Compliance

Origem: Wikipdia, a enciclopdia livre.

Ir para: navegao, pesquisa Esta pgina ou seco no cita nenhuma fonte ou referncia, o que compromete sua credibilidade (desde janeiro de 2011). Por favor, melhore este artigo providenciando fontes fiveis e independentes, inserindo-as no corpo do texto por meio de notas de rodap. Encontre fontes: Google
notcias, livros, acadmico Scirus. Veja como referenciar e citar as fontes.

No mbito institucional e corporativo, Compliance o conjunto de disciplinas para fazer cumprir as normas legais e regulamentares, as polticas e as diretrizes estabelecidas para o negcio e para as atividades da instituio ou empresa, bem como evitar, detectar e tratar qualquer desvio ou inconformidade que possa ocorrer. O termo Compliance tem origem no verbo em ingls to comply, que significa agir de acordo com uma regra, uma instruo interna, um comando ou um pedido. Compliance muito presente em instituies e empresas. Originada no mercado financeiro, tem se estendido para as mais diversas organizaes privadas e governamentais, especialmente aquelas que esto sujeitas a forte regulamentao e controle. Atravs das atividades de Compliance, qualquer possvel desvio em relao a poltica interna, identificado e evitado. Assim, por exemplo no caso de scios e investidores, estes tm a segurana de que suas aplicaes e orientaes sero geridas segundo as diretrizes por eles estabelecidas. No existe compliance se no houver segregao de funes. Por exemplo, quem determina um investimento no pode ser a mesma pessoa a fiscaliz-lo. Quem cria uma norma interna no pode nomear a si prprio como fiscalizador desta norma. A partir de meados da decada de 90, todas as organizaes pblicas e privadas passaram a adotar o Compliance como uma de suas regras mais primrias e fundamentais para a transparncia de suas atividades. O oposto tambm vlido: As empresas ou rgos pblicos que no possuem uma rea forte de Compliance, perdem em credibilidade perantes as partes relacionadas (stakeholders) e cada vez mais perdem oportunidades no mercado, principalmente no financeiro. As atividades de Compliance, para terem credibilidade, no devem ter em seus quadros jovens recm-contratados, recm-formados ou estagirios. S devem ocupar cargos de Compliance pessoas com larga e comprovada experincia no apenas no negcio em si, mas com forte experincia em cargos de liderana em empresas de mdio ou grande porte.

Devido enorme responsabilidade dos executivos de Compliance, estes devem estar prontos para responder aos stakeholders e perante a lei por suas atividades.

Conhecendo a ABNT NBR ISO/IEC 27001 Parte 1

Por Alxia Lage de Faria | 25 de outubro de 2010 | Governana de TI, Qualidade, Segurana | 3 comentrios Siga-nos: TwitterFacebookRSS A ABNT NBR ISO/IEC 27001 Sistemas de gesto de segurana da informao Requisitos especifica requisitos para um Sistema de Gesto de Segurana da Informao (SGSI). E o que um SGSI? um sistema de gesto desenvolvido para a segurana da informao de uma organizao, baseado em uma abordagem de riscos do negcio. O documento da norma estruturado em oito sees. As sees 0 a 3 referem-se Introduo, Objetivo, Referncia Normativa e Termos e Definies. J os requisitos propriamente ditos se localizam nas sees 4 a 8. Para facilitar o entendimento, sero apresentadas primeiramente as sees 0 a 2. A seo 3 referente aos Termos e Definies no ser abordada. Apenas quando se fizer necessrio, um ou outro termo ser aqui esclarecido.
Seo 0 Introduo

A norma sugere a adoo de uma abordagem de processo para um SGSI, ou seja, que a organizao deve identificar e gerenciar os processos envolvidos em um Sistema de Gesto de Segurana da Informao, bem como reconhecer suas interaes. Alm disso, a ABNT NBR ISO/IEC 27001 tambm adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA uma ferramenta gerencial que possibilita a melhoria contnua de processos e a soluo de problemas.

Figura 1 Ciclo PDCA aplicado aos processos de um Sistema de Gesto de Segurana da Informao. Fonte: ABNT, 2006, p. v.

Ressalta-se que a ABNT NBR ISO/IEC 27001 est alinhada s normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatvel com outros sistemas de gesto.
Seo 1 Objetivo

A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementao, operao, monitorao, anlise crtica, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao (SGSI). Os requisitos so genricos de maneira a permitir que sejam aplicveis a quaisquer organizaes, independentemente do tipo, tamanho e natureza. importante salientar que no aceitvel que uma organizao que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas sees 4 a 8. Porm, observado que: Qualquer excluso de controles considerada necessria para satisfazer aos critrios de aceitao de riscos precisa ser justificada e as evidncias de que os riscos associados foram aceitos pelas p essoas responsveis precisam ser fornecidas. Onde quaisquer controles forem excludos, reivindicaes de conformidade a esta Norma no so aceitveis, a menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidade de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis (ABNT, 2006, p. 2).
Seo 2 Referncia Normativa

A norma ABNT NBR ISO/IEC 17799:2005 referenciada como indispensvel para a aplicao da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituda pela ABNT NBR ISO/IEC 27002. Voc pode saber um pouco mais sobre essa norma em Conhea a NBR ISO/IEC 27002 Parte 1 No prximo artigo, sero abordados os requisitos da norma ABNT NBR ISO/IEC 27001.
Referncia Bibliogrfica

ISO 27001
Origem: Wikipdia, a enciclopdia livre. Ir para: navegao, pesquisa

ISO/IEC 27001 um padro para sistema de gesto da segurana da informao (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo ISO/IEC 27001:2005 - Tecnologia da informao -

tcnicas de segurana - sistemas de gerncia da segurana da informao - requisitos mas conhecido como ISO 27001[1]. Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A especificao e implementao do SGSI de uma organizao so influenciadas pelas suas necessidades e objetivos, exigncias de segurana, os processos empregados e o tamanho e estrutura da organizao. Este padro o primeiro da famlia de segurana da informao relacionado aos padres ISO que espera-se sejam agrupados srie 27000. Outros foram includos antecipadamente:

ISO 27000 - Vocabulrio de Gesto da Segurana da Informao (sem data de publicao); ISO 27001 - Esta norma foi publicada em Outubro de 2005 e substituiu a norma BS 7799-2 para certificao de sistema de gesto de segurana da informao; ISO 27002 - Esta norma ir substituir em 2006/2007 o ISO 17799:2005 (Cdigo de Boas Prticas); ISO 27003 - Esta norma abordar as diretrizes para Implementao de Sistemas de Gesto de Segurana da Informao, contendo recomendaes para a definio e implementao de um sistema de gesto de segurana da informao. Dever ser publicada em 2006; ISO 27004 - Esta norma incidir sobre as mtricas e relatrios de um sistema de gesto de segurana da informao. A sua publicao dever ocorrer em 2007; ISO 27005 - Esta norma ser constituda por indicaes para implementao, monitoramento e melhoria contnua do sistema de controles. O seu contedo dever ser idntico ao da norma BS 7799-3:2005 Information Security Management Systems - Guidelines for Information Security Risk Management, a publicar em finais de 2005. A publicao da norma ISO 27005 ocorreu em meados de 2008; ISO 27006 - Esta norma especifica requisitos e fornece orientaes para os organismos que prestem servios de auditoria e certificao de um sistema de gesto da segurana da informao.

ISO 27001 foi baseado e substitui o BS 7799 parte 2, o qual no mais vlido.

ndice
[esconder]

1 Certificao 2 Estgios 3 Referncias 4 Ligaes externas

[editar] Certificao
A srie ISO 27000 est de acordo com outros padres de sistemas de gerncia ISO, como ISO 9001 (sistemas de gerncia da qualidade) e ISO 14001 (sistemas de gerncia ambiental), ambos em acordo com suas estruturas gerais e de natureza a combinar as melhores prticas com padres de certificao. Certificaes de organizao com ISMS ISO/IEC 27001 um meio de garantir que a organizao certificada implementou um sistema para gerncia da segurana da informao de acordo com os padres. Credibilidade a chave de ser certificado por uma terceira parte que respeitada, independente e competente. Esta garantia d confiana gerncia, parceiros de negcios, clientes e auditores que uma organizao sria sobre gerncia de segurana da informao - no perfeita, necessariamente, mas est rigorosamente no caminho certo de melhora contnua. A ABNT - A Associao Brasileira de Normas Tcnicas (ABNT) elaborou a NBR ISO/IEC 27001:2006 que uma traduo idntica da ISO/IEC 27001:2005, que foi elaborada pelo Join Technical Committee Information Technology (ISO/IEC/JTC 1), subcommittee IT Security Tecchniques (SC 27). Certificao ISO/IEC 27001 geralmente envolve um processo de auditoria em dois estgios:

[editar] Estgios
Estgio um uma reviso em cima da mesa da existncia e completude de documentao chave como a poltica de segurana da organizao, declarao de aplicabilidade (SoA) e plano de tratamento de risco (PTR). Estgio dois um detalhamento, com auditoria em profundidade envolvendo a existncia e efetividade do controle ISMS declarado no SoA e PTR, bem como a documentao de suporte. Renovao do certificado envolve revises peridicas e redeclarao confirmando que o ISMS continua operando como desejado.