ISO/IEC 27002.

ISO 27002 é o guia de implementação dos controlos do Anexo A da ISO 27001. Não é certificável por si só. Os auditores recorrem a ele quando pretendem questionar COMO se opera um controlo, e não apenas se está "em vigor". Trate-o como o manual operacional que acompanha a norma de certificação.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyInformation securityAll entries

A perspetiva da Cyber Academy

ISO 27002 é o guia de implementação dos controlos do Anexo A da ISO 27001. Não é certificável por si só. Os auditores recorrem a ele quando pretendem questionar COMO se opera um controlo, e não apenas se está "em vigor". Trate-o como o manual operacional que acompanha a norma de certificação.

O que a norma ISO/IEC 27002 realmente é

ISO/IEC 27002 é o guia de implementação que acompanha a ISO 27001. Enquanto a ISO 27001 é a norma certificável de sistema de gestão que lista os controles do Anexo A e exige que se justifique quais se aplicam, a ISO 27002 explica cada um desses controles em profundidade: a sua finalidade, como é uma boa prática e as considerações práticas de colocá-lo em operação. É um código de boas práticas, não uma lista de requisitos para marcar. Não se certifica em relação à ISO 27002 e um auditor não pode emitir uma não conformidade diretamente contra ela. Ele a utiliza para interpretar o espírito de um controle do Anexo A e para questionar se a sua implementação é genuinamente adequada à finalidade.

Essa distinção importa nas auditorias reais. Uma revisão superficial pergunta se um controle está "implementado". Um auditor que recorre à ISO 27002 pergunta como você o opera: se a revisão de acessos de fato ocorre na cadência que você afirma, se o seu registro captura os eventos que lhe permitiriam detectar um incidente, se as suas cláusulas com fornecedores resistem ao contato com uma violação real. A norma dá a ambas as partes um vocabulário comum para essa conversa, e é por isso que os profissionais a tratam como o manual operacional em vez de uma leitura de apoio.

Como ela se relaciona com a ISO 27001, a SoA e o SGSI

Os três documentos formam uma cadeia. O seu SGSI é o sistema de gestão que conduz todo o programa. A ISO 27001 define o que esse sistema deve fazer e fornece o conjunto de controles. A Declaração de Aplicabilidade (SoA) registra, controle por controle, quais você incluiu, quais você excluiu e por quê. A ISO 27002 é onde você busca a substância de cada controle assim que a SoA lhe indica que ele se aplica. Na prática, as equipes redigem a SoA com a ISO 27001 aberta para o requisito e a ISO 27002 aberta para o guia de implementação, e depois projetam o controle real com base no guia.

As edições modernas da ISO 27002 organizam os controles em quatro temas, organizacional, de pessoas, físico e tecnológico, e marcam cada um com atributos como o tipo de controle, a propriedade de segurança que ele protege e o conceito de cibersegurança pertinente. Esses atributos permitem que você fatie o conjunto de controles de diferentes maneiras, por exemplo extraindo todos os controles preventivos ou todos os que apoiam a detecção, o que ajuda quando você mapeia para outros frameworks ou constrói um plano de tratamento de risco.

O que os profissionais realmente fazem com ela

Em um programa em funcionamento, a ISO 27002 aparece em algumas tarefas recorrentes:

  1. Projetar controles: quando a SoA marca um controle como aplicável, o guia de implementação molda a política, o procedimento ou a configuração técnica que você constrói.
  2. Justificar decisões: quando você adapta ou delimita o escopo de um controle, o guia lhe fornece a fundamentação a registrar para que um auditor possa acompanhar o seu raciocínio.
  3. Preparar-se para a auditoria: as equipes usam o guia para pôr à prova os seus próprios controles antes que o avaliador o faça, fechando a lacuna entre "documentado" e "operando com eficácia".
  4. Mapear frameworks: a estrutura dos controles e os atributos fazem da ISO 27002 uma espinha dorsal útil para estabelecer correspondências com conjuntos de controles como os CIS Controls ou as orientações do NIST.

Como a ISO 27002 é um guia e não um requisito rígido, o julgamento cabe a você. A norma descreve a intenção e a boa prática; você decide até onde ir com base na sua avaliação de risco. Essa liberdade é o ponto. Ela permite que uma pequena consultoria e uma multinacional reivindiquem ambas a conformidade com o mesmo controle, implementando-o em profundidades muito diferentes, cada uma apropriada ao seu risco.

Frequently asked questions

01É possível certificar-se na ISO 27002?

Não. A ISO 27002 é um código de boas práticas e não é certificável. A certificação é concedida em relação à ISO 27001, que define os requisitos auditáveis do sistema de gestão. A ISO 27002 fornece o guia de implementação no qual você se apoia ao construir os controles que a ISO 27001 audita.

02Qual é a diferença entre a ISO 27001 e a ISO 27002?

A ISO 27001 é a norma de requisitos em relação à qual você se certifica; ela lista os controles do Anexo A e o obriga a justificar a sua inclusão ou exclusão na Declaração de Aplicabilidade. A ISO 27002 é o guia complementar que explica como cada um desses controles deve ser implementado e operado.

03Preciso implementar todos os controles da ISO 27002?

Não. Você seleciona os controles com base na sua avaliação de risco e registra as decisões na Declaração de Aplicabilidade. A ISO 27002 descreve como um controle deve funcionar se você optar por aplicá-lo; ela não exige que você aplique todos eles.

04Como os auditores usam a ISO 27002?

Eles a usam como referência de como é uma implementação competente. Em vez de emitir uma não conformidade contra a própria ISO 27002, um auditor utiliza o seu guia para julgar se a sua implementação de um controle do Anexo A atende genuinamente ao objetivo do controle, e não apenas se algo está nominalmente implementado.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.