A ISO/IEC 27001 é uma das mais importantes normas internacionais sobre segurança da informação, dentro da família de normas 27000. A 27001 é amplamente conhecida e adotada pela comunidade de segurança, fornecendo os requisitos para que as empresas possuam um sistema de gerenciamento de segurança da informação ("information security management system", ou ISMS).
A ISO 27001 surgiu no início dos anos 2000, baseada na BS-7779, uma norma inglesa que fez muito sucesso na comunidade de segurança quando foi lançada em 1995. A BS-7799, embora fosse uma norma britânica, passou a ser usada como referência por empresas em diversos países, a ponto de que, no final dos anos 90, era comum profissionais brasileiros fazerem os treinamentos e prova de certificação para dar consultoria na norma para empresas aqui mesmo no Brasil. A partir da BS-7779, a ISO/IEC então criou a ISO/IEC 17779, publicada em Dezembro de 2000, que foi revisada em 2005 e em seguida deu origem a ISO/IEC 27001 e a ISO/IEC 27002. Isso porque a BS-7799 tinha duas partes, e cada uma delas foi transformada em uma norma ISO diferente. Com o passar dos anos. essas normas deram origem a uma enorme família de normas ISO/IEC 27000 sobre Segurança da Informação. A primeira edição da 27001 foi lançada em 2005 e a versão atual é de 2013, e a ISO está trabalhando na sua revisão e renovação, que deve ser publicado em breve.
Dentro da estrutura da ISO, as normas sobre segurança da informação e privacidade são de responsabilidade do subcomitê 27 (SC 27), dentro da comissão técnica conjunta ("joint technical committee", o JTC 1 - que, por sinal, tem uns 40 subcomitês abaixo dele. Por sinal, o SC 27 existe há mais de 30 anos. O site da ISO lista 216 normas sob responsabilidade do SC 27, além de 73 padrões em desenvolvimento ou revisão.
Aqui no Brasil, compete a Associação Brasileira de Normas Técnicas (ABNT) criar normas e padrões para o mercado nacional. Cabe portanto, a ABNT, a responsabilidade por identificar as normas ISO relevantes para o nosso mercado e criar uma versão em português que é adotada como norma nacional. Ela também tem um grupo de trabalho específico para tratar as normas sobre segurança da informação, a comissão 027 dentro do comitê CB-021 (Tecnologias da Informação e Transformação Digital), formada por voluntários, profissionais de mercado que tem interesse em colaborar na criação de normas. Essa comissão é responsável por criar normas nacionais (como, por exemplo, a NBR 16167, sobre classificação da informação) e adotar para o Brasil as normas da ISO que achar relevante, de acordo com a demanda do mercado nacional. Nesses casos, as normas ISO são traduzidas integralmente para o Português e passam a ser uma norma da ABNT, e portanto, tem efeito normativo no território nacional. A primeira versão brasileira da 27001 (a NBR ISO/IEC 27001) foi publicada pela ABNT em 2006, no ano seguinte a sua publicação como norma internacional ISO.
O processo de criação de uma norma de segurança é longo, muito longo, e pode facilmente passar de 2 anos de trabalho. Isso porque, desde o momento em que ela é sugerida, ela passa por vários estágios de desenvolvimento, desde a coleta de informações e sugestões, criação do primeiro rascunho e diversas etapas de revisão e refinamento, até o momento em que um texto final é criado e aprovado em plenária. E cada fase dessas dura pelo menos 3 meses, pois a ISO faz apenas 4 reuniões por ano com seus grupos de trabalho.
Ah, não custa lembrar: as normas ISO e ABNT são pagas, devem ser compradas nos respectivos sites. Logo, quando você procura por uma versão gratuita das normas, você está violando os direitos autorais e está se arriscando a baixar um documento desatualizado ou, pior, um arquivo infectado com código malicioso.
Veja também:
- Popular Standards: ISO/IEC 27001 Information Security Management
- NBR ISO/IEC 27001 de 11/2013 - Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Requisitos
- Aqui no blog: As Normas ISO/IEC de Segurança da Informação
- Na Wikipedia: ISO/IEC_27001 (Inglês), ISO/IEC_27001 (Português), ISO/IEC_27002 (Inglês), ISO/IEC_27002 (Português)
- O pessoal da Daryus tem alguns artigos legais no blog deles:
Nenhum comentário:
Postar um comentário