Gestão de documentos dentro da ISO 27001 e BS 25999-2

Porque a ISO 27001 e a BS 25999-2 dão tanta ênfase ao controle de documentos? Ambas as normas definem rigorosamente como os documentos devem ser gerenciados e exigem que a organização tenha um procedimento documentado para a gestão de documentos. Acredite, você não irá obter a certificação se não tiver esse procedimento.

Os documentos podem estar em vários formatos – documentos em papel, arquivos de texto ou planilha eletrônica, arquivos de vídeo ou áudio etc. Uma organização não precisa apenas gerenciar documentos internos (várias políticas, procedimentos, documentação de projetos etc.), mas também documentos externos (diferentes tipos de correspondência, documentações recebidas com o equipamentos etc.). Ou seja, a gestão de documentos é uma tarefa bastante complexa e abrangente.

Então por que é importante gerenciá-los? Bem, você já esteve em uma situação na qual não sabia onde encontrar algum documento importante? Ou descobriu que seus funcionários estavam usando uma versão errada (mais antiga) de um procedimento? Ou alguns funcionários não receberam um procedimento importante? Ou talvez não tenha ficado claro qual era a versão desse procedimento? Ou algum documento confidencial foi transmitido a pessoas erradas? Se você nunca esteve em situações problemáticas como essas, provavelmente já esteve nesta: seus procedimentos simplesmente não estão atualizados.

Se você não tem uma abordagem sistemática para a gestão de seus documentos, provavelmente já se encontrou em alguma dessas situações. Por isso, a ISO 27001 e a BS 25999-2 exigem que as organizações tenham uma abordagem sistemática, ao escrever um procedimento de gestão de documentos.

Esse procedimento deve definir claramente as responsabilidades pelos documentos: quem pode aprová-los, como eles são distribuídos e arquivados, como eles são mantidos atualizados, qual sistema de versão está em uso, como você controla alterações nos documentos, o que você faz com documentos externos etc.

Como a gestão de documentos é algo tão essencial, certifique-se de que o auditor da certificação não irá analisar apenas esse procedimento, mas também verificar se a documentação está sendo gerenciada como você definiu no seu processo de gestão de documentos. Ao introduzir esse procedimento provavelmente você terá de mudar seu sistema de tratamento dos documentos, armazenar a documentação em sua intranet ou implementar um sistema mais complexo de gestão de documentos e organizar o arquivo de documentos em papel.

Quando você começar a implementar a ISO 27001/BS 25999-2, você começa a perceber a importância de escrever as coisas, mas também percebe que essas coisas escritas devem ser organizadas, a menos que se queira perder o controle sobre elas. Os documentos são a corrente sanguínea de seu sistema de gestão, portanto, cuide bem deles se você quiser que seu sistema permaneça saudável.

Para gerenciar seus documentos com mais facilidade, confira este Conformio document management system.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Tag: #ISO 27001