A ISO 27001 é a irmã da 27000.
A 27001 detalha como um SGSI(Sistema de Gerenciamento de Segurança da Informação) que funcione bem deve ser configurado e mantido, A 27002 entra em detalhes com exemplos de controles de segurança da ISO 27001.
Controles da Organização
5.1.1 Políticas para segurança da informação
Um documento precisa ser criado, contendo como a organização gerencia os objetivos de segurança da informação. Este documento precisa ser aprovado pela administração e precisa conter políticas de alto e baixo nível. Uma vez que as políticas estejam em vigor, elas precisam ser revisadas regularmente. A melhor abordagem para isso é marcar uma reunião regular e planejar uma reunião extra entre elas, caso a situação o exija. Se alguma mudança for feita, a administração precisa dar sua aprovação. As políticas devem ser compartilhadas com as partes interessadas internas e externas.
5.1.2 Análise crítica das políticas para segurança da informação
A política precisa definir quem é responsável por qual ativo, processo ou atividade de risco à segurança da informação. É importante que a tarefa seja feita de forma clara e para todas as tarefas. Certifique-se de que as funções e responsabilidades sejam adequadas à sua organização; uma pequena equipe de cinco provavelmente não precisa de um oficial de segurança em tempo integral.
6.1.1 Responsabilidades e papéis pela segurança da informação
A política precisa definir quem é responsável por qual ativo, processo ou atividade de risco à segurança da informação. É importante que a tarefa seja feita de forma clara e para todas as tarefas. Certifique-se de que as funções e responsabilidades sejam adequadas à sua organização; uma pequena equipe de cinco provavelmente não precisa de um oficial de segurança em tempo integral.
6.1.2 Segregação de funções
Para evitar qualquer uso indevido dos ativos da empresa, o “poder” de controlar totalmente uma atividade delicada não deve estar nas mãos da mesma pessoa. A melhor maneira de implementar isso é registrar todas as atividades e dividir tarefas importantes em fazer e verificar ou aprovar e iniciar. Isso evita fraudes e erros, por ex. no caso de uma pessoa criar e assinar todos os cheques da empresa.
6.1.3 Contato com autoridades
Deve ficar claro quem é responsável por contatar as autoridades (por exemplo, aplicação da lei, órgãos reguladores, autoridades de supervisão), quais autoridades devem ser contatadas (por exemplo, obrigações legais, autoridades fiscalizadoras, organismos regulatórios, serviços de infraestrutura, serviços de emergência, fornecedores de energia, saúde e segurança, por exemplo, corpo de bombeiros(juntamente com continuidade de negócios), fornecedores de telecomunicações (juntamente com rotas de linha e disponibilidade) e fornecedores de água (juntamente com instalação de refrigeração para os equipamentos). e em quais casos isso precisa acontecer. Uma resposta rápida e adequada a incidentes pode diminuir muito o impacto, podendo até ser obrigatório por lei.
6.1.4 Contato com grupos especiais
Para garantir que as últimas tendências e melhores práticas de segurança da informação sejam mantidas, um bom contato com grupos de interesses especiais deve ser mantido pelo pessoal com tarefas de SGSI. Esses grupos podem ser solicitados para aconselhamento especializado em certos casos e são uma ótima fonte para aprimorar o próprio conhecimento.
6.1.5 Segurança da informação no gerenciamento de projetos
Fontes: https://ictinstitute.nl/iso27002-2022-explained-1/