Boa Noite Srs.

Acompanho a comunidade há algum tempo, e no sentido de ajudar, resolvi entrar na comunidade e contibuir visando seu crescimento.

Uma coisa que eu vejo é uma certa confusão entre a ISO 17799 e a ISO 27001, e com esse post espero sanar.

-------------------------------------------------------------------------

Primeiro é importante citar o título das devidas normas.
ISO 17799 : Code of practice for information security management
ISO 27001 : Information Security Management Systems - Requirements

Então a primeira é um "códico de práticas" e a segunda é "requirementos (hum!) para sistema de gestão de segurança da informação".
Na primeira, você não é obrigado a seguir as RECOMENDAÇÕES, já na segunda todos os itens do item 4.2 são obrigatórios.

Outra questão que se é comum o erro, é a certificação; Não é possível certificar ISO 17799, apenas ISO 27001.
Há a certificação BS 7799 (part1) que é a versão inglesa (Britanish Standart) e progenitora da ISO 17799.
No entando, não há certificação BS 7799 (part2), mas há a certificação ISO 27001.

[size=2](em outra oportunidade, se houver interesse, posso falar mais sobre a interação e evolução dessas normas)[/size=2]
------------------------------------------------------------------------


Com esses conceitos em mente, fica muito fácil entender as diferenças (ou semelhanças) e nuances entre essas normas.

A ISO 27001 é uma norma que gere segurança na corporação, ou seja, cria um sistema de segurança (SGSI) dentro da sua empresa. Isso em nenhum momento garante segurança, eu costumo falar que, com um sistema desses implementado, você consegue "ver" o problema de segurança MUITO mais facilmente. Nesta norma ela contém controles de segurança, apenas cita, por exemplo, o controle A.9.1.1 é Perímetro de Segurança Física, o que isso quer dizer? Que as áreas de segurança que você (security officer, gestor, diretor, etc...) definir que uma determinada área é de segurança devem ser protegidos por meios de barreiras lógicas ou físicas. Essa definição é MUITO abragente,e pode ter várias interpretações. Nesse momento é que entra a ISO 17799, pois nessa ISO contem todos os controles que tem na ISO 27001 só que com explicações e exemplos de implementação. Isso ajuda MUITO na implementação numa corporação.
Interessante acrescentar também que os controles não são co-relacionados, ou seja, um controle que na ISO 27001 é o número 10, não quer dizer que na ISO 17799 seja o mesmo número, até porque as duas normas tem revisão em diferentes times.

Em suma podemos dizer que a ISO 17799 está contida na ISO 27001.
Como é uma norma de sistema de segurança, a ISO 27001 também contem várias pitadas de outras ISO, por exemplo a ISO 15408 (segurança no desenvolvimento), mas não quer dizer que ao atender 100% a ISO 27001 você atenderá a ISO 15408 ou o ITIL, que também dá suas caras dentro dessa ISO, digamos que essas metodologias "emprestam" seus controles.

Por exemplo, na ISO 27001, o controle A.10.3.2 (Aceitação de sistemas), ou seja, HOMOLOGAÇÃO, mesmo na ISO 17799 se você buscar informações sobre esse controle, não será nem de perto as informações que você encontra na ISO 15408. Isso indica uma nova tendencia das normas ISO, que é a convergência em um ponto, resultado de várias interseções (outras ISO).

E na auditoria? Como dito anteriormente, só há a certificação ISO 27001, e não a ISO 17799, portanto... Você audita com base na ISO 27001. MAS isso não quer dizer que um serviço de auditoria não utilize a ISO 17799, pois ela é usada como referência ou "tira-dúvidas" do controle. Mas nada obrigatorio, debaixo do braço obrigação é a ISO 27001, o resto é "material de apoio".

O selo 27001, contem um descritivo do escopo, ou seja quando uma empresa fala que é certificada ISO 27001, leia o selo porque ela pode ser certificada apenas no CPD, ou na sala de xerox. Nada impede que se faça isso, e também não é errado a empresa falar que é certificada 27001 quando se certifica apenas uma máquina ou o cpd - sem problema nenhum, apenas marketing.


Custos; Hoje a obtenção do selo 27001 varia de acordo com o orgão certificador, mas sempre são caros. Não há nada tabelado e tudo é acordado, por exemplo, a empresa certificadora (a qual emite o selo) pode nao arcar com nenhum custo de viajem ou hospedagem do auditor. Mas se acordado, as coisas podem mudar. (Bem Vindo ao capitalismo)


Bom, em um primeiro momento, a intenção realmente é explanar a diferença entre essas normas.
Espero ter ajudado, ao menos uma pessoa, já valeu a pena.

No mais,

[]s

------------------------------------------------------------------------

Links:

1. http://pt.wikipedia.org/wiki/ISO_27001
2. http://www.modulo.com.br/pt/page_i.j...mber=0&idiom=0
3. http://www.modulo.com.br/pt/page_i.j...mber=0&idiom=0
4. http://www.modulo.com.br/pt/page_i.j...mber=0&idiom=0

Amigo,

se puder se aprofundar mais no assunto gostaria muito.

Obrigado
Edivar Júnior

otimo material, tb vou contibuir, quem quiser eu posso passar um material de um curso que eu estou fazendo. Ele se refere a ISO 17799:2005, intitulado: Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005. um bom material pra quem quer entender mais sobre a certificação.
ate mais!

Alan se vc puder me enviar o material, será muito bem aproveitado.

Obrigado.

Alan, se não for o da Academia Latino-Americana de Segurança da Informação (pela Microsoft), gostaria que você me enviasse também!! E quem quiser, estou à disposição para enviar o material da Academia, que possuo comigo aqui!!!

Abs,

Gcardoso,
é exatamente esse material =)
mais acho que tenho um outro aqui.
me manda seu e-mail
e por fala nisso...vc ta em q modo da cademia?
abraço!

Alan,

Terminei o 4° módulo da disciplina 17799 mês passado. Fui à uma palestra com o Fernado Fonsceca (do capítulo CISSP de São Paulo) e descobri que, se tudo der certo, em Janeiro teremos o próximo módulo da acedemia no ar. Se não me engano será sobre a 27001!!

E vem mais... ITIL, MOF e Cobit até o fim do próximo ano!!

A academia tá ganhando bastante destaque e força no mercado. E o material de lá é excelente!! Será um grande up no currículo, pois, as provas (embora tenham apenas 10 questões) costumam ser muito rígidas e bem elaboradas...

Galera!!! Visitem, divulguem e façam parte:
http://www.technetbrasil.com.br/academia/

Meu email é gustavo.hrc-arroba-gmail-ponto-com

Garande abaraço!!!

;-D

eu estou interessado neste material.

alguém pode disponibilizar?

Cumprimentos Virtuais

Aos que pretendem repassar material: verifiquem primeiro se existem cláusulas de Copyright, Copyleft, Direitos Autorais, etc. Pirataria É CRIME!!!
E crime não combina com Segurança da Informação.

[]s,

RB

---

Gostou do meu comentário? Então o avalie positivamente. É fácil: é só clicar na balança, selecionar "aprovo" e deixar seu recado.

Não é uso indevido, não é quebra de direito autoral. É homenagem.
Best movie, ever: http://robotbastard.robschrab.com/movies/index.html

estou plenamente consciencializado para esse tipo de cláusulas Copyright. Apenas por motivos pessoais é que quero essa informação. Como não tenho dinheiro para ter acções de formação, etc, é que ando a pesquisar na internet.

e se alguém em qualquer parte do mundo tiver informação que me possa ser útil eu vou à procura.

Cumprimentos Virtuais

Esse material que eu tenho é para estudos, não é a documentação oficial. Também estou conciente sobre isso. Sou contra a pirataria e a favor da livre informação, mais respeitando os direitos de todos

As informações que possuo são baratinhas. Basta ter acesso à internet para poder acessá-las. Vá ao site Technet da Microsoft e cadastre-se na próxima turma da Academia de Segurança da Informação. A apostila é de graça! Não tem que pagar nada por elas não... precisa apenas ter um pouco de determinação e paciência para ir passando pelas várias provas e módulos do curso.

Abs,

Referência: http://www.technetbrasil.com.br/academia/

pois mas é necessário residir no Brasil? Sou português e para registar é necessário colocar *CPF: e *CEP: que eu nõ fço mínima ideia do que se trata.

este certificado é exclusivamente para brasileiros?

Cumprimentos!

Gustavo,

Estou interessado no material da Academia Latino-Americana de Segurança da Informação. Vc pode disponibilizá-lo para mim?


Obrigado!

Olá, estou interessada neste material alguém pode me disponibilizar.
Me cadastrei na academia mas atualmente não há nenhum curso em andamento.
Desde já agradeço.