Gbitten

A série 27000 segue o modelo das série 9000 de gestão da qualidade e da série 14000 de gestão ambiental. A série tem planejado os seguintes padrões (em negrito os padrões já publicados):

• ISO 27000 - Information Security Management System Fundamentals and Vocabulary
• ISO 27001 - Information Security Management System Requirements
• ISO 27002 - Code of Practice for Information Security Management (antiga ISO 17799)
• ISO 27003 - Information Security Management System Implementation Guidance
• ISO 27004 - Information Security Management Metrics and Measurement
• ISO 27005 - Information Security Management System Risk Management
• ISO 27006 - Requirements for bodies providing audit and certification of information security management systems
• ISO 27007 - Guidelines for Information security management systems auditing
• ISO 27011 - Information security management guidelines for telecommunications

Existem ainda propostas para outros padrões da série tais como ISO 27031, 27032, 27799, etc.

Origem

A série de padrões ISO 27000 tem sua origem no padrão britânico BS 7799, que possui 3 partes:

• BS 7799-1 - Code of practice for information security management
• BS 7799-2 - Information Security Management Systems - Specification with guidance for use
• BS 7799-3 - Guidelines for information security risk management

A ISO inicialmente publicou o padrão ISO 17799 baseado no BS 7799-1. Depois, acatou a sugestão de criar a série 27000 contendo padrões de Gestão de Segurança da Informação. Com isso, o ISO 17799 foi renumerado para ISO 27002 em julho de 2007.

Arvore genealógica da série 27000

BS 7799:1995
|
+-> BS 7799-1:1999 -> ISO 17799:2000 ---> ISO 17799:2004 ---> ISO 27002:2005
|                     |                   |                   |
|                     +-> NBR 17799:2001  +-> NBR 17799:2005  +-> NBR 27002:????
|
+-> BS 7799-2:1999 -> ISO 27001:2005
|                     |
|                     +-> NBR 27001:2006
|
+-> BS 7799-3:1999 -> ISO 27005:????

ISO 27001

A ISO 27001 define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), sendo estes os requisitos verificados em um processo de certificação de um SGSI.

ISO 27002

A ISO 27002 define os princípios gerais para implantar, manter e evoluir uma gestão de segurança da informação dentro de uma organização. Este padrão tinha originalmente a numeração 17799.

ISO 27006

A ISO 27006 define os requisitos para as Organizações de Acreditação realizarem auditorias e certificações em Sistemas de Gestão de Segurança da Informação.

NBRs

A ABNT publicou os padrões NBR 17799 e NBR 27001. Espera-se que, da mesma forma que a ISO, altere a numeração do padrão NBR 17799 para 27002 em breve.

Marcadores: 27000