Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever

Se você acabou de iniciar a implementação da ISO 27001 em sua organização, você provavelmente esta em um dilema sobre quantos documentos você precisa ter, e se deve escrever ou não certas políticas e procedimentos.

Critério para decidir o que documentar

Bem, o primeiro passo é fácil – você precisa verificar se um documento é requerido pela ISO 27001. Para este propósito, veja este artigo: Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013). Se o documento é obrigatório, você não tem o que pensar – você deve escrevê-lo se você quiser estar em conformidade com esta norma. (Veja também: Sete passos para a implementação de políticas e procedimentos.)

Contudo, se o documento não é obrigatório, você pode ficar na dúvida se precisa ou não escrevê-lo – por exemplo, você precisaria de uma Política de Backup? Ou talvez uma Política de Classificação? Ou uma Política sobre Dispositivos Pessoais (BYOD)?

Aqui estão alguns critérios que ajudarão você:

Riscos. Você tem que iniciar pela avaliação de riscos para ver se há uma necessidade real para tal controle (veja também: A lógica básica da ISO 27001: Como a segurança da informação funciona?). Se não existe risco, então certamente você não precisará de um documento para ele; se existe um risco, isto ainda não significa que você tenha que escrever um documento, mas ao menos você terá resolvido o dilema se o controle é necessário ou não.

Conformidade. Algumas vezes você talvez tenha uma regulamentação ou requisito contratual para escrever um certo documento – e.g., uma regulamentação talvez requeira que você escreva a Política de Classificação, ou seu cliente pode requerer que você assine ANDs (Acordos de Não Divulgação) com seus empregados.

Tamanho de sua organização. Organizações menores tenderão a ter menos documentos, então em tais casos você deveria tentar evitar escrever um procedimento para cada pequeno processo – por exemplo, se você tem 20 empregado você não precisa de 50 documentos para o seu SGSI. Claro que, se você é uma organização multinacional com 10.000 empregados, escrever políticas onde cada uma teria alguns procedimentos relacionados, e então para cada procedimento algumas instruções de trabalho – esta abordagem não faz sentido.

Importância. Quanto mais importante um processo ou atividade, mais provavelmente você irá querer escrever uma política ou um procedimento para descrevê-lo – isto poque você irá querer ter certeza de que todos entendem como realizar tal processo ou atividade de forma evitar interrupções em suas operações.

Número de pessoas envolvidas. Quanto mais pessoas realizam um processo ou atividade, mais provavelmente você irá querer documentá-la; por exemplo, se você tem 100 pessoas envolvidas nele, será muito difícil explicar verbalmente para todas estas pessoas como realizar certo processo – é muito mais fácil escrever um procedimento que explicaria tudo em detalhes. Por outro lado, se você tem cinco pessoas envolvidas, você provavelmente pode explicar como todo o processo funciona em uma simples reunião, então não há necessidade por um processo escrito. Contudo, existe uma exceção: se você tem apenas uma pessoa trabalhando em um processo, você pode querer documentá-lo porque ninguém mais sabe como fazê-lo – se esta pessoa tornar-se indisponível, você será capaz de continuar suas operações.

Complexidade. Quanto mais complexo o processo, mais provavelmente você irá precisar de um documento escrito para ele (ao menos na forma de uma lista de verificação) – é simplesmente impossível lembrar-se de memória, por exemplo, de 100 passos que são necessários de serem executados em uma sequência exata.

Maturidade. Se um processo ou atividade está claramente estabelecido, se ele tem sido executado por anos e todos sabem exatamente como realizá-lo, se ele está bem ajustado, então provavelmente não há necessidade de documentá-lo.

Frequência. Se você realiza algumas atividades muito raramente, você pode querer escrevê-las porque você pode esquecer como elas são feitas.

Encontre o equilíbrio certo

Quanto mais documentos você tem e mais detalhados eles são, mais difícil será mantê-los e fazer com que seus empregados os cumpram. Por outro lado, uma quantidade menor de documentos quantambém são bem curtos pode não descrever exatamente o que você precisa fazer.

Em muitos casos, eu recomendo aos meus clientes para não se tornarem muito ambiciosos – se não há absoluta necessidade para criar algum novo documento, não crie-o; se não há necessidade de descrever alguns processos em grandes detalhes, faça-os mais curtos.

E lembre-se – documentos desnecessários trarão a você nada mais do que problemas.

Este paper gratuito fornecerá detalhes dos documentos mais importantes: Lista de verificação da documentação obrigatória requerida pela ISO 27001:2013.

Nós agradecemos a Rhand Leal pela tradução para o Português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Tag: #ISO 27001