A cláusula 4.1 é um requisito completamente novo na versão 2013 da ISO 27001, e tem causado alguma confusão porque é bem vaga. (A propósito, há confusão muito similar com a ISO 22301, então este artigo também é aplicável a cláusula 4.1 da ISO 22301.)
Então, vejamos sobre o que trata e não trata esta cláusula.
Os requisitos da cláusula 4.1 da ISO 27001 e sugestões da ISO 31000
A ISO 27001 diz muito brevemente que você precisa identificar todos os assuntos internos e externos que poderiam influenciar em seu sistema de gestão de segurança da informação (SGSI). Ela também faz referência a cláusula 5.3 da ISO 31000 para explanação detalhada.
A ISO 31000 é uma norma que provê orientações para a gestão de riscos, e é isto que ela sugere que poderia ser incluído ao se identificar assuntos internos e externos (a propósito, os mesmos itens são apresentados na ISO 27004:2014):
- De forma resumida, para o contexto interno você poderia considerar a estrutura organizacional, papéis e responsabilidades, estratégias e objetivos de negócio, capacidades e recursos, cultura organizacional, sistemas de informação e processos, relações contratuais, etc.
- Para o contexto externo, o mais importante são as partes interessadas e seus requisitos; mas você também pode considerar aspectos políticos, econômicos, culturais, tecnológicos e o ambiente competitivo, assim como tendências que poderiam ter um impacto em sua organização.
Favor perceber que a ISO 31000 dá apenas orientações; desta forma, elas não são obrigatórias.
Como identificar assuntos internos e externos
Para assuntos internos, isto é o que você deve fazer:
- Assegure-se de que seus objetivos de segurança da informação estão alinhados com as estratégias de negócio (cláusula 5.1 a da ISO 27001).
- Realize a avaliação de riscos, incluindo a identificação de sistemas de informação e de relações contratuais (cláusulas 6.1.2 e 8.2).
- Determine os recursos (cláusula 7.1).
- Determine papéis e responsabilidade de segurança da informação (cláusula 5.3).
- Determine capacidades (cláusula 7.2).
Assim, o ponto é, você não precisa criar etapas extras para identificar assuntos internos além daquela que você tem que fazer por conta das cláusulas da ISO 27001 mencionadas – isto basicamente significa que pela implementação destas cláusulas você identificará todos os assuntos internos ao longo do caminho.
Contudo, caso você queira criar uma etapa extra, você poderia realizar a análise de acordo com o chamado Framework 7S – ele inclui a avaliação de: Estratégia, Estrutura, Sistemas, Valores Compartilhados, Habilidades, Estilo e Equipe (Strategy, Structure, Systems, Shared Values, Skills, Style e Staff). Você encontrará mais informações aqui: The McKinsey 7S Framework.
Para assuntos externos, a primeira coisa é estar em conformidade com a cláusula 4.2 da ISO 27001 (Entendendo as necessidades e expectativas das partes interessadas) – este artigo explica como: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301.
Você poderia também realizar a chamada análise PEST, a qual identifica assuntos Políticos, Econômicos, Sociais e Tecnológicos no ambiente de sua organização. Você encontrará mais informação aqui…
Como documentar estes assuntos
Para assuntos internos, você deve documentar seus objetivos de segurança da informação e os resultados da avaliação de riscos, e manter registros de competência de seus empregados. (Veja aqui Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013).)
Por conta do controle A.18.1.1, é obrigatório ter uma lista de requisitos legislativos, estatutários, regulatório e contratuais relevantes; esta lista pode ajudar você com regulamentações e leis relacionadas a segurança da informação.
Não é obrigatório documentar sua análise PEST ou sua análise pelo framework 7S, mas grandes organizações normalmente criariam tais documentos ao revisar suas estratégias de negócio; pequenas organizações geralmente não possuem estes documentos, mas estou certo de que muito donos de negócio / CEOs consideram todos estes assuntos quando tem que pensar em como competir no mercado. Assim, se você trabalha para uma grande organização, simplesmente solicite ao seu gestor corporativo que lhe forneça estes documentos; em organizações menores, assegure-se de falar com seu CEO.
Embora a cláusula 4.1 cause muita confusão, na verdade gosto dela – ela obriga os profissionais de segurança da informação a olhar além das questões de segurança da informação, então na verdade esta cláusula ajuda a aproximar o negócio e a a segurança da informação.
Clique aqui para ver uma amostra do Procedimento para identificação de requisitos.
Nós agradecemos a Rhand Leal pela tradução para o português.