A importância da Declaração de aplicabilidade da ISO 27001

A importância da Declaração de Aplicabilidade na ISO 27001 (às vezes referida como SoA) é geralmente subestimada – como o Manual da Qualidade na ISO 9001, é o documento central que define como você implementará uma grande parte da sua segurança da informação.

Na verdade, a Declaração de aplicabilidade é a principal ligação entre a avaliação de riscos e o tratamento e a implementação da segurança da sua informação. Sua finalidade é definir qual dos 133 controles (medidas de segurança) sugeridos do anexo A da ISO 27001 será aplicado e a forma como serão implementados.

Por que é necessário?

Por que esse documento é necessário se você já elaborou o Relatório de avaliação de riscos, que também é obrigatório e define os controles necessários? Aqui estão os motivos:

  • Antes de tudo, durante o tratamento dos riscos, você identifica os controles necessários porque identificou os riscos que precisam ser reduzidos. No entanto, na SoA você também identifica os controles que são necessários por outros motivos, ou seja, por causa da lei, dos requisitos contratuais, de outros processos, etc.
  • Em segundo lugar, o Relatório de avaliação de riscos pode ser bastante demorado. Algumas organizações podem identificar milhares de riscos (às vezes, até mais), de modo que esse documento não é realmente útil para o cotidiano operacional. Por outro lado, a Declaração de aplicabilidade é pequena. Ela tem 133 linhas, cada uma representando um controle, o que torna possível apresentá-la à gestão e mantê-la atualizada.
  • Em terceiro, e mais importante, a SoA deve documentar se cada controle aplicável já está implementado ou não. As boas práticas, algo observado pela maioria dos auditores, servem também para descrever a forma como cada controle aplicável é implementado, por exemplo, fazendo referência a um documento (política/processo/instrução de trabalho, etc.) ou descrevendo brevemente o procedimento ou equipamento utilizado.

Na verdade, se você busca a certificação ISO 27001, o auditor de certificação terá a sua Declaração de aplicabilidade em mãos e caminhará pela empresa verificando se você implementou os controles da forma descrita na sua SoA. Ela é o documento central para fazer a auditoria no local.

Poucas empresas percebem que escrevendo uma boa Declaração de aplicabilidade você poderia diminuir a quantidade de documentos. Por exemplo, se você deseja documentar um controle, mas a descrição do procedimento do controle é curta, você pode descrevê-lo na SoA. Portanto, você evitaria escrever outro documento.

Por que é útil?

Pela minha experiência, a maioria das empresas que implementam o sistema de gestão de segurança de acordo com a ISO 27001 gasta muito mais tempo elaborando este documento do que o previsto. O motivo é ter de pensar sobre como os controles serão implementados: Um novo equipamento vai ser comprado? Um procedimento vai ser alterado? Um funcionário será contratado? Essas decisões são muito importantes e, às vezes, caras. Por isso, espera-se que leve bastante tempo para que essas decisões sejam tomadas. O bom da SoA é que ela obriga as organizações a fazer este trabalho de forma sistemática.

Portanto, você não deve considerar este documento como um “documento que gera sobrecarga” que não tem utilidade na vida real. Pense na SoA como a declaração principal em você define o que quer fazer com a segurança da sua informação. Escrita da forma adequada, a SoA é uma visão geral perfeita do que precisa ser feito com a segurança da informação, porque precisa ser feito e como precisa ser feito.

Clique aqui para ver uma amostra da  Declaração de aplicabilidade.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.