COMPLIANCE WITH ABNT ISO/IEC 27001-2006
A CASE STUDY ON THE IMPLEMENTATION OF AN INFORMATION SECURITY MANAGEMENT SYSTEM
Keywords:
Information Security Policy, Information Security Management System, technical standardAbstract
Since the 1990s, the management models of organizations have undergone strong processes of technological innovation, driven by the acceleration of globalization. Executives and managers need quick solutions in the face of an increasingly globalized world. In this context, Information Security Management, which plays an extremely important role in the organizational environment, is geared towards protecting information from the constant digital threats of the external environment. This research aims to verify the compliance of a supermarket with the requirements of standard 27001 of the Brazilian Association of Technical Standards of 2006, especially with regard to the existence and implementation of an Information Security Management System and Information Security Policy. The research is characterized as descriptive with a case study and qualitative approach. The data collection instruments were a questionnaire applied to the Information Technology Manager and a checklist applied to the Human Resources Coordinator of the supermarket under study. The results show that, although the supermarket adopts some preventative actions, it was not found to have an Information Security Policy, nor was it found to have an Information Security Management System, as established by the aforementioned standard in items A.5 and A.8. To this end, it is suggested that the supermarket's management include an Information Security Policy in its strategic planning, and make the supermarket less vulnerable to digital attacks from the external environment.
References
ARAÚJO, S. G. L. A dimensão humana no processo de Gestão da Segurança da Informação: um estudo aplicado à Pró-Reitoria de Gestão de Pessoas da Universidade Federal da Paraíba. Dissertação (Mestrado em Ciência da Informação). João Pessoa: Universidade Federal da Paraíba, 2016.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT ISO/IEC 17799: 2005 - Tecnologia da informação – Código de prática para a gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002: 2005 - Tecnologia da informação — Técnicas de segurança — Código de prática para a gestão de Segurança da Informação. Rio de Janeiro: ABNT, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001: 2006 - Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro: ABNT, 2006.
BARBOSA, R. R. Gestão da Informação e do Conhecimento: origens, polêmicas e perspectivas. Informação & Informação, Londrina, v. 13, n. esp., p. 1-25, 2008. Disponível em: http://www.uel.br/revistas/uel/index.php/informacao/article/view/1843. Acesso em: 12 jan. 2023.
BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. Diário Oficial da União, Brasília, DF, 05 out. 1988.
BRASIL. Decreto nº 4.553, de 27 de dezembro de 2002. Dispõe sobre a salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal, e dá outras providências. Diário Oficial da União, Brasília, DF, 30 dez. 2002.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências. Diário Oficial da União, Brasília, DF, 18 nov. 2011.
BRASIL. Decreto n.º 7.845, de 14 de novembro de 2012. Regulamenta procedimentos para credenciamento de segurança e tratamento de informação em qualquer grau de sigilo, e dispõe sobre o Núcleo de Segurança e Credenciamento. Diário Oficial da União, Brasília, DF, 16 nov. 2012.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Diário Oficial da União, Brasília, DF, 24 abr. 2014.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.
BRASIL. Decreto nº 10.222, de 5 de fevereiro de 2020. Aprova a Estratégia Nacional de Segurança Cibernética. Diário Oficial da União, Brasília, DF, 06 fev. 2020.
BRASIL. Decreto nº 10.641, de 2 de março de 2021. Altera o Decreto nº 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação, e altera o, que regulamenta o disposto no art. 24, caput, inciso IX, da Lei nº 8.666, de 21 de junho de 1993, e dispõe sobre a dispensa de licitação nos casos que possam comprometer a segurança nacional. Diário Oficial da União, Brasília, DF, 03 mar. 2021.
BRASIL. Medida Provisória nº 1.124, de 13 de junho de 2022. Altera a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais, transforma a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial e transforma cargos em comissão. Diário Oficial da União, Brasília, DF, 14 jun. 2022a.
BRASIL. Lei nº 14.460, de 25 de outubro de 2022. Transforma a Autoridade Nacional de Proteção de Dados (ANPD) em autarquia de natureza especial e transforma cargos comissionados; altera as Leis nºs 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais), e 13.844, de 18 de junho de 2019; e revoga dispositivos da Lei nº 13.853, de 8 de julho de 2019. Diário Oficial da União, Brasília, DF, 26 out. 2022b.
GIL, A. C. Como elaborar projetos de pesquisa. 4. ed. 13 reimpr. São Paulo: Atlas, 2009.
GOBACKLOG. Varejo supermercadista e perspectiva sobre o crescimento no Brasil. [S.l.]: Gobacklog.com, 2020. Disponível em: https://www.gobacklog.com/varejo-supermercadista. Acesso em: 11 jan. 2023.
IG TECNOLOGIA. Brasil é o 5º país do mundo mais afetado por crimes cibernéticos. [S.l.]: iG Tecnologia, 2023. Disponível em: https://tecnologia.ig.com.br/2023-04-15/brasil-quinto-pais-mais-afetado-crimes-ciberneticos.html. Acesso em: 29 set. 2024.
MASCARENHAS NETO, P. T.; ARAÚJO, W. J. Segurança da Informação: uma visão sistêmica para implantação nas organizações. João Pessoa: Editora da UFPB, 2019.
MENDES, R. R. et al. Uma metodologia para implantação de um Sistema de Segurança da Informação (SGSI) baseado nas normas ABNT NBR ISO/IEC 27001 e 27002. Revista Principia, João Pessoa, nº 22, p. 69-80, 2013. Disponível em: https://periodicos.ifpb.edu.br/index.php/principia/article/view/158/128. Acesso em: 16 jan. 2023.
MINAYO, Cecília de Souza. Pesquisa social: teoria, método e criatividade. Petrópolis: Vozes, 2016;
SANTOS, V. O. dos; BALDINI FILHO, R. Um modelo de Sistema de Gestão da Segurança da Informação baseado nas normas ABNT NBR ISO/IEC 27001: 2006, 27002:2005 e 27005: 2008. Revista de Telecomunicações, [S.l.], v. 15, n. 1, p. 1-6, 2013. Disponível em: https://www.inatel.br/revista/busca/288-um-modelo-de-sistema-de-gestao-da-seguranca-da-informacao14301-s147497-1/file. Acesso em: 16 jan. 2023.
TRIBUNAL DE CONTAS DA UNIÃO (Brasil). Boas práticas em Segurança da Informação. 4. ed. Brasília: TCU, Secretaria de Fiscalização de Tecnologia da Informação, 2013.
Downloads
Published
How to Cite
Issue
Section
License
Copyright (c) 2024 Revista Analisando em Ciência da Informação
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
As publicações da RACIn estão licenciados sob a Licença Creative Commons CC BY-NC.