left-svg
Bônus em suporte especializado no valor de $500
com o Kit de Documentação ISO 27001
Oferta por tempo limitado – termina em 30 de junho de 2022.
right-svg
  • (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013)

    Com a nova revisão da ISO/IEC 27001 publicada apenas alguns dias atrás, muitas pessoas estão imaginando quais documentos são obrigatórios nesta nova revisão 2013. Existem mais ou menos documento requeridos?

    Bem, aqui está a lista – abaixo você verá não apenas os documentos obrigatórios, mas também os documentos mais comumente utilizados para a implementação da ISO 27001.

    Documentos e registros obrigatórios requeridos pela ISO 27001:2013

    Aqui estão os documentos que você precisará produzir se quiser estar em conformidade com a ISO 27001: (Por favor note que documentos do Anexo A são obrigatórios apenas se existirem riscos que requeiram a implementação deles.)

    • Escopo do SGSI (cláusula 4.3)
    • Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
    • Metodologias de análise e avaliação de risco e de tratamento de risco (cláusula 6.1.2)
    • Declaração de aplicabilidade (cláusula 6.1.3 d)
    • Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
    • Relatório de levantamento de riscos (cláusula 8.2)
    • Definição de papéis e responsabilidades pela segurança (cláusulas A.7.1.2 e A.13.2.4)
    • Inventário de ativos (cláusula A.8.1.1)
    • Uso aceitável de ativos (cláusula A.8.1.3)
    • Política de controle de acesso (cláusula A.9.1.1)
    • Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
    • Princípios da engenharia de segurança de sistemas (cláusula A.14.2.5)
    • Política de segurança para fornecedores (cláusula A.15.1.1)
    • Procedimento para a gestão de incidentes (cláusula A.16.1.5)
    • Procedimentos de continuidade de negócio (cláusula A.17.1.2)
    • Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

    E aqui estão os registros obrigatórios:

    • Registros de treinamento, habilidades, experiências e qualificações (cláusula 7.2)
    • Resultados de monitoramento e medição (cláusula 9.1)
    • Programa de auditoria interna (cláusula 9.2)
    • Resultados de auditorias internas (cláusula 9.2)
    • Resultados de análises críticas pela direção (cláusula 9.3)
    • Resultados de ações corretivas (cláusula 10.1)
    • Registros de atividades de usuários, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3)

    Documentos não obrigatórios

    Existem vários documento não obrigatórios que podem ser utilizados para a implementação da ISO 27001, especialmente para os controles de segurança do Anexo A. Contudo, eu entendo os documentos não obrigatórios a seguir como os mais comumente utilizados:

    • Procedimento para controle de documentos (cláusula 7.5)
    • Controles para a gestão de registros (cláusula 7.5)
    • Procedimento para auditoria interna (cláusula 9.2)
    • Procedimento para ação corretiva (cláusula 10.1)
    • Política para uso de dispositivo pessoal (BYOD) (cláusula A.6.2.1)
    • Política para dispositivos móveis e trabalho remoto (cláusula A.6.2.1)
    • Política de classificação da informação (cláusulas A.8.2.1, A.8.2.2 e A.8.2.3)
    • Política de senhas (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 e A.9.4.3)
    • Política de descarte e destruição (cláusulas A.8.3.2 e A.11.2.7)
    • Procedimentos para trabalho em áreas seguras (cláusula A.11.1.5)
    • Política de mesa limpa e tela limpa (cláusula A.11.2.9)
    • Política de gestão de mudança (cláusulas A.12.1.2 e A.14.2.4)
    • Política de cópias de segurança (Backup) (cláusula A.12.3.1)
    • Política de transferência de informações (cláusulas A.13.2.1, A.13.2.2 e A.13.2.3)
    • Análise de impacto no negócio (cláusula A.17.1.1)
    • Exercitando e testando planos de continuidade de negócio (cláusula A.17.1.3)
    • Manutenção e revisão de planos de continuidade de negócio (cláusula A.17.1.3)
    • Estratégia de continuidade de negócio (cláusula A.17.2.1)

    Isso seria tudo – qual a sua opinião? É muito material para escrever? Estes documentos cobrem todos os aspectos da segurança da informação?

    Clique aqui para fazer o download do documento Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013) com informações mais detalhadas sobre as formas mais comuns de se estruturar e implementar documentos e registros obrigatórios.

    Obs.: a tradução dos nomes de documentos e registros podem diferir do que será publicado na versão brasileira a ser disponibilizada pela ABNT.

    Clique aqui para baixar o paper Lista de verificação da documentação obrigatória requerida pela ISO 27001:2013. Ele contém informações mais detalhadas sobre as formas mais comuns de estruturar e implementar documentos e registros obrigatórios.

    Nós agradecemos a Rhand Leal pela tradução para o portugês.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: