Diferenças entre ISO 27001 e 17799

Primeiro é importante citar o título das devidas normas.
ISO 17799 : Code of practice for information security management
ISO 27001 : Information Security Management Systems - Requirements

Então a primeira é um "códico de práticas" e a segunda é "requirementos (hum!) para sistema de gestão de segurança da informação".
Na primeira, você não é obrigado a seguir as RECOMENDAÇÕES, já na segunda todos os itens do item 4.2 são obrigatórios.

Outra questão que se é comum o erro, é a certificação; Não é possível certificar ISO 17799, apenas ISO 27001.
Há a certificação BS 7799 (part1) que é a versão inglesa (Britanish Standart) e progenitora da ISO 17799.
No entando, não há certificação BS 7799 (part2), mas há a certificação ISO 27001.

em outra oportunidade, se houver interesse, posso falar mais sobre a interação e evolução dessas normas

Com esses conceitos em mente, fica muito fácil entender as diferenças (ou semelhanças) e nuances entre essas normas.

A ISO 27001 é uma norma que gere segurança na corporação, ou seja, cria um sistema de segurança (SGSI) dentro da sua empresa. Isso em nenhum momento garante segurança, eu costumo falar que, com um sistema desses implementado, você consegue "ver" o problema de segurança MUITO mais facilmente. Nesta norma ela contém controles de segurança, apenas cita, por exemplo, o controle A.9.1.1 é Perímetro de Segurança Física, o que isso quer dizer? Que as áreas de segurança que você (security officer, gestor, diretor, etc...) definir que uma determinada área é de segurança devem ser protegidos por meios de barreiras lógicas ou físicas. Essa definição é MUITO abragente,e pode ter várias interpretações. Nesse momento é que entra a ISO 17799, pois nessa ISO contem todos os controles que tem na ISO 27001 só que com explicações e exemplos de implementação. Isso ajuda MUITO na implementação numa corporação.
Interessante acrescentar também que os controles não são co-relacionados, ou seja, um controle que na ISO 27001 é o número 10, não quer dizer que na ISO 17799 seja o mesmo número, até porque as duas normas tem revisão em diferentes times.

Em suma podemos dizer que a ISO 17799 está contida na ISO 27001.
Como é uma norma de sistema de segurança, a ISO 27001 também contem várias pitadas de outras ISO, por exemplo a ISO 15408 (segurança no desenvolvimento), mas não quer dizer que ao atender 100% a ISO 27001 você atenderá a ISO 15408 ou o ITIL, que também dá suas caras dentro dessa ISO, digamos que essas metodologias "emprestam" seus controles.

Por exemplo, na ISO 27001, o controle A.10.3.2 (Aceitação de sistemas), ou seja, HOMOLOGAÇÃO, mesmo na ISO 17799 se você buscar informações sobre esse controle, não será nem de perto as informações que você encontra na ISO 15408. Isso indica uma nova tendencia das normas ISO, que é a convergência em um ponto, resultado de várias interseções (outras ISO).

E na auditoria? Como dito anteriormente, só há a certificação ISO 27001, e não a ISO 17799, portanto... Você audita com base na ISO 27001. MAS isso não quer dizer que um serviço de auditoria não utilize a ISO 17799, pois ela é usada como referência ou "tira-dúvidas" do controle. Mas nada obrigatorio, debaixo do braço obrigação é a ISO 27001, o resto é "material de apoio".

O selo 27001, contem um descritivo do escopo, ou seja quando uma empresa fala que é certificada ISO 27001, leia o selo porque ela pode ser certificada apenas no CPD, ou na sala de xerox. Nada impede que se faça isso, e também não é errado a empresa falar que é certificada 27001 quando se certifica apenas uma máquina ou o cpd - sem problema nenhum, apenas marketing.

Custos; Hoje a obtenção do selo 27001 varia de acordo com o orgão certificador, mas sempre são caros. Não há nada tabelado e tudo é acordado, por exemplo, a empresa certificadora (a qual emite o selo) pode nao arcar com nenhum custo de viajem ou hospedagem do auditor. Mas se acordado, as coisas podem mudar. (Bem Vindo ao capitalismo)

Bom, em um primeiro momento, a intenção realmente é explanar a diferença entre essas normas.
Este post foi copiado do FORUM da www.istf.com.br

LePhone, o SmartPhone com Android da Lenovo

A Lenovo irá lançar em breve um interessante SmartPhone para disputar o mercado. Trata-se do LePhone. O aparelho será fabricado na China inicialmente. Este modelo possui especificações até semelhantes as do Nexus One, o SmartPhone da Google.
Entre as especificações encontram-se tela touchscreen de 3,7″ com resolução de 480 x 800 pixels, teclado QWERTY completo e duas câmeras de 3 megapixels. O aparelho ainda virá com rádio WCDMA, Wireless, Bluetooth (tudo fica melhor com Bluetooth), 3G, GPS e um processador Qualcomm de 1Ghz.
Ainda não há previsão de lançamento na Europa, EUA ou em outras localidades.

Criminosos aproveitam falha no Adobe Reader

SÃO PAULO – Criminosos passaram a utilizar técnicas avançadas para tirar proveito das falhas no Adobe Reder antes do dia 12, quando a empresa fará uma atualização de segurança.

O procedimento consiste na criação de um PDF com malware e reduzir o tamanho do arquivo para 38 bytes ou menos, o que torna difícil a detecção da ameaça.

Segundo a Total Virus informou que apenas quatro dos 41 principais antivírus conseguiram identificar o código malicioso. O processo de reconhecimento demorou seis dias para ser realizado, mesmo com os sistemas que avaliam a reputação de arquivos e sites.

Segundo a empresa, entre as empresas que conseguiram detectar o malware estão a Sophos, TrendMicro, F-Secure e BitDefender.

A Adobe planejou uma atualização geral em sua linha de produtos que deve corrigir diversas falhas de segurança em seus produtos. A companhia recomenda que os usuários evitem abrir documentos de procedência duvidosa em suas máquinas.