O que tem diferença entre a ISO27000, ISO27001, ISO27002, ISO27003 ?
Soluções para a tarefa
Olá!
Resposta:
A ISO 27000 é o documento que apresenta a família (chamamos dessa forma para facilitar a categorização por temas). Portanto, é na 27000 que se encontram os macro-objetivos da família 27000, o glossário oficial que deverá ser coerente em todas as outras publicações, além de uma visão geral sobre o tema SGSI. É nessa norma também que se encontra uma listagem das demais publicações e seus objetivos.
Na ISO 27001 é onde estão os requisitos de implementação do SGSI. É esta a norma que apresenta os controles e requisitos de um sistema de gestão de segurança da informação. O atendimento aos pontos definidos nessa norma é que permitem trazer o reconhecimento e a certificação em SGSI. Portanto, quando uma organização certifica-se, isto ocorre na ISO 27001. A ISO 27001 divide-se em duas partes, que são "Requisitos" e "Controles" do Anexo A. Para tornar simples, nesse momento considera que o atendimento integral aos "Requisitos" é mandatório para a certificação, e os controles do Anexo A serão considerados caso a caso, conforme o resultado do gap analisys com base em uma avaliação de riscos (falamos sobre estes dois elementos depois).
Já a ISO 27002 é um documento extremamente importante para aqueles que estão trabalhando no sentido da certificação da organização em que trabalha ou para a qual presta serviços. É na ISO 27002 que estão os códigos de práticas. Em outras palavras, é o "como" para os controles do Anexo A da ISO 27001. Não à toa, sua estrutura é totalmente voltada para ser uma espécie de "manual orientador" para atender aos controles. Ou, ao menos, apresenta uma excelente referência para tal. Mas não é mandatória em hipótese alguma para um processo de certificação.
É na ISO 27003 que se encontrará o guia de implementação do sistema de gestão de segurança. De uma maneira muito bem estruturada, com o descritivo claro de cada etapa, dos insumos e dos resultados esperados e das formas como se processam cada requisito, é a melhor referência para o cumprimento dos requisitos da ISO 27001. Portanto, em uma relação de suporte, a ISO 27003 faz um papel semelhante à ISO 27002, sendo que esta para os controles do Anexo A e aquela para os Requisitos mandatórios da norma de certificação.
Espero ter ajudado.