Get 4 FREE months of Conformio to implement ISO 27001

Quão detalhada deveria ser a documentação da ISO 27001?

Ao iniciar a elaboração de uma política ou procedimento, você provavelmente estará se perguntando quão longo ele deveria ser. E a verdade é, a ISO 27001 (assim como outras normas como a ISO 20000, ISO 9001, ISO 14001 e outras) são muito flexíveis neste respeito. Elas basicamente permitem a você a liberdade para decidir por você mesmo qual nível de detalhe você vai colocar em seus documentos.

Critérios para decidir sobre o nível de detalhe

Então, antes de você começar a escrever sua documentação, você deveria verificar estes critérios para decidir quão detalhadas suas políticas e procedimentos deveriam ser:

Nível de complexidade. Quanto mais complexo é o processo ou atividade, mais detalhes você terá que escrever. Claro que, se seu processo possui 5 etapas muito simples você escreverá todo o seu procedimento em uma única página, mas se o processo tem 100 etapas – algumas das quais são realmente difíceis – você pode terminar com um documento com algumas dúzias de páginas.

Maturidade. Se um processo ou atividade é complexa, mas a prática tem demonstrado que existem poucos problemas com ela porque seus empregados a tem executado da mesma forma por anos e sabem exatamente como ela é feita, você não tem que escrever um documento muito longo.

Com que frequência eles são realizados. Se o processo ou atividade é realizada raramente, então você provavelmente tem que explicá-la em mais detalhes – isto porque seus empregados tenderão a esquecer como o processo ou atividade é feita; se ela é realizada regularmente, o documento será muito mais curto.

Importância/riscos. Quanto mais importante é a atividade ou processo, mais detalhados os documentos tendem a ser, porque você irá querer ter certeza de que todos entendam exatamente como executá-lo. Por exemplo, se você tem muitos riscos que são relacionados ao controle de acesso a sistemas de informação, você deveria escrever estas regras em mais detalhes; por outro lado, se sua segurança física não é realmente um assunto crítico, você deverá descrevê-la apenas de forma geral (ou até mesmo evitar escrever um documento).

Conformidade. Em alguns casos, você terá auditores vindo a sua organização em nome de organismos reguladores e/ou em nome de seus clientes importantes – se eles esperam ver, por exemplo, uma Política de traga seu próprio dispositivo (BYOD) muito detalhada, então torne  sua vida mais fácil e dê a eles aquela bela e detalha política.

A decisão sobre quantos documentos você quer ter e quão detalhados eles deveriam ser é uma decisão estratégica – você deveria tomar tal decisão mesmo antes de iniciar seu projeto da ISO 27001. Veja também: 8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever.

Uma vez iniciada a elaboração dos documentos, use este artigo: Sete passos para a implementação de políticas e procedimentos.

Problemas com documentação complexa

Muitos profissionais de segurança da informação caem na armadilha de pensar “descreveremos todas as regras de segurança em detalhes → todos saberão exatamente o que fazer → teremos um nível maior de segurança,” mas isso não funciona desta forma. Documentos complexos requerem muito esforço para manter, e pior ainda: empregados não gostam de ler longas políticas e procedimentos.

Então lembre-se, quanto menos documentos você tiver e menos complexos eles forem, maiores serão as chances dos seus empregados agirem em conformidade com eles. Assim, não seja muito ambicioso ao escrever os seus documentos; mas seja ambicioso em perguntar as regras de segurança a serem implementadas.

Veja aqui amostras gratuitas de documentos que são otimizados para organizações de pequeno e médio porte: Amostra gratuita do Kit de Documentação da ISO 27001.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.