• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013)

    Com a nova revisão da ISO/IEC 27001 publicada apenas alguns dias atrás, muitas pessoas estão imaginando quais documentos são obrigatórios nesta nova revisão 2013. Existem mais ou menos documento requeridos?

    Bem, aqui está a lista – abaixo você verá não apenas os documentos obrigatórios, mas também os documentos mais comumente utilizados para a implementação da ISO 27001.

    Documentos e registros obrigatórios requeridos pela ISO 27001:2013

    Aqui estão os documentos que você precisará produzir se quiser estar em conformidade com a ISO 27001: (Por favor note que documentos do Anexo A são obrigatórios apenas se existirem riscos que requeiram a implementação deles.)

    • Escopo do SGSI (cláusula 4.3)
    • Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
    • Metodologias de análise e avaliação de risco e de tratamento de risco (cláusula 6.1.2)
    • Declaração de aplicabilidade (cláusula 6.1.3 d)
    • Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
    • Relatório de levantamento de riscos (cláusula 8.2)
    • Definição de papéis e responsabilidades pela segurança (cláusulas A.7.1.2 e A.13.2.4)
    • Inventário de ativos (cláusula A.8.1.1)
    • Uso aceitável de ativos (cláusula A.8.1.3)
    • Política de controle de acesso (cláusula A.9.1.1)
    • Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
    • Princípios da engenharia de segurança de sistemas (cláusula A.14.2.5)
    • Política de segurança para fornecedores (cláusula A.15.1.1)
    • Procedimento para a gestão de incidentes (cláusula A.16.1.5)
    • Procedimentos de continuidade de negócio (cláusula A.17.1.2)
    • Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

    E aqui estão os registros obrigatórios:

    • Registros de treinamento, habilidades, experiências e qualificações (cláusula 7.2)
    • Resultados de monitoramento e medição (cláusula 9.1)
    • Programa de auditoria interna (cláusula 9.2)
    • Resultados de auditorias internas (cláusula 9.2)
    • Resultados de análises críticas pela direção (cláusula 9.3)
    • Resultados de ações corretivas (cláusula 10.1)
    • Registros de atividades de usuários, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3)

    Documentos não obrigatórios

    Existem vários documento não obrigatórios que podem ser utilizados para a implementação da ISO 27001, especialmente para os controles de segurança do Anexo A. Contudo, eu entendo os documentos não obrigatórios a seguir como os mais comumente utilizados:

    • Procedimento para controle de documentos (cláusula 7.5)
    • Controles para a gestão de registros (cláusula 7.5)
    • Procedimento para auditoria interna (cláusula 9.2)
    • Procedimento para ação corretiva (cláusula 10.1)
    • Política para uso de dispositivo pessoal (BYOD) (cláusula A.6.2.1)
    • Política para dispositivos móveis e trabalho remoto (cláusula A.6.2.1)
    • Política de classificação da informação (cláusulas A.8.2.1, A.8.2.2 e A.8.2.3)
    • Política de senhas (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 e A.9.4.3)
    • Política de descarte e destruição (cláusulas A.8.3.2 e A.11.2.7)
    • Procedimentos para trabalho em áreas seguras (cláusula A.11.1.5)
    • Política de mesa limpa e tela limpa (cláusula A.11.2.9)
    • Política de gestão de mudança (cláusulas A.12.1.2 e A.14.2.4)
    • Política de cópias de segurança (Backup) (cláusula A.12.3.1)
    • Política de transferência de informações (cláusulas A.13.2.1, A.13.2.2 e A.13.2.3)
    • Análise de impacto no negócio (cláusula A.17.1.1)
    • Exercitando e testando planos de continuidade de negócio (cláusula A.17.1.3)
    • Manutenção e revisão de planos de continuidade de negócio (cláusula A.17.1.3)
    • Estratégia de continuidade de negócio (cláusula A.17.2.1)

    Isso seria tudo – qual a sua opinião? É muito material para escrever? Estes documentos cobrem todos os aspectos da segurança da informação?

    Clique aqui para fazer o download do documento Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013) com informações mais detalhadas sobre as formas mais comuns de se estruturar e implementar documentos e registros obrigatórios.

    Obs.: a tradução dos nomes de documentos e registros podem diferir do que será publicado na versão brasileira a ser disponibilizada pela ABNT.

    Clique aqui para baixar o paper Lista de verificação da documentação obrigatória requerida pela ISO 27001:2013. Ele contém informações mais detalhadas sobre as formas mais comuns de estruturar e implementar documentos e registros obrigatórios.

    Nós agradecemos a Rhand Leal pela tradução para o portugês.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.