Publicação da ISO 27003:2017 com uma sócia da Ozona como editora · Ozona Consulting
2447
post-template-default,single,single-post,postid-2447,single-format-standard,,side_area_uncovered_from_content,qode-child-theme-ver-1.0.0,qode-theme-ver-13.5,qode-theme-bridge,wpb-js-composer js-comp-ver-6.10.0,vc_responsive
Ozona Consulting · ISO 20000, ISO 270001, ISO 22301 consultancy

Publicação da ISO 27003:2017 com uma sócia da Ozona como editora

Em março de 2017 foi publicada a segunda edição da norma ISO/IEC 27003:2017 “Information technology – Security techniques – Information security management system – Guidance”. Este documento tem como propósito proporcionar ajuda e servir como guia para a implementação de um sistema de gestão de segurança da informação baseada na ISO 27001:2013.

Jan Branzell y Raquel Porciúncula en las oficinas de Ozona en Lisboa

Jan Branzell e Raquel Porciúncula no escritório da Ozona em Lisboa

Totalmente alinhada com a estrutura da ISO27001:2013, desde a cláusula 4 à 10, este guia de implementação, para cada uma destas cláusulas, segue o seguinte fio condutor: 

  • Atividade requerida; 
  • Explicação;
  • Orientação;
  • Informação adicional

 

O maior desafio na edição desta norma foram as cláusulas referentes ao “Planeamento” (clausula 6) e “Operação” (clausula 8) que proporcionaram debates e discussões saudáveis em torno da análise de risco.

Dois dos editores da ISO 27003, Jan Branzell e Raquel Porciúncula

Este trabalho contou com a participação de membros especialistas de mais de 75 países e com reuniões presenciais na França, Coreia, Hong Kong, México, Malásia, Índia, EUA, Reino Unido e Dubai. 

Com esta publicação culmina o intenso trabalho realizado nos últimos cinco anos pela SC27, liderado pela equipa de editores da ISO 27003, formado por Jan Branzell (Suécia), Raquel Porciúncula (Portugal, sócia de Ozona Consulting) e Yukihiko Kitahara (Japão).

Nesta altura, onde a implementação do Regulamento Geral de Proteção de Dados (RGPD) está no seu auge, contar com orientações claras para implementar um Sistema de Gestão de Segurança da Informação (SGSI) é de grande ajuda. Isto porque:

  • Um SGSI apoia a proteção de dados pessoais, caso a sua implementação enderece os aspetos estabelecidos no RGPD.
  • Muitos dos controlos de segurança referidos no Anexo A da ISO/IEC 27001 e consequentemente na ISO 27002 podem ser usados diretamente. 
  • Muitos dos processos do SGSI podem ser usados para os requisitos no RGPD, como os processos de gestão de risco de segurança da informação, auditoria, indicadores e medidas, incidentes e não-conformidades.

 

Assim, um SGSI que incorpora dados pessoais de acordo com o RGPD, deve gerir a identificação e o processo de risco, assim como os controlos de segurança, sem existir a necessidade de criar “novos” processos similares apenas para o RGPD.

Na semana de 18 a 25 de Abril, aconteceu o último encontro da SC27 na Nova Zelândia, onde o esforço desta equipa foi agradecido e aplaudido. 

A nova norma, de 45 páginas, encontra-se disponível na web da ISO e o seu índice e introdução podem ser consultados online.