ENTRE EM CONTATO 1-888-553-2256

The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Gestão de registros na ISO 27001 e ISO 22301

No início da implementação da ISO 27001 ou ISO 22301, registros podem parecer como um daqueles requisitos burocráticos destas normas sem um propósito real, e que apenas tomará seu tempo. Contudo, as chances são de que você já tenha muitos registros que podem ser usados, e aqueles que você terá que introduzir poderiam ser bem úteis.

O que são registros

blogpost-banner-22301-pt

A ISO/IEC 27000:2014 define registro como “evidência de resultados atingidos” – isto basicamente significa que registros são produzidos (automatica ou manualmente) quando uma certa atividade é realizada, e aqueles registros mostram o que foi feito. Por exemplo, se o seu backup é realizado automaticamente, seu sistema de backup irá produzir logs (que também são um tipo de registro); se você tem um livro de visitantes, assinar nomes neste livro é um registro.

Todas as normas de gestão ISO como a ISO 9001, ISO 14001, ISO 20000, etc. tem os mesmos requisitos para a gestão de registros – desta forma, este artigo é aplicável a todas estas  normas.

Para tornar as coisas um pouco mais complicadas, as novas normas ISO 27001:2013 e ISO 22301:2012 falam sobre registros apenas no contexto de informação documentada – informação documentada nada mais é do que registros e documentos (i.e., políticas, procedimentos, planos e outros documentos similares) integrados em um único termo. Isto foi feito porque a gestão de documentos e registros é basicamente a mesma, e em alguns casos os documentos também são registros ao mesmo tempo.

Exemplos de registros

Abaixo estão alguns registros divididos pela forma como são criados:

Registros criados automaticamente:

  • logs criados dentro de sistemas de informação
  • reportes criados a partir de sistemas de informação

Registros criados manualmente:

  • reportes onde entrada adicional foi necessária
  • registros de treinamentos
  • registros de prática (drills), testes e exercícios
  • minutas de reuniões
  • ações corretivas
  • inventários de ativos
  • listas de verificação
  • listas de coisas a fazer (to-do lists)
  • histórico de mudanças dentro de documentos
  • resultados de revisões pós-incidente
  • livro de registro de visitantes

Claro, registros podem ser em forma de papel, digital ou outra forma – alguns registros ainda são predominantemente em forma de papel (e.g., um NDA assinado), mas a tendência geral é, claro, de se possuir registros digitais.

Aqui você encontrará uma lista dos registros obrigatórios de acordo com estas duas normas: Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013) e Mandatory documents required by ISO 22301 – isto é o mínimo que você precisa manter se quiser estar em conformidade com estas duas normas, e outros registros são necessários se você quer provar que realizou certas atividades.

Requisitos para o controle de registros

Requisitos para a gestão de registros (gestão de informação documentada) são quase os mesmos na ISO 27001 e ISO 22301 – aqui está o que estas duas normas requerem para o controle de registros:

  • Distribuição, acesso, recuperação e uso – basicamente, você precisa definir quem tem direito de acessar os registros (e.g., por cargo) e para qual propósito (e.g., apenas leitura).
  • Armazenamento e preservação – onde os registros serão arquivados (e.g., qual computador, qual instalação), como serão protegidos contra acesso não autorizado (e.g., controle de acesso, criptografia, etc.), e como preservar a legibilidade (assegurar que a informação é legível mesmo se a mídia se tornar obsoleta – e.g., o que fazer com as velhas fitas VHS).
  • Controle de mudanças – se você editar um registro em particular (e.g., um relatório), você precisa designar um novo número de versão a cada vez.
  • Retenção e disposição – por quanto tempo um registro em particular será mantido (e.g., 5 anos) e como tal registro será destruído (e.g., sobrescrever  registros digitais ou destruir documentos em papel em uma picotadora).

Existem basicamente duas formas de documentar estas regras: (a) escrever uma política centralizada ou procedimento que iria definir regras para controlar todos os registros na organização, ou (b) definir as regras em diferentes políticas e procedimentos separadamente para cada tipo de registro. Por exemplo, a abordagem (b) poderia ser um procedimento de Backup que definiria regras para todos os 4 itens mencionados acima especificamente para backup de logs.

Pessoalmente, penso que a abordagem (a) é possível apenas se existem poucos tipos de registros na organização – e.g., se é uma organização muito pequena, ou se todos os registros da organização são muito similares; a abordagem (b) deveria ser usada em todos os outros casos.

Por que os registros são importantes?

Como pode ter imaginado, registros são extremamente importantes para a auditoria de certificação – o auditor de certificação irá procurar por evidência de que você tenha realizado certas atividades, e baseado nisso ele tomará uma decisão sobre se você está em conformidade com sua documentação. Veja também: Becoming ISO 27001 certified – How to prepare for certification audit.

Mas, mais importante – sem registros você não saberia o que fez ou não fez, o que está indo bem e o que não está. Você seria capaz de se lembrar sobre o que concordou durante cada reunião nos últimos anos? Seria capaz de saber se realizou todos os itens de sua lista, e quais você deixou para fazer depois? Seria capaz de saber quais dos seus sistemas funcionaram bem e quais não?

Claro que não seria – então, use estes registros para gerir sua segurança da informação, e para gerir sua organização. Sem registros você está apenas supondo – seria como dirigir um carro no meio da noite com os faróis apagados.

Baixe este artigo gratuito que explica todos os registros obrigatórios da ISO 27001: Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013).

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Uma resposta para “Gestão de registros na ISO 27001 e ISO 22301”

  1. Usman disse:

    wounder-full description of ISO 27001 and its relation to Risk Management

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.