Atualização do LRQA sobre as Normas ISO: Incorporando as necessidades específicas dos setores aos sistemas de gestão de segurança da informação

O gerenciamento dos riscos associados a um ataque cibernético é sempre uma prioridade para as organizações de todos os setores. Com o aumento do número de notícias de ataques e das suas escalas, a proteção de informações importantes, incluindo as dos clientes, é uma preocupação crescente.

Para ajudar a oferecer proteção adequada a setores complexos da indústria, como o de saúde, finanças e transporte, a Organização Internacional para Normalização (ISO) publicou a ISO/IEC 27009, Tecnologia da informação – Técnicas de Segurança – aplicação específica para cada setor da ISO/IEC 27001 – Requisitos, que fornecem orientação sobre a inclusão de requisitos e controles específicos para cada setor, além daqueles estabelecidos pela norma do Sistema de Gestão de Segurança da Informação (SGSI) ISO/IEC 27001:2013.

Rob Acker, Gerente Técnico de Segurança da Informação do LRQA, falou sobre a publicação da nova norma: "A publicação da ISO/IEC 27009 representa uma fase importante para a otimização e racionalização em todos os setores da indústria. Com muitos requisitos complexos nesses diferentes setores, a ISO/IEC 27009 ajudará a garantir que todos eles possam ser explicados, mantendo, ao mesmo tempo, a segurança robusta oferecida pela ISO/IEC 27001 – protegendo as organizações, os seus SGSIs e os seus clientes."

A ISO/IEC 27009 fornece um modelo no qual a ISO/IEC 27001 ou a ISO/IEC 27002 podem ser aprimoradas ou refinadas para incluir os requisitos específicos do setor ou em relação ao qual os requisitos podem ser interpretados para garantir a sua implementação consistente e facilmente compreensível. Esta abordagem se baseará nas normas do setor, de tecnologia e de riscos específicos existentes, como a ISO/IEC 27011 (telecomunicações), ISO/IEC 27017 (computação em nuvem) ou ISO/IEC 27032 (cibersegurança) minimizando o risco de duplicação ou confusão.  

Para aqueles que desejam continuar usando somente a especificação principal da ISO/IEC 27002 como verificação da sua cadeia de suprimentos, esse modelo também fornece segurança, pois a inclusão de normas específicas para cada setor não reduz a efetividade dos requisitos de referência, já que a abordagem é desenvolvida para impedir a remoção ou, de outro modo, a redução da validade desses controles.

Com todas as principais normas ISO em revisão, o LRQA é pioneiro ao comunicar as mudanças. Oferecemos diversos serviços de auditoria, assim como cursos de treinamento abertos e in company, todos com o objetivo de ajudar a garantir que as organizações, em todo o mundo, tenham uma transição tranquila para as novas normas.

Para mais informações sobre as revisões, escreva para sao-paulo@lrqa.com.br ou acesse www.lrqa.com/isostandardsupdate