03/08/2012 - Equipe Target
As auditorias em segurança da informação
A NBR ISO/IEC 27007, editada em 2012, fornece diretrizes sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI) e sobre como executar as auditorias e a competência de auditores de SGSI, em complementação as diretrizes descritas na ABNT NBR ISO 19011. É aplicável a todos que necessitam entender ou realizar auditorias internas ou externas de um SGSI ou ainda gerenciar um programa de auditoria de SGSI.
Normalmente, convém que os objetivos do programa de auditoria sejam estabelecidos para direcionar o planejamento e a realização de auditorias e para assegurar que o programa de auditoria esta implementado de forma eficaz. Estes objetivos podem ser dependentes de: a) requisitos da segurança da informação identificados; b) requisitos oriundos da NBR ISO IEC 27001; c) nível de desempenho do auditado conforme refletido nas ocorrências das violações de segurança da informação, incidentes e medição da eficácia; e d) riscos de segurança da informação para a organização que está sendo auditada.
Alguns exemplos de objetivos de programas de auditoria podem in...
