A construção de normas e planos de segurança passa a ser orientada por uma série de normas desenvolvidas pelo Sistema Internacional de Padronização – ISO/IEC e adotadas, na íntegra, pela Associação Brasileira de Normas Técnicas – ABNT, por exemplo:
••NBR ISO/IEC 27001:2006 – Sistema de gestão de segurança da informação (SGSI);
••NBR ISO/IEC 27002:2005 – Código de prática para a gestão de segurança da informação.
Dentre as normas já publicadas, a NBR ISO/IEC 27002: 2005 estabelece diretrizes e princípios para elaborar, implementar e melhorar a gestão de segurança da informação em uma organização. A norma serve como um guia prático para desenvolver os procedimentos de segurança da informação.

Diferenças entre as normas ISO 27001 e 27002

Quando falamos sobre as normas de segurança da Informação é comum confundirmos a finalidade e o conteúdo das normas ISO 27001 e ISO 27002. De maneira resumida, a norma ISO 27001 é uma norma que apresenta requisitos de auditoria para certificar um Sistema de Gestão de Segurança da Informação também conhecido como Information Security Management System – ISMS. Já a norma ISO 27002 é um guia de execução, com base em boas práticas. Esta traz uma lista de controles que pode ser aplicados em uma organização.

Neste sentido, esta unidade assinala a importância de atender aos requisitos legais e de auditoria para a segurança da informação, bem como estar atento/a aos direitos de propriedade intelectual indicados pela NBR 27002:2005. O texto apresenta um teste de conformidade, a partir dos domínios indicados na NBR 27001: 2006, considerando os controles exigidos pela norma. A conduta ética e a preocupação com os aspectos jurídicos para o caso de violações ou fraudes também serão tratadas no decorrer desses estudos.
Percebe-se que a norma em si não garantirá um sistema de informação 100% seguro, mas, certamente, a vigilância constante e as boas práticas em relação ao que apresenta essa norma podem minimizar os riscos e ataques