As normas da família ISO/IEC 27000 constituem-se como referenciais para a definição dos requisitos do Sistema de Gestão de Segurança da Informação (SGSI), tendo como norma mais relevante a ISO 27001.
O conceito de segurança da informação vai além do requisito informático e tecnológico, apesar de andarem bem próximos. O SGSI abarca a segurança para todos os tipos de dados e informações em qualquer suporte e possui três atributos básicos: confidencialidade, integridade e disponibilida.
Segundo a definição apresentada na ISO 27001, a adoção de um SGSI é uma decisão estratégica da organização. Este referencial define, assim, os requisitos para estabelecer, implementar, manter e melhorar de forma contínua o SGSI, sendo influenciado pelos objetivos da organização, pelos requisitos de segurança, pelos processos organizacionais utilizados e pela dimensão e estrutura da mesma.
A certificação pela ISO 27001 segue o procedimento habitual para a certificação de outros sistemas de gestão da ISO tais como a ISO 9000 e a ISO 14000, sendo efetuada em duas fases: a primeira consiste numa avaliação mais documental e a segunda numa auditoria mais detalhada.
Constituem-se como principais vantagens da implementação e certificação de um SGSI pela ISO 27000 as seguintes:
José Mota, Consultor da
XZ Consultores, SA