• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    O que você deveria escrever em sua Política de Segurança da informação de acordo com a ISO 27001?

    O conteúdo da Política de Segurança da Informação é certamente um dos maiores mitos relacionados a ISO 27001 – muito frequentemente o propósito deste documento é mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua segurança neste documento.

    Bem, isto não é o que a ISO 27001 requer. Assim, vejamos sobre o que tudo isso se trata. (Veja também: Os 5 maiores mitos sobre a ISO 27001)

    O propósito da Política de Segurança da Informação

    Em muitos casos, os executivos não têm ideia de como a segurança da informação pode ajudar suas organizações, assim o principal propósito da política é que a alta administração defina o que ela quer obter com a segurança da informação.

    O Segundo propósito é criar um documento que os executivos vão achar fácil de entender, e com o qual eles serão capazes de controlar tudo o que está acontecendo dentro do SGSI – eles não precisam saber dos detalhes da, digamos, avaliação de riscos, mas eles precisam saber quem é o responsável pelo SGSI, e o que esperar dele.

    O que a Política de Segurança da Informação deveria conter?

    A ISO 27001 não diz muita coisa sobre a política, mas ela diz o seguinte:

    • A política precisa estar adaptada a organização – isto significa que você não pode simplesmente copiar a política de uma grande empresa de manufatura e usá-la em sua pequena companhia de TI.
    • Ela precisa definir a estrutura para estabelecer os objetivos de segurança da informação – basicamente, a política precisa definir como os objetivos são propostos, como eles são aprovados, e como são revisados. Veja também: ISO 27001 control objectives – Why are they important?
    • A política deve mostrar o comprometimento da alta administração em atender aos requisitos de todas as partes interessadas, e para continuamente melhorar o SGSI – isto é normalmente feito através de um tipo de declaração dentro da política.
    • A política deve ser comunicada dentro da organização, mas também – onde apropriado – para partes interessadas; a melhor prática é definir quem é responsável por tal comunicação, e então esta pessoa é responsável por fazer isso continuamente.
    • A política deve ser regularmente revisada – um proprietário de uma política deveria ser definido, e esta pessoa é responsável por manter a política atualizada.

    Assim, como você pode ver, a política não tem que ser um documento muito extenso. E não, você não precisa incluir todas as regras de segurança neste documento – para este propósito você escreverá políticas detalhadas tais como Política de controle de acesso, Política de classificação da informação, Política de uso aceitável, etc. Veja também: Como estruturar os documentos para os controles do Anexo A da ISO 27001.

    O que você também pode incluir

    Embora não seja mandatório, se você é uma organização pequena você também pode incluir o seguinte (para organizações maiores, estes assuntos são geralmente documentos separadamente):

    • O escopo do SGSI – desta forma o escopo não tem que existir como um documento separado.
    • Responsabilidades para partes chave do SGSI – e.g., quem é responsável pelas operações e coordenação do dia a dia, quem é responsável no nível executivo, quem é responsável pela avaliação de riscos, por incidentes, por auditorias internas, etc.
    • Medição – quem medirá se os objetivos de segurança da informação foram atingidos, para quem os resultados precisam ser reportados, com que frequência, etc. (Veja também: Como realizar monitoramento e medição na ISO 27001)

    Em algumas grandes organizações tenho visto a Política de Segurança da Informação integrada com a Política de Gestão de Riscos Corporativos. Embora isto não esteja errado, eu entendo que é melhor manter estas políticas como documentos separados – o foco permanece muito mais claro.

    Entradas que são necessárias

    Existem algumas entradas que você tem que levar em conta ao escrever a política:

    • As intenções da alta administração com a segurança da informação – a melhor coisa seria agendar uma entrevista como o seu CEO e passar por todos os elementos da política; você pode enviar a ele um e-mail alguns dias antes da reunião, para que ele tenha tempo de pensar sobre isso.
    • Requisitos de legislação e contratuais – sua política deveria refletir estas.
    • Sistemas existentes para definir objetivos – se tais sistemas existem, você deveria fazer referência a eles.

    Comece a olhar para esta política de uma forma diferente

    Assim o ponto é – a Política de Segurança da Informação deveria na verdade server como um elo principal entre sua alta administração e suas atividades de segurança da informação, especialmente porque a ISO 27001 requer que a gestão assegure que o SGSI e seus objetivos são compatíveis com o direcionamento estratégico da organização (cláusula 5.2 da ISO 27001). A política é provavelmente a melhor forma de fazer isso.

    Assim, você deveria manter esta política curta e compreensível para a sua alta direção. E por favor não escreva documentos extensos de 80 páginas tentando explicar todas as regras de segurança da informação – esta é a melhor forma de criar um documento que ninguém nunca vai ler.

    Este artigo é um trecho do novo livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui para ver quais outros tópicos são abordados…

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001