Segurança da Informação - Família ISO 27000

Sep 16 / Paulo Oliveira
Com os adventos da tecnologia no mundo corporativo, em franco crescimento e importante conhecer como funciona a questão das normas diretivas de Segurança da Informação, ou seja, a família ISO 27000.

Importante lembrar que todas as normas são de modo a ajudar, não impor, maneiras de alinhar como atividades de segurança das empresas de forma que e tenha um norte na aplicação das regras. Cada norma INDICA, como deve ser feito, qual a forma mais precisa de moldar como combinada aos processos de sua empresa, sempre levando em consideração o alinhamento com o negócio.

Sobre a Família ISO 27000:

Vamos entender o que significa a ISO / IEC:

ISO (Organização Internacional de Padronização) e IEC (Comissão Eletrotécnica Internacional) formam um sistema especializado para padronização mundial. Órgãos nacionais que são membros da ISO / IEC participam do desenvolvimento das Normas Internacionais através de comitês técnicos reconhecidos pela organização para lidar com campos específicos de atividade técnica. Comitês técnicos da ISO / IEC colaboram em domínios de interesse mútuo. Outras organizações internacionais, governamentais e não-governamentais, afiliadas a ISO / IEC, também participam no trabalho. No campo da tecnologia da informação, a ISO / IEC estabeleceram um comitê técnico, ISO / IEC JTC 1.

Como Normas:

Normas Internacionais para a gestão de sistemas compatíveis com um modelo a seguir na criação e operação de um sistema de gestão. Este modelo contém as características em que os peritos na área alcançada um consenso como sendo uma norma de padrão internacional. ISO / IEC JTC 1 / SC 27 mantém um comitê de especialistas dedicados ao desenvolvimento de normas internacionais de sistemas de gestão de segurança de informação, também conhecido como a família Sistema de Gestão de Segurança de Informação (SGSI) das normas.

A Família: 

  • ISO / IEC 27000:  É uma norma interessante sobretudo para iniciantes na gestão da segurança da informação. Inclui um glossário de termos que ajuda, inclusive, a quem está se preparando para uma certificação profissional Fundação ISO 27002.


Esta norma, define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). O SGSI é descrito como parte do sistema de gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.

O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. A publicação é muito conhecida entre estudantes de concursos de TI. 

  • ISO 27001:  É a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. Por isso, é conhecida como uma única norma internacional aditável que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI)

Ela ajuda a empresa a adotar um sistema de gestão de segurança da Informação que permite mitigar os riscos de segurança exigidos a seus ativos e adequados como a necessidade de uma área de negócio. 

Alguns benefícios propostos pela Norma ISO 27001:
  • Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos
  • Oportunidade de identificar e corrigir pontos fracos
  • A alta direção assume a responsabilidade pela segurança da informação
  • Permite revisão independente do sistema de gestão de segurança da informação
  • Oferece confiança aos parceiros comerciais, partes interessadas, clientes
  • Melhor conscientização sobre segurança
  • Combina recursos com outros Sistemas de Gestão
  • Mecanismo para medir o sucesso do sistema


Estrutura da Norma ISO 27001:

  1. Introdução
  2.  Objetivo
  3. Referência normativa
  4. Termos e definições
  5. Sistema de gestão de segurança da informação
  6. Responsabilidade da direção
  7. Auditorias internas do SGSI7 - Análise crítica do SGSI pela direção
  8. Melhoria do SGSI


A certificação ISO 27001 pode ser obtida por empresas e não por profissionais.
Created with