🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

Diferença entre a ISO 27001 e a ISO 27002

A ISO 27001 e a ISO 27002 são frequentemente mencionadas em conjunto, mas não são a mesma coisa. Uma é uma norma de certificação, a outra um guia prático. Qualquer pessoa que leve a sério a segurança da informação beneficia de ambas, mas de formas diferentes.

O que é a ISO 27001?

A ISO 27001 é a norma internacional para a segurança da informação. Define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI): um conjunto coerente de políticas, processos e medidas para proteger a informação. As organizações podem obter a certificação ISO 27001, o que significa que um auditor independente verifica a conformidade com os seus requisitos.

A norma define o que tens de implementar, não como o fazer. Pensa em: avaliações de risco, auditorias internas, envolvimento da direção e formação dos colaboradores em matéria de sensibilização para a segurança. Este último ponto está explicitamente mencionado no Anexo A da norma.

O que é a norma ISO 27002?

A ISO 27002 é a concretização prática dos controlos de segurança exigidos pela ISO 27001. Enquanto a 27001 estabelece que deves tomar medidas, a 27002 explica como implementá-las. Não é possível obter certificação segundo a ISO 27002: trata-se de uma diretriz, não de uma norma de certificação.

Em 2022, a norma ISO 27002 foi profundamente revista. O número de controlos passou de 114 para 93, divididos em quatro categorias: organizacional, pessoal, física e tecnológica. A formação em sensibilização para a segurança enquadra-se na categoria pessoal.

A diferença num relance

ISO 27001 ISO 27002
Tipo Norma de certificação Orientação
Objetivo Requisitos para um SGSI Orientações sobre como implementar controlos
É possível obter a certificação? Sim Não
Número de controlos 93 (conforme o Anexo A) 93 (elaborado por controlo)
É obrigatório? Para certificação: sim Recomendado como referência
Público-alvo Direção, auditores Equipas de segurança, implementadores

De que norma precisas?

Se queres demonstrar aos clientes, parceiros ou entidades reguladoras que levas a segurança da informação a sério, a certificação ISO 27001 é o teu objetivo. A norma ISO 27002 serve de referência durante a implementação: ajuda-te a perceber quais os controlos que fazem sentido e como os pôr em prática.

As duas normas complementam-se. A ISO 27001 sem a ISO 27002 é como construir sem um projeto. A ISO 27002 sem a ISO 27001 é saber como fazer, mas não saber porquê.

O papel da formação security awareness

Tanto a ISO 27001 como a ISO 27002 exigem que os funcionários recebam formação em segurança da informação. A ISO 27001 estabelece isso como um requisito (Anexo A, controlo 6.3), enquanto a ISO 27002 explica como tornar essa formação eficaz: regular, específica para cada função e mensurável.

Na prática, os cursos de e-learning pontuais ou os workshops anuais raramente cumprem esses requisitos. A Guardey ajuda as organizações a cumprir os requisitos da norma ISO 27001 em matéria de sensibilização para a segurança, com microformações semanais, simulações de phishing e relatórios prontos para auditoria.

Formação em sensibilização para a segurança em conformidade com a norma ISO 27001

A Guardey ajuda as organizações a cumprir os requisitos de formação da norma ISO 27001, sem complicações. Pede uma demonstração e vê por ti mesmo o que a plataforma pode fazer pela tua organização.

Planeia uma demonstração
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada