ISO 27001/27002
ISO/IEC 27001: O Sistema de Gestão (SGSI)
Estabelecimento, implementação, manutenção e melhoria contínua de um SGSI (Sistema de Gestão de Segurança da Informação).
Estrutura Principal (Cláusulas 4 a 10)
As provas cobram muito os requisitos mandatórios:
- Cláusula 4 – Contexto da Organização: Entender questões internas/externas e as partes interessadas.
- Cláusula 5 – Liderança: Comprometimento da alta direção e política de segurança.
- Cláusula 6 – Planejamento: Foco em Gestão de Riscos. Definição de objetivos de segurança.
- Cláusula 7 – Apoio: Recursos, competência, conscientização e informação documentada.
- Cláusula 8 – Operação: Execução do planejamento e avaliação de riscos.
- Cláusula 9 – Avaliação de Desempenho: Monitoramento, auditoria interna e análise crítica pela direção.
- Cláusula 10 – Melhoria: Tratamento de não conformidades e melhoria contínua.
Conceito Chave: O SoA (Statement of Applicability) ou Declaração de Aplicabilidade. É o documento que lista quais controles do Anexo A foram selecionados e por que (ou por que foram excluídos).
ISO/IEC 27002: O Guia de Controles
Serve como um “dicionário” detalhado dos controles que aparecem de forma resumida no Anexo A da 27001.
A Mudança de 2022
A versão antiga (2013) tinha 14 seções e 114 controles. A versão 2022 simplificou tudo para 4 Temas e 93 Controles:
- Organizacionais (37 controles): Políticas, segurança em nuvem, relações com fornecedores.
- Pessoas (8 controles): Treinamento, integração, desligamento, termos de confidencialidade.
- Físicos (14 controles): Perímetros de segurança, monitoramento de entrada, destruição de dados.
- Tecnológicos (34 controles): Autenticação, criptografia, prevenção de malware, backup.
Atributos dos Controles (Novidade da 27002:2022)
Agora, cada controle possui “tags” para facilitar a busca. As provas podem perguntar sobre esses tipos:
- Tipo de Controle: Preventivo, Detectivo ou Corretivo.
- Propriedades de Segurança: Confidencialidade, Integridade e Disponibilidade (CID).
- Capacidades Operacionais: Governança, Gestão de Ativos, Proteção de Dados, etc.
Diferenças Cruciais para a Prova
| Característica | ISO 27001 | ISO 27002 |
|---|---|---|
| Objetivo | Requisitos para o Sistema de Gestão. | Guia prático para os Controles. |
| Certificação | Sim, a empresa se certifica nela. | Não, é apenas consultiva. |
| Público | Gestores e Auditores. | Implementadores e TI. |
| Foco | Processo (PDCA/Melhoria). | Técnica e execução. |
Termos importantes
- Risco Residual: O risco que sobra após a aplicação dos controles.
- Appetite ao Risco: Quanto risco a organização está disposta a aceitar.
- Tratamento de Risco: Pode ser: Mitigar (reduzir), Transferir (seguro), Aceitar ou Evitar (parar a atividade).
- Informação Documentada: Substitui os antigos termos “documentos” e “registros”.