ENTRE EM CONTATO 1-888-553-2256

ISO 27001/ISO 22301 Base de conhecimento

'. get_the_author_meta('first_name'). ' '.get_the_author_meta('last_name').'

Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013)

Com a nova revisão da ISO/IEC 27001 publicada apenas alguns dias atrás, muitas pessoas estão imaginando quais documentos são obrigatórios nesta nova revisão 2013. Existem mais ou menos documento requeridos?

Bem, aqui está a lista – abaixo você verá não apenas os documentos obrigatórios, mas também os documentos mais comumente utilizados para a implementação da ISO 27001.

Documentos e registros obrigatórios requeridos pela ISO 27001:2013

blogpost-banner-27001-pt

Aqui estão os documentos que você precisará produzir se quiser estar em conformidade com a ISO 27001: (Por favor note que documentos do Anexo A são obrigatórios apenas se existirem riscos que requeiram a implementação deles.)

  • Escopo do SGSI (cláusula 4.3)
  • Política de segurança da informação e objetivos (cláusulas 5.2 e 6.2)
  • Metodologias de análise e avaliação de risco e de tratamento de risco (cláusula 6.1.2)
  • Declaração de aplicabilidade (cláusula 6.1.3 d)
  • Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
  • Relatório de levantamento de riscos (cláusula 8.2)
  • Definição de papéis e responsabilidades pela segurança (cláusulas A.7.1.2 e A.13.2.4)
  • Inventário de ativos (cláusula A.8.1.1)
  • Uso aceitável de ativos (cláusula A.8.1.3)
  • Política de controle de acesso (cláusula A.9.1.1)
  • Procedimentos operacionais para a gestão de TI (cláusula A.12.1.1)
  • Princípios da engenharia de segurança de sistemas (cláusula A.14.2.5)
  • Política de segurança para fornecedores (cláusula A.15.1.1)
  • Procedimento para a gestão de incidentes (cláusula A.16.1.5)
  • Procedimentos de continuidade de negócio (cláusula A.17.1.2)
  • Requisitos estatutários, regulatórios e contratuais (cláusula A.18.1.1)

E aqui estão os registros obrigatórios:

  • Registros de treinamento, habilidades, experiências e qualificações (cláusula 7.2)
  • Resultados de monitoramento e medição (cláusula 9.1)
  • Programa de auditoria interna (cláusula 9.2)
  • Resultados de auditorias internas (cláusula 9.2)
  • Resultados de análises críticas pela direção (cláusula 9.3)
  • Resultados de ações corretivas (cláusula 10.1)
  • Registros de atividades de usuários, exceções e eventos de segurança (cláusulas A.12.4.1 e A.12.4.3)

Documentos não obrigatórios

Existem vários documento não obrigatórios que podem ser utilizados para a implementação da ISO 27001, especialmente para os controles de segurança do Anexo A. Contudo, eu entendo os documentos não obrigatórios a seguir como os mais comumente utilizados:

  • Procedimento para controle de documentos (cláusula 7.5)
  • Controles para a gestão de registros (cláusula 7.5)
  • Procedimento para auditoria interna (cláusula 9.2)
  • Procedimento para ação corretiva (cláusula 10.1)
  • Política para uso de dispositivo pessoal (BYOD) (cláusula A.6.2.1)
  • Política para dispositivos móveis e trabalho remoto (cláusula A.6.2.1)
  • Política de classificação da informação (cláusulas A.8.2.1, A.8.2.2 e A.8.2.3)
  • Política de senhas (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 e A.9.4.3)
  • Política de descarte e destruição (cláusulas A.8.3.2 e A.11.2.7)
  • Procedimentos para trabalho em áreas seguras (cláusula A.11.1.5)
  • Política de mesa limpa e tela limpa (cláusula A.11.2.9)
  • Política de gestão de mudança (cláusulas A.12.1.2 e A.14.2.4)
  • Política de cópias de segurança (Backup) (cláusula A.12.3.1)
  • Política de transferência de informações (cláusulas A.13.2.1, A.13.2.2 e A.13.2.3)
  • Análise de impacto no negócio (cláusula A.17.1.1)
  • Exercitando e testando planos de continuidade de negócio (cláusula A.17.1.3)
  • Manutenção e revisão de planos de continuidade de negócio (cláusula A.17.1.3)
  • Estratégia de continuidade de negócio (cláusula A.17.2.1)

Isso seria tudo – qual a sua opinião? É muito material para escrever? Estes documentos cobrem todos os aspectos da segurança da informação?

Clique aqui para fazer o download do documento Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013) com informações mais detalhadas sobre as formas mais comuns de se estruturar e implementar documentos e registros obrigatórios.

Obs.: a tradução dos nomes de documentos e registros podem diferir do que será publicado na versão brasileira a ser disponibilizada pela ABNT.

Clique aqui para baixar o paper Lista de verificação da documentação obrigatória requerida pela ISO 27001:2013. Ele contém informações mais detalhadas sobre as formas mais comuns de estruturar e implementar documentos e registros obrigatórios.

Nós agradecemos a Rhand Leal pela tradução para o portugês.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

CONSULTORIA GRATUITA DA ISO 27001 E ISO 22301
Rhand Leal
ISO 27001 Expert, Advisera

OBTENHA CONSELHOS GRATUITOS

Upcoming free webinar
How to set the ISMS scope according to ISO 27001
Wednesday – July 3, 2019

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.