\chapter{A Norma ISO/IEC 27001}\label{capitulo3}

A ISO/IEC 27001 - "Sistema de Gestão da Segurança da Informação - Requisitos", traz os requisitos para um SGSI e, uma vez que dada organização está em conformidade com esses requisitos, ela estará apta para uma auditoria de certificação nesta norma. Está norma teve sua origem, assim como a ISO/IEC 27002, de um padrão inglês o BS 7799, mais especificamente do BS 7799 Part 2.

A certificação na ISO/IEC 27001 requer o estabelecimento, implementação, monitoramento e o melhoramento de um Sistema de Gestão da Segurança da Informação bem documentado. Embora a utilização de um SGSI não seja obrigatória para a implementação adequada da segurança usando a ISO/IEC 27002, é uma boa prática, pois leva a aplicação da segurança da informação para uma área específica e usa a gestão de riscos para determinar o nível adequado de segurança da informação a ser implementado. A seguir a figura~\ref{fig:iso27001_estrutura} representa a estrutura da norma ISO/IEC 27001.

\begin{figure}[htb!] \centering \includegraphics[width=15cm]{estruturaISO27001.png} \caption{Estrutura da Norma ISO/IEC 27001:2006.} \label{fig:iso27001_estrutura}
\end{figure}

Existe um número de passos para se estabelecer um SGSI. Na figura~\ref{fig:iso27001_cert_process} é mostrado desde o passo inicial para uma organização começar a implementar a ISO/IEC 27001 até a obtenção da certificação propriamente dita.
\\
\\
\\
\\
\begin{figure}[htb!]
\centering \includegraphics[width=15cm]{iso27001certProcess.png} \caption{Visão Geral do processo de Certificação da ISO/IEC 27001.} \label{fig:iso27001_cert_process}
\end{figure}

O processo de certificação de um Sistema de Gestão da Segurança da Informação (SGSI) envolve a credenciação de órgãos de certificação. Esse credenciamento é concedido às organizações que demonstram que satisfazem os requisitos das normas internacionais ISO/IEC 17021 - "Avaliação da Conformidade Requisitos para organismos