• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Gestão de registros na ISO 27001 e ISO 22301

    No início da implementação da ISO 27001 ou ISO 22301, registros podem parecer como um daqueles requisitos burocráticos destas normas sem um propósito real, e que apenas tomará seu tempo. Contudo, as chances são de que você já tenha muitos registros que podem ser usados, e aqueles que você terá que introduzir poderiam ser bem úteis.

    O que são registros

    A ISO/IEC 27000:2014 define registro como “evidência de resultados atingidos” – isto basicamente significa que registros são produzidos (automatica ou manualmente) quando uma certa atividade é realizada, e aqueles registros mostram o que foi feito. Por exemplo, se o seu backup é realizado automaticamente, seu sistema de backup irá produzir logs (que também são um tipo de registro); se você tem um livro de visitantes, assinar nomes neste livro é um registro.

    Todas as normas de gestão ISO como a ISO 9001, ISO 14001, ISO 20000, etc. tem os mesmos requisitos para a gestão de registros – desta forma, este artigo é aplicável a todas estas  normas.

    Para tornar as coisas um pouco mais complicadas, as novas normas ISO 27001:2013 e ISO 22301:2012 falam sobre registros apenas no contexto de informação documentada – informação documentada nada mais é do que registros e documentos (i.e., políticas, procedimentos, planos e outros documentos similares) integrados em um único termo. Isto foi feito porque a gestão de documentos e registros é basicamente a mesma, e em alguns casos os documentos também são registros ao mesmo tempo.

    Exemplos de registros

    Abaixo estão alguns registros divididos pela forma como são criados:

    Registros criados automaticamente:

    • logs criados dentro de sistemas de informação
    • reportes criados a partir de sistemas de informação

    Registros criados manualmente:

    • reportes onde entrada adicional foi necessária
    • registros de treinamentos
    • registros de prática (drills), testes e exercícios
    • minutas de reuniões
    • ações corretivas
    • inventários de ativos
    • listas de verificação
    • listas de coisas a fazer (to-do lists)
    • histórico de mudanças dentro de documentos
    • resultados de revisões pós-incidente
    • livro de registro de visitantes

    Claro, registros podem ser em forma de papel, digital ou outra forma – alguns registros ainda são predominantemente em forma de papel (e.g., um NDA assinado), mas a tendência geral é, claro, de se possuir registros digitais.

    Aqui você encontrará uma lista dos registros obrigatórios de acordo com estas duas normas: Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013) e Mandatory documents required by ISO 22301 – isto é o mínimo que você precisa manter se quiser estar em conformidade com estas duas normas, e outros registros são necessários se você quer provar que realizou certas atividades.

    Requisitos para o controle de registros

    Requisitos para a gestão de registros (gestão de informação documentada) são quase os mesmos na ISO 27001 e ISO 22301 – aqui está o que estas duas normas requerem para o controle de registros:

    • Distribuição, acesso, recuperação e uso – basicamente, você precisa definir quem tem direito de acessar os registros (e.g., por cargo) e para qual propósito (e.g., apenas leitura).
    • Armazenamento e preservação – onde os registros serão arquivados (e.g., qual computador, qual instalação), como serão protegidos contra acesso não autorizado (e.g., controle de acesso, criptografia, etc.), e como preservar a legibilidade (assegurar que a informação é legível mesmo se a mídia se tornar obsoleta – e.g., o que fazer com as velhas fitas VHS).
    • Controle de mudanças – se você editar um registro em particular (e.g., um relatório), você precisa designar um novo número de versão a cada vez.
    • Retenção e disposição – por quanto tempo um registro em particular será mantido (e.g., 5 anos) e como tal registro será destruído (e.g., sobrescrever  registros digitais ou destruir documentos em papel em uma picotadora).

    Existem basicamente duas formas de documentar estas regras: (a) escrever uma política centralizada ou procedimento que iria definir regras para controlar todos os registros na organização, ou (b) definir as regras em diferentes políticas e procedimentos separadamente para cada tipo de registro. Por exemplo, a abordagem (b) poderia ser um procedimento de Backup que definiria regras para todos os 4 itens mencionados acima especificamente para backup de logs.

    Pessoalmente, penso que a abordagem (a) é possível apenas se existem poucos tipos de registros na organização – e.g., se é uma organização muito pequena, ou se todos os registros da organização são muito similares; a abordagem (b) deveria ser usada em todos os outros casos.

    Por que os registros são importantes?

    Como pode ter imaginado, registros são extremamente importantes para a auditoria de certificação – o auditor de certificação irá procurar por evidência de que você tenha realizado certas atividades, e baseado nisso ele tomará uma decisão sobre se você está em conformidade com sua documentação. Veja também: Becoming ISO 27001 certified – How to prepare for certification audit.

    Mas, mais importante – sem registros você não saberia o que fez ou não fez, o que está indo bem e o que não está. Você seria capaz de se lembrar sobre o que concordou durante cada reunião nos últimos anos? Seria capaz de saber se realizou todos os itens de sua lista, e quais você deixou para fazer depois? Seria capaz de saber quais dos seus sistemas funcionaram bem e quais não?

    Claro que não seria – então, use estes registros para gerir sua segurança da informação, e para gerir sua organização. Sem registros você está apenas supondo – seria como dirigir um carro no meio da noite com os faróis apagados.

    Baixe este artigo gratuito que explica todos os registros obrigatórios da ISO 27001: Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013).

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.