Me deparei com o artigo Semelhanças e diferenças entre a ISO 27001 e a ISO 27002 no momento que estava realizando algumas pesquisas para a escrita de um post bem parecido com o tema.

Sendo assim, compartilho com vc’s este excelente artigo que explica que não dá para empresas se certificarem na ISO 27002.

P.S.: Eu sempre fico na dúvida sobre a possibilidade ou não de uma pessoa se certificar na ISO 27002, pois há tantos profissionais no mercado que colocam em seus currículos que são certificados nesta norma e artigos como este que dizem o contrário…. Vamos pesquisar mais a respeito disso.  A Iso 27002 pode ser obtida por profissionais, diferente da ISO 27001.

Se você se deparou com a ISO 27001 e a ISO 27002, provavelmente notou que a ISO 27002 é muito mais detalhada, muito mais precisa. Então, qual é o propósito da norma ISO 27001?

Em primeiro lugar, você não pode obter a certificação ISO 27002 porque ela não é uma norma de gestão. O significa ser uma norma de gestão? Significa que essa norma define como administrar um sistema. No caso da ISO 27001, ela define o sistema de gestão da segurança da informação (SGSI), portanto, a certificação para a ISO 27001 é possível.

Esse sistema de gestão significa que a segurança da informação deve ser planejada, implementada, monitorada, analisada e aperfeiçoada. Significa que a gestão tem suas responsabilidades definidas, que os objetivos devem ser estabelecidos, medidos e analisados, que deve haver auditorias internas e assim por diante. Todos esses elementos são definidos na norma ISO 27001, mas não na ISO 27002.

Os controles da ISO 27002 tem os mesmos nomes do Anexo A da ISO 27001. Por exemplo, na norma ISO 27002 6.1.6, o controle é chamado de Contato com autoridades, enquanto na norma ISO 27001 é A.6.1.6 Contato com autoridades. Porém, a diferença está no nível de detalhamento – em média, a ISO 27002 explica um controle em uma página inteira, enquanto a ISO 27001 dedica apenas uma frase para cada controle.

Por fim, a diferença é que a ISO 27002 não faz distinção entre os controles aplicáveis a uma determinada organização, e aqueles que não são. Por outro lado, a ISO 27001 determina uma avaliação de riscos a ser executada a fim de identificar, para cada controle, se ela é necessária para diminuir os riscos, e se for, em que medida deve ser aplicada.

A pergunta é: por que essas duas normas existem separadamente, porque não foram fundidas, reunindo os lados positivos de ambas as normas? A resposta é a usabilidade: se fosse uma única norma, ela seria muito complexa e muito grande para uso prático.

Cada norma da série ISO 27000 é projetada com um determinado foco. Se você quiser construir os alicerces da segurança da informação em sua organização e definir sua estrutura, deve usar a ISO 27001; se você quiser implementar controles, deve usar a ISO 27002; se você quiser realizar avaliação de riscos e tratamento de riscos, deve usar a ISO 27005 etc.

Para concluir, poderíamos dizer que, sem os detalhes fornecidos na norma ISO 27002, os controles definidos no Anexo A da ISO 27001 não poderiam ser implementados. Porém, sem estrutura de gestão da ISO 27001, a ISO 27002 permaneceria apenas como um esforço isolado de alguns entusiastas da segurança da informação, sem aceitação da alta administração e, portanto, sem impacto real sobre a organização.