ISO 17799

Prefácio

A ISO (International Organization for Standardization) e a IEC (International Electrotechnical Commission) formam o sistema especializado para padronização mundial. Entidades nacionais que são membros da ISO ou IEC participam do desenvolvimento de Padrões Internacionais através de comitês técnicos estabelecidos pela respectiva organização para lidar com campos específicos de atividade técnica. Os comitês técnicos da ISO e da IEC colaboram em campos de interesse mútuo. Outras organizações internacionais, governamentais e não-governamentais, em associação com a ISO e a IEC, também participam dos trabalhos.

Os Padrões Internacionais são esboçados de acordo com as regras estabelecidas nas Diretivas ISO/IEC, Parte 3.

No campo da tecnologia da informação, a ISO e a IEC estabeleceram um comitê técnico conjunto, ISO/IEC JTC 1. Rascunhos dos Padrões Internacionais adotados pelo comitê técnico conjunto são circulados nos órgãos nacionais para votação. A publicação como um Padrão Internacional exige a aprovação de pelo menos 75% dos órgãos nacionais votantes.

Chamamos a atenção para a possibilidade de que alguns dos elementos deste Padrão Internacional podem estar sujeitos a direitos de patente. A ISO e a IEC não serão consideradas responsáveis pela identificação de todos ou quaisquer destes direitos de patente.

O Padrão Internacional ISO/IEC 17799 foi preparado pelo British Standards Institution (como BS 7799) e foi adotado, através de um procedimento especial de “regime de urgência”, pelo Comitê Técnico Conjunto ISO/IEC JTC 1, Tecnologia da Informação, em paralelo à sua aprovação pelos órgãos nacionais da ISO e da IEC.

Por que é necessária a segurança de informações

As informações e os processos, sistemas e redes que lhes dão suporte são ativos importantes para os negócios. A confidencialidade, a integridade e a disponibilidade das informações podem ser essenciais para manter a competitividade, o fluxo de caixa, a rentabilidade, o atendimento à legislação e a imagem comercial.

Cada vez mais, as organizações e seus sistemas de informação e redes enfrentam ameaças de segurança vindas das mais diversas fontes, incluindo fraudes através de computadores, espionagem, sabotagem, vandalismo, incêndio ou enchentes. Fontes de prejuízos tais como vírus de computador, hackers e ataques de negação de serviços têm se tornado mais comuns, mais ambiciosos e cada vez mais sofisticados.

Devido à dependência de sistemas e serviços de informação, as organizações estão mais vulneráveis às ameaças contra a segurança. A interconexão de redes públicas e privadas e o compartilhamento de recursos de informação aumentam a dificuldade de se conseguir controle de acesso. A tendência ao processamento distribuído vem enfraquecendo a efetividade do controle central especializado.

Muitos sistemas de informação não foram projetados para serem seguros. A segurança que pode ser obtida através de meios técnicos é limitada, e deveria ser apoiada por procedimentos e gestão adequados. Identificar quais controles devem ser implementados exige um planejamento cuidadoso e atenção aos detalhes. A gestão da segurança de informações precisa, no mínimo, da participação de todos os empregados da organização. Também pode exigir a participação de fornecedores, clientes ou acionistas. Consultoria especializada de organizações externas também pode ser necessária.