Ao iniciar a elaboração de uma política ou procedimento, você provavelmente estará se perguntando quão longo ele deveria ser. E a verdade é, a ISO 27001 (assim como outras normas como a ISO 20000, ISO 9001, ISO 14001 e outras) são muito flexíveis neste respeito. Elas basicamente permitem a você a liberdade para decidir por você mesmo qual nível de detalhe você vai colocar em seus documentos.
Critérios para decidir sobre o nível de detalhe
Então, antes de você começar a escrever sua documentação, você deveria verificar estes critérios para decidir quão detalhadas suas políticas e procedimentos deveriam ser:
Nível de complexidade. Quanto mais complexo é o processo ou atividade, mais detalhes você terá que escrever. Claro que, se seu processo possui 5 etapas muito simples você escreverá todo o seu procedimento em uma única página, mas se o processo tem 100 etapas – algumas das quais são realmente difíceis – você pode terminar com um documento com algumas dúzias de páginas.
Maturidade. Se um processo ou atividade é complexa, mas a prática tem demonstrado que existem poucos problemas com ela porque seus empregados a tem executado da mesma forma por anos e sabem exatamente como ela é feita, você não tem que escrever um documento muito longo.
Com que frequência eles são realizados. Se o processo ou atividade é realizada raramente, então você provavelmente tem que explicá-la em mais detalhes – isto porque seus empregados tenderão a esquecer como o processo ou atividade é feita; se ela é realizada regularmente, o documento será muito mais curto.
Importância/riscos. Quanto mais importante é a atividade ou processo, mais detalhados os documentos tendem a ser, porque você irá querer ter certeza de que todos entendam exatamente como executá-lo. Por exemplo, se você tem muitos riscos que são relacionados ao controle de acesso a sistemas de informação, você deveria escrever estas regras em mais detalhes; por outro lado, se sua segurança física não é realmente um assunto crítico, você deverá descrevê-la apenas de forma geral (ou até mesmo evitar escrever um documento).
Conformidade. Em alguns casos, você terá auditores vindo a sua organização em nome de organismos reguladores e/ou em nome de seus clientes importantes – se eles esperam ver, por exemplo, uma Política de traga seu próprio dispositivo (BYOD) muito detalhada, então torne sua vida mais fácil e dê a eles aquela bela e detalha política.
A decisão sobre quantos documentos você quer ter e quão detalhados eles deveriam ser é uma decisão estratégica – você deveria tomar tal decisão mesmo antes de iniciar seu projeto da ISO 27001. Veja também: 8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever.
Uma vez iniciada a elaboração dos documentos, use este artigo: Sete passos para a implementação de políticas e procedimentos.
Problemas com documentação complexa
Muitos profissionais de segurança da informação caem na armadilha de pensar “descreveremos todas as regras de segurança em detalhes → todos saberão exatamente o que fazer → teremos um nível maior de segurança,” mas isso não funciona desta forma. Documentos complexos requerem muito esforço para manter, e pior ainda: empregados não gostam de ler longas políticas e procedimentos.
Então lembre-se, quanto menos documentos você tiver e menos complexos eles forem, maiores serão as chances dos seus empregados agirem em conformidade com eles. Assim, não seja muito ambicioso ao escrever os seus documentos; mas seja ambicioso em perguntar as regras de segurança a serem implementadas.
Veja aqui amostras gratuitas de documentos que são otimizados para organizações de pequeno e médio porte: Amostra gratuita do Kit de Documentação da ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.