Ela também ajuda a consolidar o Sistema de Gestão da Segurança da Informação (SGSI). Isso assegura que os processos sejam continuados e mantidos em seu empreendimento.
Para entender melhor o que é essa regra e de que forma ela pode te ajudar, este post vai abordar seu conceito, objetivos, benefícios e principais itens que a compõe. Vamos lá?
O que é a ISO 27002?
A série de normas 27000 foi criada pela International Organization for Standardization (ISO) e International Electrotechnical Comission (IEC) para indicar as diretrizes necessárias para a segurança da informação.
Dentro desse escopo está a 27002, que define o código de boas práticas para dar o suporte necessário à implantação do SGSI.
Quais são seus objetivos?
O foco da norma 27002 é determinar princípios gerais para implantar o SGSI e iniciar, manter e aprimorar a segurança da informação. Nesse contexto, também estão incluídos: seleção, implementação e gestão dos controles segundo os ambientes de risco encontrados na empresa.
Porém, essa não é uma norma de gestão, ou seja, seu objetivo não é indicar como determinado sistema deve ser administrado. Essa responsabilidade é da 27001, que ajuda a construir a base da segurança da informação. A 27002 é um complemento, porque permite implementar os controles para isso.
Quais são os benefícios para as empresas?
A 27002 oferece diversos benefícios às empresas que adotam suas diretrizes. Os principais são:
- conscientização da importância da segurança da informação;
- controle adequado de ativos e informações sensíveis;
- abordagem correta para implantar políticas de controles;
- identificação de riscos e possibilidade de corrigir os pontos fracos;
- diminuição do risco de responsabilidade ao implementar o SGSI e/ou delimitação de políticas e processos;
- conquista de diferencial competitivo, o que atrai mais clientes;
- organização melhor estruturada de processos e mecanismos, os quais serão bem gerenciados e desenhados;
- redução de custos devido à prevenção de incidentes na área de segurança da informação;
- conformidade com a legislação e outros regulamentos.
Quais são os principais itens que compõem a ISO 27002?
A 27002 é composta por diferentes itens. Cada um deles representa uma seção, que oferece indicações sobre o controle da segurança da informação. Os principais componentes são:
Seção 5 — Política de segurança da informação
A norma indica a criação de um documento relativo à segurança da informação, o qual deve conter os principais conceitos e definir uma estrutura que identifica os objetivos e modos de controle. Além disso, determina-se que a direção deve estar comprometida com a política estipulada.
Seção 6 — Organização da segurança da informação
A ideia é definir uma estrutura para gerenciar a segurança da informação de modo adequado. Isso é obtido quando representantes da empresa coordenam as atividades e definem de maneira clara quais são as responsabilidades e de que forma deve-se proteger os dados sigilosos.
Seção 7 — Gestão de ativos
Esses itens são aqueles que têm valor para a empresa e que, portanto, devem ser protegidos. O primeiro passo é identificá-los e classificá-los para que um inventário seja elaborado e mantido. Também é preciso cumprir regras documentadas, que determinam o tipo de uso que é autorizado.
Seção 8 — Segurança em recursos humanos
A contratação de um novo colaborador ou fornecedor exige uma análise prévia, principalmente se ele tiver acesso a dados sensíveis. O objetivo, aqui, é impedir o roubo, fraude ou mau uso de recursos e informações. Também é recomendado repassar ao funcionário os riscos da segurança da informação e quais são suas responsabilidades e obrigações.
Seção 9 — Segurança física e do meio ambiente
As instalações e equipamentos de dados sensíveis devem permanecer em áreas seguras, que contenham controle de acesso e níveis hierárquicos para proteção contra imprevistos físicos ou ambientais.
Agora que você já sabe o que é a ISO 27002 e para que ela serve, que tal aplicar as práticas na sua empresa? Aproveite para ampliar, ainda mais, a segurança da informação na sua organização lendo o e-book “Tudo que você precisa saber para não ter dúvidas sobre cloud computing“.
Acompanhe também a relação entre a ISO 27002 e a Lei Geral de Proteção de Dados (LGPD) na “Cartilha Lei Geral de Proteção de Dados” da Anahp – Associação Nacional de Hospitais Privados.