ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

A importância da Declaração de aplicabilidade da ISO 27001

A importância da Declaração de Aplicabilidade na ISO 27001 (às vezes referida como SoA) é geralmente subestimada – como o Manual da Qualidade na ISO 9001, é o documento central que define como você implementará uma grande parte da sua segurança da informação.

Na verdade, a Declaração de aplicabilidade é a principal ligação entre a avaliação de riscos e o tratamento e a implementação da segurança da sua informação. Sua finalidade é definir qual dos 133 controles (medidas de segurança) sugeridos do anexo A da ISO 27001 será aplicado e a forma como serão implementados.

Por que é necessário?

blogpost-banner-consultants-pt

Por que esse documento é necessário se você já elaborou o Relatório de avaliação de riscos, que também é obrigatório e define os controles necessários? Aqui estão os motivos:

  • Antes de tudo, durante o tratamento dos riscos, você identifica os controles necessários porque identificou os riscos que precisam ser reduzidos. No entanto, na SoA você também identifica os controles que são necessários por outros motivos, ou seja, por causa da lei, dos requisitos contratuais, de outros processos, etc.
  • Em segundo lugar, o Relatório de avaliação de riscos pode ser bastante demorado. Algumas organizações podem identificar milhares de riscos (às vezes, até mais), de modo que esse documento não é realmente útil para o cotidiano operacional. Por outro lado, a Declaração de aplicabilidade é pequena. Ela tem 133 linhas, cada uma representando um controle, o que torna possível apresentá-la à gestão e mantê-la atualizada.
  • Em terceiro, e mais importante, a SoA deve documentar se cada controle aplicável já está implementado ou não. As boas práticas, algo observado pela maioria dos auditores, servem também para descrever a forma como cada controle aplicável é implementado, por exemplo, fazendo referência a um documento (política/processo/instrução de trabalho, etc.) ou descrevendo brevemente o procedimento ou equipamento utilizado.

Na verdade, se você busca a certificação ISO 27001, o auditor de certificação terá a sua Declaração de aplicabilidade em mãos e caminhará pela empresa verificando se você implementou os controles da forma descrita na sua SoA. Ela é o documento central para fazer a auditoria no local.

Poucas empresas percebem que escrevendo uma boa Declaração de aplicabilidade você poderia diminuir a quantidade de documentos. Por exemplo, se você deseja documentar um controle, mas a descrição do procedimento do controle é curta, você pode descrevê-lo na SoA. Portanto, você evitaria escrever outro documento.

Por que é útil?

Pela minha experiência, a maioria das empresas que implementam o sistema de gestão de segurança de acordo com a ISO 27001 gasta muito mais tempo elaborando este documento do que o previsto. O motivo é ter de pensar sobre como os controles serão implementados: Um novo equipamento vai ser comprado? Um procedimento vai ser alterado? Um funcionário será contratado? Essas decisões são muito importantes e, às vezes, caras. Por isso, espera-se que leve bastante tempo para que essas decisões sejam tomadas. O bom da SoA é que ela obriga as organizações a fazer este trabalho de forma sistemática.

Portanto, você não deve considerar este documento como um “documento que gera sobrecarga” que não tem utilidade na vida real. Pense na SoA como a declaração principal em você define o que quer fazer com a segurança da sua informação. Escrita da forma adequada, a SoA é uma visão geral perfeita do que precisa ser feito com a segurança da informação, porque precisa ser feito e como precisa ser feito.

Clique aqui para ver uma amostra da  Declaração de aplicabilidade.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
ISO 27001/ISO 22301: The certification process
Wednesday – October 23, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.