• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Quão detalhada deveria ser a documentação da ISO 27001?

    Ao iniciar a elaboração de uma política ou procedimento, você provavelmente estará se perguntando quão longo ele deveria ser. E a verdade é, a ISO 27001 (assim como outras normas como a ISO 20000, ISO 9001, ISO 14001 e outras) são muito flexíveis neste respeito. Elas basicamente permitem a você a liberdade para decidir por você mesmo qual nível de detalhe você vai colocar em seus documentos.

    Critérios para decidir sobre o nível de detalhe

    Então, antes de você começar a escrever sua documentação, você deveria verificar estes critérios para decidir quão detalhadas suas políticas e procedimentos deveriam ser:

    Nível de complexidade. Quanto mais complexo é o processo ou atividade, mais detalhes você terá que escrever. Claro que, se seu processo possui 5 etapas muito simples você escreverá todo o seu procedimento em uma única página, mas se o processo tem 100 etapas – algumas das quais são realmente difíceis – você pode terminar com um documento com algumas dúzias de páginas.

    Maturidade. Se um processo ou atividade é complexa, mas a prática tem demonstrado que existem poucos problemas com ela porque seus empregados a tem executado da mesma forma por anos e sabem exatamente como ela é feita, você não tem que escrever um documento muito longo.

    Com que frequência eles são realizados. Se o processo ou atividade é realizada raramente, então você provavelmente tem que explicá-la em mais detalhes – isto porque seus empregados tenderão a esquecer como o processo ou atividade é feita; se ela é realizada regularmente, o documento será muito mais curto.

    Importância/riscos. Quanto mais importante é a atividade ou processo, mais detalhados os documentos tendem a ser, porque você irá querer ter certeza de que todos entendam exatamente como executá-lo. Por exemplo, se você tem muitos riscos que são relacionados ao controle de acesso a sistemas de informação, você deveria escrever estas regras em mais detalhes; por outro lado, se sua segurança física não é realmente um assunto crítico, você deverá descrevê-la apenas de forma geral (ou até mesmo evitar escrever um documento).

    Conformidade. Em alguns casos, você terá auditores vindo a sua organização em nome de organismos reguladores e/ou em nome de seus clientes importantes – se eles esperam ver, por exemplo, uma Política de traga seu próprio dispositivo (BYOD) muito detalhada, então torne  sua vida mais fácil e dê a eles aquela bela e detalha política.

    A decisão sobre quantos documentos você quer ter e quão detalhados eles deveriam ser é uma decisão estratégica – você deveria tomar tal decisão mesmo antes de iniciar seu projeto da ISO 27001. Veja também: 8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever.

    Uma vez iniciada a elaboração dos documentos, use este artigo: Sete passos para a implementação de políticas e procedimentos.

    Problemas com documentação complexa

    Muitos profissionais de segurança da informação caem na armadilha de pensar “descreveremos todas as regras de segurança em detalhes → todos saberão exatamente o que fazer → teremos um nível maior de segurança,” mas isso não funciona desta forma. Documentos complexos requerem muito esforço para manter, e pior ainda: empregados não gostam de ler longas políticas e procedimentos.

    Então lembre-se, quanto menos documentos você tiver e menos complexos eles forem, maiores serão as chances dos seus empregados agirem em conformidade com eles. Assim, não seja muito ambicioso ao escrever os seus documentos; mas seja ambicioso em perguntar as regras de segurança a serem implementadas.

    Veja aqui amostras gratuitas de documentos que são otimizados para organizações de pequeno e médio porte: Amostra gratuita do Kit de Documentação da ISO 27001.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: