O Manual da ISO 27001 é realmente necessário?

Algumas vezes recebo questionamentos sobre se o Manual da ISO 27001 é requerido pela norma, e como escrevê-lo. Inclusive já perdi alguns clientes em potencial porque disse a eles que nós não temos tal documento e que não o recomendamos. Pior ainda, ouvi alguns certificadores solicitarem tal documento durante auditorias de certificação.

Então, vamos esclarecer o assunto…

O que é o Manual da ISO 27001?

Existem basicamente duas abordagens para o Manual da ISO 27001 / do Sistema de Gestão de Segurança da Informação (SGSI):

a) O Manual da ISO 27001 (muito similar ao Manual da Qualidade na ISO 9001 poderia ser um documento que explica como uma organização irá se adequará aos requisitos da ISO 27001 e quais procedimentos serão utilizados no SGSI, ou

b) O Manual da ISO 27001 poderia ser um pacote de todos os documentos que são produzidos para o ISMS – basicamente, a ideia aqui seria colocar todas as políticas, procedimento, instruções de trabalho, formulários, etc. Em um único livro de forma que ele seria mais fácil de ler.

Por que isto não faz sentido…

Devo dizer que não vejo muito sentido em nenhuma destas abordagens. Eis o por quê:

A abordagem da alínea (a) não faz sentido porque há um documento obrigatório no SGSI que deve descrever como uma organização irá implementar sua segurança da informação – ele é chamado Declaração de Aplicabilidade. Ele deve listar todos os controles do Anexo A, e definir se eles são aplicáveis e como eles serão implementados (ou fazer uma referência a documentos que descrevam os detalhes). Desta forma, a Declaração de Aplicabilidade tem uma função muito similar àquela do Manual da Qualidade, então o Manual da ISO 27001 com o mesmo propósito não faz sentido. Aprenda mais aqui: A importância da Declaração de aplicabilidade da ISO 27001.

Ter todas as políticas e procedimentos compondo um único documento (abordagem b) faz menos sentido ainda – primeiro de tudo, muitas organizações implementando a ISO 27001 usam uma intranet para manusear documentos, então agrupar documentos em formato eletrônico não os torna mais fácil de ler; segundo, quanto mais longo o documento, menor a chance de que alguém irá lê-lo porque nem todo documento do SGSI é destinado para todos em uma organização; e terceiro – uma vez que documentos individuais do SGSI mudam frequentemente, seria um pesadelo atualizar tal manual tão frequentemente.

E finalmente… a ISO 27001 não faz menção sobre um Manual do SGSI ou qualquer coisa similar. Muita da confusão aqui geralmente vem de organizações que implementaram a ISO 9001 porque o Manual da Qualidade é obrigatório para a implementação do Sisteme de Gestão da Qualidade (SGQ), mas tal requisito não existe na ISO 27001.

Não perca seu tempo

Então, a conclusão seria – não perca seu tempo criando algo que não é requerido, e que não agregará a você nenhum valor. Ao invés disso, foque em criar uma boa Declaração de Aplicabilidade que será um documento essencial contra o qual você será auditado, e tal documento também dará a você uma imagem sobre como a segurança é gerenciada em sua organização.

Clique aqui para baixar uma amostra gratuita da Declaração de Aplicabilidade.

Nós agradecemos a Rhand Leal pela tradução para o Português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.