Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Quão detalhada deveria ser a documentação da ISO 27001?

    Ao iniciar a elaboração de uma política ou procedimento, você provavelmente estará se perguntando quão longo ele deveria ser. E a verdade é, a ISO 27001 (assim como outras normas como a ISO 20000, ISO 9001, ISO 14001 e outras) são muito flexíveis neste respeito. Elas basicamente permitem a você a liberdade para decidir por você mesmo qual nível de detalhe você vai colocar em seus documentos.

    Critérios para decidir sobre o nível de detalhe

    Então, antes de você começar a escrever sua documentação, você deveria verificar estes critérios para decidir quão detalhadas suas políticas e procedimentos deveriam ser:

    Nível de complexidade. Quanto mais complexo é o processo ou atividade, mais detalhes você terá que escrever. Claro que, se seu processo possui 5 etapas muito simples você escreverá todo o seu procedimento em uma única página, mas se o processo tem 100 etapas – algumas das quais são realmente difíceis – você pode terminar com um documento com algumas dúzias de páginas.

    Maturidade. Se um processo ou atividade é complexa, mas a prática tem demonstrado que existem poucos problemas com ela porque seus empregados a tem executado da mesma forma por anos e sabem exatamente como ela é feita, você não tem que escrever um documento muito longo.

    Com que frequência eles são realizados. Se o processo ou atividade é realizada raramente, então você provavelmente tem que explicá-la em mais detalhes – isto porque seus empregados tenderão a esquecer como o processo ou atividade é feita; se ela é realizada regularmente, o documento será muito mais curto.

    Importância/riscos. Quanto mais importante é a atividade ou processo, mais detalhados os documentos tendem a ser, porque você irá querer ter certeza de que todos entendam exatamente como executá-lo. Por exemplo, se você tem muitos riscos que são relacionados ao controle de acesso a sistemas de informação, você deveria escrever estas regras em mais detalhes; por outro lado, se sua segurança física não é realmente um assunto crítico, você deverá descrevê-la apenas de forma geral (ou até mesmo evitar escrever um documento).

    Conformidade. Em alguns casos, você terá auditores vindo a sua organização em nome de organismos reguladores e/ou em nome de seus clientes importantes – se eles esperam ver, por exemplo, uma Política de traga seu próprio dispositivo (BYOD) muito detalhada, então torne  sua vida mais fácil e dê a eles aquela bela e detalha política.

    A decisão sobre quantos documentos você quer ter e quão detalhados eles deveriam ser é uma decisão estratégica – você deveria tomar tal decisão mesmo antes de iniciar seu projeto da ISO 27001. Veja também: 8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever.

    Uma vez iniciada a elaboração dos documentos, use este artigo: Sete passos para a implementação de políticas e procedimentos.

    Problemas com documentação complexa

    Muitos profissionais de segurança da informação caem na armadilha de pensar “descreveremos todas as regras de segurança em detalhes → todos saberão exatamente o que fazer → teremos um nível maior de segurança,” mas isso não funciona desta forma. Documentos complexos requerem muito esforço para manter, e pior ainda: empregados não gostam de ler longas políticas e procedimentos.

    Então lembre-se, quanto menos documentos você tiver e menos complexos eles forem, maiores serão as chances dos seus empregados agirem em conformidade com eles. Assim, não seja muito ambicioso ao escrever os seus documentos; mas seja ambicioso em perguntar as regras de segurança a serem implementadas.

    Veja aqui amostras gratuitas de documentos que são otimizados para organizações de pequeno e médio porte: Amostra gratuita do Kit de Documentação da ISO 27001.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.