Em março de 2017 foi publicada a segunda edição da norma ISO/IEC 27003:2017 “Information technology – Security techniques – Information security management system – Guidance”. Este documento tem como propósito proporcionar ajuda e servir como guia para a implementação de um sistema de gestão de segurança da informação baseada na ISO 27001:2013.
Totalmente alinhada com a estrutura da ISO27001:2013, desde a cláusula 4 à 10, este guia de implementação, para cada uma destas cláusulas, segue o seguinte fio condutor:
- Atividade requerida;
- Explicação;
- Orientação;
- Informação adicional
O maior desafio na edição desta norma foram as cláusulas referentes ao “Planeamento” (clausula 6) e “Operação” (clausula 8) que proporcionaram debates e discussões saudáveis em torno da análise de risco.
Este trabalho contou com a participação de membros especialistas de mais de 75 países e com reuniões presenciais na França, Coreia, Hong Kong, México, Malásia, Índia, EUA, Reino Unido e Dubai.
Com esta publicação culmina o intenso trabalho realizado nos últimos cinco anos pela SC27, liderado pela equipa de editores da ISO 27003, formado por Jan Branzell (Suécia), Raquel Porciúncula (Portugal, sócia de Ozona Consulting) e Yukihiko Kitahara (Japão).
Nesta altura, onde a implementação do Regulamento Geral de Proteção de Dados (RGPD) está no seu auge, contar com orientações claras para implementar um Sistema de Gestão de Segurança da Informação (SGSI) é de grande ajuda. Isto porque:
- Um SGSI apoia a proteção de dados pessoais, caso a sua implementação enderece os aspetos estabelecidos no RGPD.
- Muitos dos controlos de segurança referidos no Anexo A da ISO/IEC 27001 e consequentemente na ISO 27002 podem ser usados diretamente.
- Muitos dos processos do SGSI podem ser usados para os requisitos no RGPD, como os processos de gestão de risco de segurança da informação, auditoria, indicadores e medidas, incidentes e não-conformidades.
Assim, um SGSI que incorpora dados pessoais de acordo com o RGPD, deve gerir a identificação e o processo de risco, assim como os controlos de segurança, sem existir a necessidade de criar “novos” processos similares apenas para o RGPD.
Na semana de 18 a 25 de Abril, aconteceu o último encontro da SC27 na Nova Zelândia, onde o esforço desta equipa foi agradecido e aplaudido.
A nova norma, de 45 páginas, encontra-se disponível na web da ISO e o seu índice e introdução podem ser consultados online.