Como estruturar os documentos para os controles do Anexo A da ISO 27001

Uma vez que você tenha concluído sua avaliação e tratamento de risco, é hora de iniciar a elaboração dos documentos que descrevem seus controles de segurança de acordo com o Anexo A da ISO 27001. Mas, quais documentos você deveria escrever? Como estruturá-los? Por quais começar?

Aqui está o que descobri ser o melhor modo de fazer isso.

Como escolher quais documentos escrever

A ISO 27001 diz que você não pode simplesmente começar a selecionar controles e /ou escrever os documentos que você mais gosta – o ponto é que esta seleção de controles deve ser uma consequência direta do processo de avaliação e tratamento de risco. Veja também: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

Segundo ponto, você deveria saber quais documentos são obrigatórios e quais não são – veja esta lista aqui:  Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).

Finalmente, uma vez que você saiba quais controles devem ser aplicados e quais documentos são obrigatórios, você deve decidir quão extensiva sua documentação será:

  • Organizações de pequeno porte tenderão a ter um número menor de documentos: (1) elas não documentarão cada controle, e (2) elas incluirão vários controles em um único documento.
  • Organizações de grande porte tenderão a ter mais documentos, e os documentos serão mais detalhados.

Contudo, estes não são os únicos critérios para decidir quais documentos escrever – veja também 8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever.

Quais documentos deveriam cobrir quais controles?

Uma vez que o Anexo A possui 114 controles, a verdade é que não é muito fácil decidir como agrupar políticas e procedimentos para cobri-los (veja também: Visão geral do Anexo A da ISO 27001:2013). E o fato de que a ISO 27001 não prescreve quais controles devem ser alocados para quais políticas e/ou procedimentos pode inicialmente parecer um problema, mas uma vez que você perceba que tal abordagem dá uma grande liberdade para adaptar a documentação para as reais necessidades de sua organização , você na verdade ficará grato pela ISO 27001 ser tão flexível.

Novamente, existem duas abordagens para agrupar os documentos:

Organizações de pequeno porte normalmente terão políticas e/ou procedimentos que cobrirão vários controles com apenas um documento – por exemplo, você poderia usar:

  • Política de controle de acesso para cobrir todos os 14 controles da seção A.9 (sem escrever procedimentos detalhados),
  • Política de traga seu próprio dispositivo (BYOD) para cobrir não apenas o A.6.2.1 (Política para uso de dispositivo móvel) e A.6.2.2 (Trabalho remoto), mas também o A.13.2.1 (Políticas e procedimentos para transferência de informações),
  • Com a Política de uso aceitável, você poderia até ser mais ambicioso e cobrir controles de várias seções do Anexo A, uma vez que este documento poderia servir como uma linha de base de segurança para todos os empregados: A.6.2.1, A.6.2.2, A.8.1.2, A.8.1.3, A.8.1.4, A.9.3.1, A.11.2.5, A.11.2.6, A.11.2.8, A.11.2.9, A.12.2.1, A.12.3.1, A.12.5.1, A.12.6.2, A.13.2.3 e A.18.1.2.

Organizações de grande porte geralmente estruturam a documentação de uma forma diferente:

  • cada seção do Anexo A será coberta com uma política – e.g., Política para organização da segurança da informação (A.6), Política de segurança em recursos humanos (A.7), Política de gestão de ativos (A.8), etc.
  • cada política terá procedimentos detalhados e/ou instruções de trabalho que cobrirão controles simples – por exemplo, Procedimento para classificação da informação (para o controle A.8.2.1), Procedimento para rotulagem de informação (controle A.8.2.2), Procedimento para tratamento de informação (controle A.8.2.3), etc.

A sequencia de elaboração dos documentos

Uma vez que você tenha uma ideia de como estruturar os documentos, como decide por onde começar e para onde ir?

Para organizações de pequeno porte, você pode usar alguns critérios para decidir com quais documentos iniciar:

  • Áreas onde você quer obter vitórias rápidas – isto significa selecionar uma área onde você sabe que terminará sua documentação rapidamente, e desta forma mostrar a sua administração, seus pares (e a você mesmo) de que é capaz de fazer este trabalho de forma efetiva.
  • Áreas onde você tem os maiores riscos – desta forma você inicia resolvendo os maiores problemas primeiro – você pode não terminar isto rapidamente, mas algumas vezes esta abordagem é necessária se a sua avaliação de riscos demonstrou que você possui algumas lacunas grandes que devem ser tratadas.
  • Áreas que são compatíveis com outros projetos em andamento em sua organização – por exemplo, se sua organização atualmente está implementando software de atendimento ao usuário (help desk), você pode querer iniciar a elaboração do procedimento de gestão de incidentes, porque isto irá regular como o software será usado dentro do contexto da ISO 27001.

Para documentos que serão escritos por último, minha preferência pessoal é por documentos que cobrem um grande número de controles (por exemplo, a Política de Uso Aceitável). Desta forma você saberá quais controles você cobriu com outros documentos, e aqueles que não tenham sido descritos em outras políticas e procedimentos podem ser descritos em um documento do tipo “tudo incluído” (all-inclusive) ao final do processo.

Novamente, organizações de grande porte terão uma abordagem diferente – elas escreverão as políticas primeiro, e os procedimentos / instruções de trabalho relacionadas em um segundo momento, enquanto que para decidir com quais políticas começar elas podem utilizar os mesmos critérios descritos acima.

Assim, para concluir, tenha certeza de utilizar a flexibilidade que a ISO 27001 oferece a você para adaptar a documentação às suas necessidades específicas – porque a ideia é que a documentação sirva a você, e não o contrário.

Neste Kit de Documentação da ISO 27001 você verá um exemplo de como agrupar os documentos do Anexo para organizações de pequeno e médio porte.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001