O que é a ISO 27001 (ISO/IEC 27001)
A norma ISO/IEC 27001 – Técnicas de Segurança – Sistema de gestão de segurança da informação – Requisitos (ABNT ISO 27001, 2006), publicada em outubro de 2005, apresenta requisitos para que a organização possa organizar um sistema de gestão de segurança da informação (SGSI). A ISO 27001 possui um processo de escalonamento de risco e proteção de ativos, orientando quanto à análise e identificação de riscos e a implantação de controles para minimizá-los.
Objetivo da ISO/IEC 27001:
Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. Ela especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes (ISO/IEC 27001, 2006).
O SGSI possui basicamente a responsabilidade de estabelecer políticas de segurança, multiplicar o conhecimento envolvido e determinar os responsáveis e as medidas cabíveis (ABNT ISO/IEC 27001, 2006).
O Quadro a seguir apresenta os requisitos existentes na norma ISO/IEC 27001:
| N | Requisito | Descrição |
| 1 | Escopo | Abrangência da Norma |
| 2 | Referencia normativa | Normas e padrões relacionados a norma 27001 |
| 3 | Termos e definições | Termos e definições relacionados a segurança da informação |
| 4 | Sistema de Gestão de Segurança da Informação | Referente a criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações |
| 5 | Responsabilidade da Direção | Definição de responsabilidades, treinamento e provisão de recursos do SGSI |
| 6 | Auditorias internas | Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI |
| 7 | Analise critica do SGSI | Analise realizada pela direção da organização das ações efetuadas pelo SGSI |
| 8 | Melhoria do SGSI | Trata das ações corretivas e preventivas efetuadas pelo SGSI |
Fonte: ISO/IEC 2700.
