Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013)

Com a nova revisão da ISO/IEC 27001 publicada apenas alguns dias atrás, muitas pessoas estão imaginando quais documentos são obrigatórios nesta nova revisão 2013. Existem mais ou menos documento requeridos?

Bem, aqui está a lista – abaixo você verá não apenas os documentos obrigatórios, mas também os documentos mais comumente utilizados para a implementação da ISO 27001.

Documentos e registros obrigatórios requeridos pela ISO 27001:2013

Aqui estão os documentos que você precisará produzir se quiser estar em conformidade com a ISO 27001: (Por favor note que documentos do Anexo A são obrigatórios apenas se existirem riscos que requeiram a implementação deles.)

  • Escopo do SGSI (cláusula 4.3)
  • Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
  • Metodologias de análise e avaliação de risco e de tratamento de risco (cláusula 6.1.2)
  • Declaração de aplicabilidade (cláusula 6.1.3 d)
  • Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
  • Relatório de levantamento de riscos (cláusula 8.2)
  • Definição de papéis e responsabilidades pela segurança (cláusulas A.7.1.2 e A.13.2.4)
  • Inventário de ativos (cláusula A.8.1.1)
  • Uso aceitável de ativos (cláusula A.8.1.3)
  • Política de controle de acesso (cláusula A.9.1.1)
  • Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
  • Princípios da engenharia de segurança de sistemas (cláusula A.14.2.5)
  • Política de segurança para fornecedores (cláusula A.15.1.1)
  • Procedimento para a gestão de incidentes (cláusula A.16.1.5)
  • Procedimentos de continuidade de negócio (cláusula A.17.1.2)
  • Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

E aqui estão os registros obrigatórios:

  • Registros de treinamento, habilidades, experiências e qualificações (cláusula 7.2)
  • Resultados de monitoramento e medição (cláusula 9.1)
  • Programa de auditoria interna (cláusula 9.2)
  • Resultados de auditorias internas (cláusula 9.2)
  • Resultados de análises críticas pela direção (cláusula 9.3)
  • Resultados de ações corretivas (cláusula 10.1)
  • Registros de atividades de usuários, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3)

Documentos não obrigatórios

Existem vários documento não obrigatórios que podem ser utilizados para a implementação da ISO 27001, especialmente para os controles de segurança do Anexo A. Contudo, eu entendo os documentos não obrigatórios a seguir como os mais comumente utilizados:

  • Procedimento para controle de documentos (cláusula 7.5)
  • Controles para a gestão de registros (cláusula 7.5)
  • Procedimento para auditoria interna (cláusula 9.2)
  • Procedimento para ação corretiva (cláusula 10.1)
  • Política para uso de dispositivo pessoal (BYOD) (cláusula A.6.2.1)
  • Política para dispositivos móveis e trabalho remoto (cláusula A.6.2.1)
  • Política de classificação da informação (cláusulas A.8.2.1, A.8.2.2 e A.8.2.3)
  • Política de senhas (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 e A.9.4.3)
  • Política de descarte e destruição (cláusulas A.8.3.2 e A.11.2.7)
  • Procedimentos para trabalho em áreas seguras (cláusula A.11.1.5)
  • Política de mesa limpa e tela limpa (cláusula A.11.2.9)
  • Política de gestão de mudança (cláusulas A.12.1.2 e A.14.2.4)
  • Política de cópias de segurança (Backup) (cláusula A.12.3.1)
  • Política de transferência de informações (cláusulas A.13.2.1, A.13.2.2 e A.13.2.3)
  • Análise de impacto no negócio (cláusula A.17.1.1)
  • Exercitando e testando planos de continuidade de negócio (cláusula A.17.1.3)
  • Manutenção e revisão de planos de continuidade de negócio (cláusula A.17.1.3)
  • Estratégia de continuidade de negócio (cláusula A.17.2.1)

Isso seria tudo – qual a sua opinião? É muito material para escrever? Estes documentos cobrem todos os aspectos da segurança da informação?

Clique aqui para fazer o download do documento Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013) com informações mais detalhadas sobre as formas mais comuns de se estruturar e implementar documentos e registros obrigatórios.

Obs.: a tradução dos nomes de documentos e registros podem diferir do que será publicado na versão brasileira a ser disponibilizada pela ABNT.

Clique aqui para baixar o paper Lista de verificação da documentação obrigatória requerida pela ISO 27001:2013. Ele contém informações mais detalhadas sobre as formas mais comuns de estruturar e implementar documentos e registros obrigatórios.

Nós agradecemos a Rhand Leal pela tradução para o portugês.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001