Gestão de registros na ISO 27001 e ISO 22301

No início da implementação da ISO 27001 ou ISO 22301, registros podem parecer como um daqueles requisitos burocráticos destas normas sem um propósito real, e que apenas tomará seu tempo. Contudo, as chances são de que você já tenha muitos registros que podem ser usados, e aqueles que você terá que introduzir poderiam ser bem úteis.

O que são registros

A ISO/IEC 27000:2014 define registro como “evidência de resultados atingidos” – isto basicamente significa que registros são produzidos (automatica ou manualmente) quando uma certa atividade é realizada, e aqueles registros mostram o que foi feito. Por exemplo, se o seu backup é realizado automaticamente, seu sistema de backup irá produzir logs (que também são um tipo de registro); se você tem um livro de visitantes, assinar nomes neste livro é um registro.

Todas as normas de gestão ISO como a ISO 9001, ISO 14001, ISO 20000, etc. tem os mesmos requisitos para a gestão de registros – desta forma, este artigo é aplicável a todas estas  normas.

Para tornar as coisas um pouco mais complicadas, as novas normas ISO 27001:2013 e ISO 22301:2012 falam sobre registros apenas no contexto de informação documentada – informação documentada nada mais é do que registros e documentos (i.e., políticas, procedimentos, planos e outros documentos similares) integrados em um único termo. Isto foi feito porque a gestão de documentos e registros é basicamente a mesma, e em alguns casos os documentos também são registros ao mesmo tempo.

Exemplos de registros

Abaixo estão alguns registros divididos pela forma como são criados:

Registros criados automaticamente:

  • logs criados dentro de sistemas de informação
  • reportes criados a partir de sistemas de informação

Registros criados manualmente:

  • reportes onde entrada adicional foi necessária
  • registros de treinamentos
  • registros de prática (drills), testes e exercícios
  • minutas de reuniões
  • ações corretivas
  • inventários de ativos
  • listas de verificação
  • listas de coisas a fazer (to-do lists)
  • histórico de mudanças dentro de documentos
  • resultados de revisões pós-incidente
  • livro de registro de visitantes

Claro, registros podem ser em forma de papel, digital ou outra forma – alguns registros ainda são predominantemente em forma de papel (e.g., um NDA assinado), mas a tendência geral é, claro, de se possuir registros digitais.

Aqui você encontrará uma lista dos registros obrigatórios de acordo com estas duas normas: Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013) e Mandatory documents required by ISO 22301 – isto é o mínimo que você precisa manter se quiser estar em conformidade com estas duas normas, e outros registros são necessários se você quer provar que realizou certas atividades.

Requisitos para o controle de registros

Requisitos para a gestão de registros (gestão de informação documentada) são quase os mesmos na ISO 27001 e ISO 22301 – aqui está o que estas duas normas requerem para o controle de registros:

  • Distribuição, acesso, recuperação e uso – basicamente, você precisa definir quem tem direito de acessar os registros (e.g., por cargo) e para qual propósito (e.g., apenas leitura).
  • Armazenamento e preservação – onde os registros serão arquivados (e.g., qual computador, qual instalação), como serão protegidos contra acesso não autorizado (e.g., controle de acesso, criptografia, etc.), e como preservar a legibilidade (assegurar que a informação é legível mesmo se a mídia se tornar obsoleta – e.g., o que fazer com as velhas fitas VHS).
  • Controle de mudanças – se você editar um registro em particular (e.g., um relatório), você precisa designar um novo número de versão a cada vez.
  • Retenção e disposição – por quanto tempo um registro em particular será mantido (e.g., 5 anos) e como tal registro será destruído (e.g., sobrescrever  registros digitais ou destruir documentos em papel em uma picotadora).

Existem basicamente duas formas de documentar estas regras: (a) escrever uma política centralizada ou procedimento que iria definir regras para controlar todos os registros na organização, ou (b) definir as regras em diferentes políticas e procedimentos separadamente para cada tipo de registro. Por exemplo, a abordagem (b) poderia ser um procedimento de Backup que definiria regras para todos os 4 itens mencionados acima especificamente para backup de logs.

Pessoalmente, penso que a abordagem (a) é possível apenas se existem poucos tipos de registros na organização – e.g., se é uma organização muito pequena, ou se todos os registros da organização são muito similares; a abordagem (b) deveria ser usada em todos os outros casos.

Por que os registros são importantes?

Como pode ter imaginado, registros são extremamente importantes para a auditoria de certificação – o auditor de certificação irá procurar por evidência de que você tenha realizado certas atividades, e baseado nisso ele tomará uma decisão sobre se você está em conformidade com sua documentação. Veja também: Becoming ISO 27001 certified – How to prepare for certification audit.

Mas, mais importante – sem registros você não saberia o que fez ou não fez, o que está indo bem e o que não está. Você seria capaz de se lembrar sobre o que concordou durante cada reunião nos últimos anos? Seria capaz de saber se realizou todos os itens de sua lista, e quais você deixou para fazer depois? Seria capaz de saber quais dos seus sistemas funcionaram bem e quais não?

Claro que não seria – então, use estes registros para gerir sua segurança da informação, e para gerir sua organização. Sem registros você está apenas supondo – seria como dirigir um carro no meio da noite com os faróis apagados.

Baixe este artigo gratuito que explica todos os registros obrigatórios da ISO 27001: Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013).

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.