-
A série ISO 27000 está de acordo com outros padrões de sistemas de gerência ISO, como ISO 9001 (sistemas de gerência da qualidade) e ISO 14001 (sistemas de gerência ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores práticas com padrões de certificação.
Certificações de organização com ISMS ISO/IEC 27001 /27002 é um meio de garantir que a organização certificada implementou um sistema para gerência da segurança da informação de acordo com os padrões.
Credibilidade é a chave de ser certificado por uma terceira parte que é respeitada, independente e competente. Esta garantia dá confiança à gerência, parceiros de negócios, clientes e auditores que uma organização é séria sobre gerência de segurança da informação - não perfeita, necessariamente, mas está rigorosamente no caminho certo de melhora contínua.
http://pt.wikipedia.org/wiki/ISO_27001
-
O erro foi dizer que "não apresenta controles específicos a serem tomados como base para a proteção de ativos".
Existem controles específicos para controles de ativos.
O restante está correto. A 27002 não pode ser utilizada para fins de certificação. Para cerficação usa-se a 27001.
-
O resto não está totalmente certo.
Dizer que a norma apenas propõe diretrizes também é errado, pois ela propõe controles, objetivos de controle, diretrizes e informações adicionais.
-
Senhores essas duas partes já invalidam a questão:
A norma ABNT NBR ISO/IEC 27002 apresenta critérios para a organização geral do sistema de gestão da segurança da informação. Por ser uma norma genérica, (1° PARTE)que apenas propõe diretrizes, não pode ser utilizada para fins de certificação,
(2° PARTE) pois não apresenta controles específicos a serem tomados como base para a proteção de ativos em uma empresa.
(1° PARTE)
Segundo a ISO 27002, p.21, "
1 OBJETIVO
Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização."
(2° PARTE)
Segundo a ISO 27002, p. 41,
"7 GESTÃO DE ATIVOS
Objetivo: Alcançar e manter a proteção adequada dos ativos da organização.
7.1.1 Inventário dos ativos
7.1.2 Proprietário dos ativos
7.1.3 Uso aceitável dos ativos
7.2.1 Recomendações para classificação
7.2.2 Rótulos e tratamento da informação"
CONCLUSÃO: A NORMA NÃO PROPÕE APENAS DIRETRIZES, E ELA POSSUI UMA SEÇÃO PRÓPRIA PARA GESTÃO DE ATIVOS NA SEÇÃO 7 COM SEUS RESPECTIVOS CONTROLES VISANDO A PROTEÇÃO DE ATIVOS DE UMA EMPRESA.
-
bom, ela pode ser utilizada para certificação de profissionais... não?
-
Raphael, para fins de certificação dos profissionais, a ISO 27002 pode sim ser usada, já para certificar a empresa, usa-se a ISO 27001.
Segundo Aragon(2012,p.426),"A empresa é certificada na norma ISO/IEC 27001.
(...)
No âmbito pessoal, existe a certificação ISO/EEC 27002 Foundation, que visa atestar a proficiência dos profissionais nos fundamentos da norma. "
IMPLANTANDO A GOVERNANÇA DE TI-3 EDIÇÃO 2012-ARAGON.
-
ISO 27001 --> diretrizes --> certifica empresas
ISO 27002 --> implementação --> certifica profissionais
-
Prezados,
O comando da questão na verdade tenta enganar o candidato quanto a diferença das normas 27001 e 27002. A norma 27001 sim que propõe apenas diretrizes, não sendo usada para fins de certificação. A norma 27002, por outro lado , apresenta os controles e é usada para fins de certificação;
Portanto a questão está errada.
-
Gabarito errado
Essa está bem errada....
A ISO 27002 são as diretrizes e a 27001 é que trabalha com o SGSI, e ainda por cima a 27002 têm certificação sim.
Vamos na fé !
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !