A perspetiva da Cyber Academy
ISO 27002 é o guia de implementação dos controlos do Anexo A da ISO 27001. Não é certificável por si só. Os auditores recorrem a ele quando pretendem questionar COMO se opera um controlo, e não apenas se está "em vigor". Trate-o como o manual operacional que acompanha a norma de certificação.
O que a norma ISO/IEC 27002 realmente é
ISO/IEC 27002 é o guia de implementação que acompanha a ISO 27001. Enquanto a ISO 27001 é a norma certificável de sistema de gestão que lista os controles do Anexo A e exige que se justifique quais se aplicam, a ISO 27002 explica cada um desses controles em profundidade: a sua finalidade, como é uma boa prática e as considerações práticas de colocá-lo em operação. É um código de boas práticas, não uma lista de requisitos para marcar. Não se certifica em relação à ISO 27002 e um auditor não pode emitir uma não conformidade diretamente contra ela. Ele a utiliza para interpretar o espírito de um controle do Anexo A e para questionar se a sua implementação é genuinamente adequada à finalidade.
Essa distinção importa nas auditorias reais. Uma revisão superficial pergunta se um controle está "implementado". Um auditor que recorre à ISO 27002 pergunta como você o opera: se a revisão de acessos de fato ocorre na cadência que você afirma, se o seu registro captura os eventos que lhe permitiriam detectar um incidente, se as suas cláusulas com fornecedores resistem ao contato com uma violação real. A norma dá a ambas as partes um vocabulário comum para essa conversa, e é por isso que os profissionais a tratam como o manual operacional em vez de uma leitura de apoio.
Como ela se relaciona com a ISO 27001, a SoA e o SGSI
Os três documentos formam uma cadeia. O seu SGSI é o sistema de gestão que conduz todo o programa. A ISO 27001 define o que esse sistema deve fazer e fornece o conjunto de controles. A Declaração de Aplicabilidade (SoA) registra, controle por controle, quais você incluiu, quais você excluiu e por quê. A ISO 27002 é onde você busca a substância de cada controle assim que a SoA lhe indica que ele se aplica. Na prática, as equipes redigem a SoA com a ISO 27001 aberta para o requisito e a ISO 27002 aberta para o guia de implementação, e depois projetam o controle real com base no guia.
As edições modernas da ISO 27002 organizam os controles em quatro temas, organizacional, de pessoas, físico e tecnológico, e marcam cada um com atributos como o tipo de controle, a propriedade de segurança que ele protege e o conceito de cibersegurança pertinente. Esses atributos permitem que você fatie o conjunto de controles de diferentes maneiras, por exemplo extraindo todos os controles preventivos ou todos os que apoiam a detecção, o que ajuda quando você mapeia para outros frameworks ou constrói um plano de tratamento de risco.
O que os profissionais realmente fazem com ela
Em um programa em funcionamento, a ISO 27002 aparece em algumas tarefas recorrentes:
- Projetar controles: quando a SoA marca um controle como aplicável, o guia de implementação molda a política, o procedimento ou a configuração técnica que você constrói.
- Justificar decisões: quando você adapta ou delimita o escopo de um controle, o guia lhe fornece a fundamentação a registrar para que um auditor possa acompanhar o seu raciocínio.
- Preparar-se para a auditoria: as equipes usam o guia para pôr à prova os seus próprios controles antes que o avaliador o faça, fechando a lacuna entre "documentado" e "operando com eficácia".
- Mapear frameworks: a estrutura dos controles e os atributos fazem da ISO 27002 uma espinha dorsal útil para estabelecer correspondências com conjuntos de controles como os CIS Controls ou as orientações do NIST.
Como a ISO 27002 é um guia e não um requisito rígido, o julgamento cabe a você. A norma descreve a intenção e a boa prática; você decide até onde ir com base na sua avaliação de risco. Essa liberdade é o ponto. Ela permite que uma pequena consultoria e uma multinacional reivindiquem ambas a conformidade com o mesmo controle, implementando-o em profundidades muito diferentes, cada uma apropriada ao seu risco.
Frequently asked questions
01É possível certificar-se na ISO 27002?
Não. A ISO 27002 é um código de boas práticas e não é certificável. A certificação é concedida em relação à ISO 27001, que define os requisitos auditáveis do sistema de gestão. A ISO 27002 fornece o guia de implementação no qual você se apoia ao construir os controles que a ISO 27001 audita.
02Qual é a diferença entre a ISO 27001 e a ISO 27002?
A ISO 27001 é a norma de requisitos em relação à qual você se certifica; ela lista os controles do Anexo A e o obriga a justificar a sua inclusão ou exclusão na Declaração de Aplicabilidade. A ISO 27002 é o guia complementar que explica como cada um desses controles deve ser implementado e operado.
03Preciso implementar todos os controles da ISO 27002?
Não. Você seleciona os controles com base na sua avaliação de risco e registra as decisões na Declaração de Aplicabilidade. A ISO 27002 descreve como um controle deve funcionar se você optar por aplicá-lo; ela não exige que você aplique todos eles.
04Como os auditores usam a ISO 27002?
Eles a usam como referência de como é uma implementação competente. Em vez de emitir uma não conformidade contra a própria ISO 27002, um auditor utiliza o seu guia para julgar se a sua implementação de um controle do Anexo A atende genuinamente ao objetivo do controle, e não apenas se algo está nominalmente implementado.