{"id":8635,"date":"2016-03-14T11:26:03","date_gmt":"2016-03-14T11:26:03","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=8635"},"modified":"2022-12-29T09:07:41","modified_gmt":"2022-12-29T09:07:41","slug":"iso-27001-vs-itil-similaridades-e-diferencas","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/03\/14\/iso-27001-vs-itil-similaridades-e-diferencas\/","title":{"rendered":"ISO 27001 vs. ITIL: Similaridades e diferen\u00e7as"},"content":{"rendered":"

Os servi\u00e7os de TI est\u00e3o entre as principais vias para o fluxo de informa\u00e7\u00f5es entre organiza\u00e7\u00f5es, seus clientes e parceiros, e com requisitos legais e contratuais demandando cada vez mais medidas de prote\u00e7\u00e3o da informa\u00e7\u00e3o (o setor de sa\u00fade \u00e9 um exemplo), estes servi\u00e7os e suas pr\u00e1ticas de gest\u00e3o devem evoluir para se adaptar a este novo cen\u00e1rio. Mas como fazer isso de forma apropriada e de forma eficiente em custo?<\/p>\n

Este artigo apresentar\u00e1 uma vis\u00e3o geral de como a ISO 27001<\/a>, uma norma ISO com foco na gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, e o ITIL<\/a>, um framework p\u00fablico-privado que foca na gest\u00e3o de servi\u00e7os de TI, est\u00e3o relacionado considerando a prote\u00e7\u00e3o de informa\u00e7\u00f5es e como ele podem ser usados em conjunto para aumentar seus benef\u00edcio para o neg\u00f3cio de uma organiza\u00e7\u00e3o.<\/p>\n

Fatos gerais<\/h3>\n

Aqui est\u00e3o algumas informa\u00e7\u00f5es que voc\u00ea pode achar \u00fateis para um entendimento inicial da ISO 27001 e ITIL:<\/p>\n\n\n\n\n\n\n\n\n\n
ISO 27001<\/td>\nITIL<\/td>\n<\/tr>\n<\/thead>\n
Norma internacional<\/td>\nEstrutura de boas pr\u00e1ticas<\/td>\n<\/tr>\n
Define requisitos para o estabelecimento, implementa\u00e7\u00e3o, manuten\u00e7\u00e3o e melhoria cont\u00ednua de um Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI)<\/a>.<\/td>\nApresenta um conjunto de boas pr\u00e1ticas para a gest\u00e3o de servi\u00e7os de TI, dando orienta\u00e7\u00f5es para a provis\u00e3o de servi\u00e7os de TI de qualidade e os processos, fun\u00e7\u00f5es e outras capacidades necess\u00e1rias para suport\u00e1-los.<\/td>\n<\/tr>\n
Aplic\u00e1vel para qualquer tipo e tamanho de organiza\u00e7\u00e3o.<\/td>\nAplic\u00e1vel para quase todos os tipos de ambiente de TI.<\/td>\n<\/tr>\n
Implementa\u00e7\u00e3o e certifica\u00e7\u00e3o s\u00e3o opcionais.<\/td>\nImplementa\u00e7\u00e3o n\u00e3o est\u00e1 sujeita a certifica\u00e7\u00e3o.<\/td>\n<\/tr>\n
Vers\u00e3o atual: ISO 27001:2013<\/td>\nVers\u00e3o atual: ITIL edi\u00e7\u00e3o 2011<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Como voc\u00ea pode ver, a ISO 27001 possui uma defini\u00e7\u00e3o direta com rela\u00e7\u00e3o a prote\u00e7\u00e3o da informa\u00e7\u00e3o, enquanto que no ITIL ela \u00e9 mais indireta. Isso \u00e9 desta forma porque o termo \u201cITIL\u201d se refere a m\u00faltiplas pr\u00e1ticas para gest\u00e3o e provis\u00e3o de servi\u00e7os de TI de qualidade, como gest\u00e3o financeira e atendimento a solicita\u00e7\u00f5es. Contudo, uma vez que a seguran\u00e7a da informa\u00e7\u00e3o tamb\u00e9m \u00e9 um aspecto cr\u00edtico na gest\u00e3o de servi\u00e7os de TI e na qualidade de servi\u00e7os de TI, o ITIL trata da seguran\u00e7a da informa\u00e7\u00e3o como um de seus processos de apoio (gest\u00e3o da seguran\u00e7a), e integra a seguran\u00e7a da informa\u00e7\u00e3o em muitos dos processos presentes no framework.<\/p>\n

Estrutura da ISO 27001<\/h2>\n

A ISO 27001 consiste de 11 cl\u00e1usulas e 114 controles de seguran\u00e7a<\/a>\u00a0gen\u00e9ricos agrupados em 13 se\u00e7\u00f5es (o Anexo A). Para maiores informa\u00e7\u00f5es, leia estes artigos: Uma primeira impress\u00e3o sobre a nova ISO 27001<\/a>\u00a0e Vis\u00e3o geral do Anexo A da ISO 27001:2013<\/a>.<\/p>\n

Uma das limita\u00e7\u00f5es da ISO 27001 \u00e9 que ela n\u00e3o prove detalhes sobre como atender os requisitos ou implementar controles, apenas sobre o que voc\u00ea precisa atingir. Para maiores detalhes, voc\u00ea pode usar a ISO 27002 como guia. Para mais informa\u00e7\u00f5es, leia este artigo: Semelhan\u00e7as e diferen\u00e7as entre a ISO 27001 e a ISO 27002<\/a>.<\/p>\n

Estrutura do ITIL e similaridades e diferen\u00e7as com a ISO 27001<\/h2>\n

Por outro lado, a estrutura do ITIL consiste de 26 processos e quarto fun\u00e7\u00f5es, baseados em uma abordagem de ciclo de vida de servi\u00e7o com cinco est\u00e1gios:<\/p>\n

Estrat\u00e9gia de servi\u00e7o (4 processos):<\/em><\/strong> envolve o alinhamento da estrat\u00e9gia de TI com as metas e expectativas gerais do neg\u00f3cio, para assegurar a agrega\u00e7\u00e3o de valor para a organiza\u00e7\u00e3o. Este est\u00e1gio pode ser relacionado a cl\u00e1usula 4 (Contexto da organiza\u00e7\u00e3o) da ISO 27001.<\/p>\n

Design de servi\u00e7o (7 processos):<\/em><\/strong> envolve assegurar que os servi\u00e7os de TI atendam os objetivos de neg\u00f3cio equilibrando custo, funcionalidade e desempenho. Um dos processos no design de servi\u00e7o e a gest\u00e3o de seguran\u00e7a, e devido ao uso de muitos conceitos similares (e.g., tr\u00edade CIA, controles de seguran\u00e7a, etc.), ele pode ser coberto pela cl\u00e1usula 6 (Planejamento) da ISO 27001. Para mais informa\u00e7\u00f5es, leia este artigo: If anything shouldn\u2019t be taken for granted\u2026 it\u2019s Information Security Management<\/a>.<\/p>\n

Transi\u00e7\u00e3o de servi\u00e7o (7 processos):<\/em><\/strong> envolve assegurar que servi\u00e7os de TI novos, modificados e retirados estejam atendendo as necessidades do neg\u00f3cio, e que as mudan\u00e7as sejam geridas e controlada de forma eficiente. Este est\u00e1gio pode ser relacionado a cl\u00e1usula 8 (Opera\u00e7\u00e3o) da ISO 27001 e ao controle A.12.1.2 \u2013 Gest\u00e3o de mudan\u00e7a.<\/p>\n

Opera\u00e7\u00e3o de servi\u00e7o (5 processos):<\/em><\/strong> envolve assegurar que os servi\u00e7os de TI s\u00e3o operados de forma segura e confi\u00e1vel para apoiar as necessidades do neg\u00f3cio. Este est\u00e1gio pode ser relacionado a cl\u00e1usula 8 (Opera\u00e7\u00e3o) da ISO 27001.<\/p>\n

Melhoria continua de servi\u00e7o (3 processos):<\/em><\/strong> envolve a melhoria da qualidade, efici\u00eancia e efic\u00e1cia dos servi\u00e7os de TI, ao mesmo tempo reduzindo custos. Este est\u00e1gio pode ser relacionado \u00e0s cl\u00e1usulas 9 (Avalia\u00e7\u00e3o de desempenho) e 10 (Melhoria cont\u00ednua) da ISO 27001.<\/p>\n

Como voc\u00ea pode ver, embora a ISO 27001 e o ITIL tenham apresenta\u00e7\u00f5es diferentes, eles compartilham uma abordagem similar ao ciclo PDCA, o que facilita trabalhar com ambos em conjunto.<\/p>\n\n\n\n\n\n\n\n\n
Ciclo PDCA<\/td>\nCl\u00e1usulas da ISO 27001:2013<\/td>\nEst\u00e1gios do ITIL<\/td>\n<\/tr>\n<\/thead>\n
Plan (planejar)<\/td>\n\n

Cl\u00e1usula 4 \u2013 Contexto da organiza\u00e7\u00e3o<\/p>\n

Cl\u00e1usula 5 \u2013 Lideran\u00e7a<\/p>\n

Cl\u00e1usula 6 \u2013 Planejamento<\/p>\n

Cl\u00e1usula 7 \u2013 Suporte<\/p>\n<\/td>\n

\n

Estrat\u00e9gia de servi\u00e7o<\/p>\n

Design de servi\u00e7o<\/p>\n<\/td>\n<\/tr>\n

Do (executar)<\/td>\nCl\u00e1usula 8 \u2013 Opera\u00e7\u00e3o<\/td>\n\n

Transi\u00e7\u00e3o de servi\u00e7o<\/p>\n

Opera\u00e7\u00e3o de servi\u00e7o<\/p>\n<\/td>\n<\/tr>\n

Check (checar)<\/td>\nCl\u00e1usula 9 \u2013 Avalia\u00e7\u00e3o de desempenho<\/td>\nMelhoria cont\u00ednua de servi\u00e7o<\/td>\n<\/tr>\n
Act (ajustar)<\/td>\nCl\u00e1usula 10 \u2013 Melhoria cont\u00ednua<\/td>\nMelhoria cont\u00ednua de servi\u00e7o<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Adicionalmente, como na ISO 27001, ao ITIL faltam detalhes sobre \u201ccomo fazer\u201d com rela\u00e7\u00e3o a como os processos deveriam ser implementados, embora ele forne\u00e7a descri\u00e7\u00f5es detalhadas com rela\u00e7\u00e3o a objetivos, atividades a serem feitas, entradas e sa\u00eddas, em adi\u00e7\u00e3o a listas de verifica\u00e7\u00e3o, tudo para prover espa\u00e7o para que as organiza\u00e7\u00f5es possam adequ\u00e1-los de acordo com suas necessidades. Uma compara\u00e7\u00e3o grosseira seria pensar no ITIL como se o conte\u00fado da ISO 27002 estive inclu\u00eddo na ISO 27001.<\/p>\n

Como usar o ITIL e a ISO 27001 juntos?<\/h2>\n

N\u00e3o h\u00e1 resposta exata para esta quest\u00e3o, uma vez que ela depende da organiza\u00e7\u00e3o e de seus requisitos. Uma abordagem \u00e9 come\u00e7ar a implementa\u00e7\u00e3o da ISO 27001 primeiro, porque ela cobre a gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o de forma geral (da qual o ambiente de TI \u00e9 apenas uma parte), e ap\u00f3s isso ir para o ITIL, o qual fornecer\u00e1 mais detalhes para implementa\u00e7\u00e3o.<\/p>\n

Outra alternativa \u00e9 considerar os elementos da ISO 27001 para cada est\u00e1gio do ITIL e implement\u00e1-los em sequ\u00eancia de acordo com um cronograma de implementa\u00e7\u00e3o do ITIL.<\/p>\n

Para mais informa\u00e7\u00f5es sobre a implementa\u00e7\u00e3o da ISO 27001 e ITIL, veja estes materiais: Diagrama para a implementa\u00e7\u00e3o da ISO 27001:2013<\/a>\u00a0e ITIL implementation diagram<\/a>.<\/p>\n

O importante aqui \u00e9 que voc\u00ea veja a ISO 27001 e o ITIL como materiais complementares que podem ajudar uma organiza\u00e7\u00e3o a prover servi\u00e7os ao cliente com a seguran\u00e7a apropriada.<\/p>\n

Para saber mais sobre como implementar a ISO 27001, veja este<\/em> ISO 27001:2013 Lead Implementer Online Course<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Os servi\u00e7os de TI est\u00e3o entre as principais vias para o fluxo de informa\u00e7\u00f5es entre organiza\u00e7\u00f5es, seus clientes e parceiros, e com requisitos legais e contratuais demandando cada vez mais medidas de prote\u00e7\u00e3o da informa\u00e7\u00e3o (o setor de sa\u00fade \u00e9 um exemplo), estes servi\u00e7os e suas pr\u00e1ticas de gest\u00e3o devem evoluir para se adaptar a …<\/p>\n","protected":false},"author":41,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906,907],"class_list":["post-8635","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br","tag-itil-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=8635"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/8635\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=8635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=8635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=8635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}