27000 e como uma organização pode implementar
um sistema de gestão da segurança informação (SGSI) .
Como outras normas ISO, a 27000 é realmente uma série de normas.
As séries de números são reservados para ISO 27000-27019 de 27030 e
uma 27044.
• ISO 27000: Contêm termos e definições
utilizados ao longo da série 27000. A aplicação de qualquer padrão
necessita de um vocabulário claramente definida, a qual evitar
diferentes interpretações de conceitos técnicos e de gestão. Este
padrão é desde que é gratuito, ao contrário dos outros da série,
que sao pagos. Desde 2010, este curso pode ser comprado
em Curso
ISO 27000.
• ISO 27001: Publicado em 15 de outubro de
2005. É a regra principal da série e contém os requisitos do
sistema de segurança da informação de gestão.Tem a sua origem na BS
7799-2:2002 e é o padrão para o qual eles são certificados pela
Auditores SGSI das organizações. Substitui BS 7799-2, tendo
estabelecido as condições de transição para as empresas certificada
no segundo. No Anexo A listas em resumo formar o objetivo de
controle e controles desenvolvidos pela ISO 27002:2005 (novo ISO
17799:2005 numeração de 1 de Julho de 2007), para ser selecionados
pelas organizações no desenvolvimento do seu ISMS, apesar de não
ser necessárias para implementar todos os controles mencionados no
referido anexo, a organização será fortemente argumentar a
inaplicabilidade dos controles não implementado.
• ISO 27002: A partir de 01 de julho de 2007, é
o novo nome da ISO 17799:2005, manter 2005 como o ano da
publicação. É um guia de boas práticas descreve os objetivos de
controle e os controles recomendados para a segurança de
informação. Não é certificável. Ele contém 39 objetivos de controle
e 133 controles, 11 agrupados em domínios. Como referido no ponto
Do mesmo modo, a norma ISO27001 contém um anexo que resume os
controles ISO 27002:2005. Desde 2012, este curso pode ser
comprado em
Curso em Segurança da Informação ISO 27002 .
• ISO 27003: Consiste de um guia de
implementação do SGSI e informações sobre como usar PDCA modelo e
os requisitos de suas diferentes fases. Originou-se na Anexo B do
BS7799-2 e da série dos documentos publicados pelo BSI para Ao
longo dos anos, com recomendações e diretrizes de
implementação.
• ISO 27004: Especificar métricas e
técnicas de medição aplicáveis para determinar A eficácia de um
controle do SGSI e afins. Estas métricas são usadas principalmente
para medir os componentes da fase "C" (Implementar e usar) ciclo
PDCA.
• ISO 27005: Publicado em 04 de junho de 2008.
Estabelece diretrizes para a gestão de riscos em segurança da
informação. Suporta os conceitos gerais especificado na norma ISO /
IEC 27001 e é projetado para ajudar implementação bem sucedida de
segurança da informação com base em uma abordagem gestão de riscos.
Conhecimento de conceitos, modelos, processos e condições descrito
na norma ISO / IEC 27001 e ISO / IEC 27002 é importante para uma
compreensão completa da 27005:2008 ISO / IEC, que é aplicável a
todos os tipos de organizações (por exemplo, empresas comerciais,
agências governo, organizações sem fins lucrativos) que se destinam
a gerir os riscos que possam comprometer a organização de segurança
da informações. Suas opiniões de papel e retire a TR ISO / IEC
13335-3:1998 e ISO / IEC TR 13335-4:2000.
• ISO 27006: Publicado em 13 de fevereiro de
2007. Especifica os requisitos para auditoria de acreditação corpos
e certificação de sistemas de gestão segurança da informação. É uma
versão revista da EA-7/03 (Requisitos para credenciamento de
organismos que operam certificação / registo do SGSI) que
acrescenta ao ISO / IEC 17021 (Requisitos de auditoria e
certificação de sistemas de gestão) Os requisitos específicos
relacionados com a ISO 27001 ea ISMS. Ou seja, ajuda a interpretar
os critérios para a acreditação da ISO / IEC 17021 quando aplicado
a entidades de certificação ISO 27001, mas é um padrão acreditação
em si.
Fonte: http://www.27000.org/
