O que você deveria escrever em sua Política de Segurança da informação de acordo com a ISO 27001?

O conteúdo da Política de Segurança da Informação é certamente um dos maiores mitos relacionados a ISO 27001 – muito frequentemente o propósito deste documento é mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua segurança neste documento.

Bem, isto não é o que a ISO 27001 requer. Assim, vejamos sobre o que tudo isso se trata. (Veja também: Os 5 maiores mitos sobre a ISO 27001)

O propósito da Política de Segurança da Informação

Em muitos casos, os executivos não têm ideia de como a segurança da informação pode ajudar suas organizações, assim o principal propósito da política é que a alta administração defina o que ela quer obter com a segurança da informação.

O Segundo propósito é criar um documento que os executivos vão achar fácil de entender, e com o qual eles serão capazes de controlar tudo o que está acontecendo dentro do SGSI – eles não precisam saber dos detalhes da, digamos, avaliação de riscos, mas eles precisam saber quem é o responsável pelo SGSI, e o que esperar dele.

O que a Política de Segurança da Informação deveria conter?

A ISO 27001 não diz muita coisa sobre a política, mas ela diz o seguinte:

  • A política precisa estar adaptada a organização – isto significa que você não pode simplesmente copiar a política de uma grande empresa de manufatura e usá-la em sua pequena companhia de TI.
  • Ela precisa definir a estrutura para estabelecer os objetivos de segurança da informação – basicamente, a política precisa definir como os objetivos são propostos, como eles são aprovados, e como são revisados. Veja também: ISO 27001 control objectives – Why are they important?
  • A política deve mostrar o comprometimento da alta administração em atender aos requisitos de todas as partes interessadas, e para continuamente melhorar o SGSI – isto é normalmente feito através de um tipo de declaração dentro da política.
  • A política deve ser comunicada dentro da organização, mas também – onde apropriado – para partes interessadas; a melhor prática é definir quem é responsável por tal comunicação, e então esta pessoa é responsável por fazer isso continuamente.
  • A política deve ser regularmente revisada – um proprietário de uma política deveria ser definido, e esta pessoa é responsável por manter a política atualizada.

Assim, como você pode ver, a política não tem que ser um documento muito extenso. E não, você não precisa incluir todas as regras de segurança neste documento – para este propósito você escreverá políticas detalhadas tais como Política de controle de acesso, Política de classificação da informação, Política de uso aceitável, etc. Veja também: Como estruturar os documentos para os controles do Anexo A da ISO 27001.

O que você também pode incluir

Embora não seja mandatório, se você é uma organização pequena você também pode incluir o seguinte (para organizações maiores, estes assuntos são geralmente documentos separadamente):

  • O escopo do SGSI – desta forma o escopo não tem que existir como um documento separado.
  • Responsabilidades para partes chave do SGSI – e.g., quem é responsável pelas operações e coordenação do dia a dia, quem é responsável no nível executivo, quem é responsável pela avaliação de riscos, por incidentes, por auditorias internas, etc.
  • Medição – quem medirá se os objetivos de segurança da informação foram atingidos, para quem os resultados precisam ser reportados, com que frequência, etc. (Veja também: Como realizar monitoramento e medição na ISO 27001)

Em algumas grandes organizações tenho visto a Política de Segurança da Informação integrada com a Política de Gestão de Riscos Corporativos. Embora isto não esteja errado, eu entendo que é melhor manter estas políticas como documentos separados – o foco permanece muito mais claro.

Entradas que são necessárias

Existem algumas entradas que você tem que levar em conta ao escrever a política:

  • As intenções da alta administração com a segurança da informação – a melhor coisa seria agendar uma entrevista como o seu CEO e passar por todos os elementos da política; você pode enviar a ele um e-mail alguns dias antes da reunião, para que ele tenha tempo de pensar sobre isso.
  • Requisitos de legislação e contratuais – sua política deveria refletir estas.
  • Sistemas existentes para definir objetivos – se tais sistemas existem, você deveria fazer referência a eles.

Comece a olhar para esta política de uma forma diferente

Assim o ponto é – a Política de Segurança da Informação deveria na verdade server como um elo principal entre sua alta administração e suas atividades de segurança da informação, especialmente porque a ISO 27001 requer que a gestão assegure que o SGSI e seus objetivos são compatíveis com o direcionamento estratégico da organização (cláusula 5.2 da ISO 27001). A política é provavelmente a melhor forma de fazer isso.

Assim, você deveria manter esta política curta e compreensível para a sua alta direção. E por favor não escreva documentos extensos de 80 páginas tentando explicar todas as regras de segurança da informação – esta é a melhor forma de criar um documento que ninguém nunca vai ler.

Este artigo é um trecho do novo livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui para ver quais outros tópicos são abordados…

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Tag: #ISO 27001