Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Sete passos para a implementação de políticas e procedimentos

    Alguma vez você já se viu responsável por documentar uma política de segurança ou um procedimento? Você não quer que esse documento acabe como tantos outros, acumulando poeira em alguma gaveta esquecida? Aqui estão algumas ideias que podem ajudá-lo…

    Os passos apresentados a seguir têm base na minha experiência com vários tipos de clientes, grandes e pequenos, públicos ou privados, com ou sem fins lucrativos e acredito que podem ser aplicados a todos esses tipos. Na verdade, estas etapas para a implementação de políticas e procedimentos são aplicáveis a quaisquer políticas e procedimentos, não apenas àqueles relacionados a ISO 27001 ou ISO 22301.

    1 Estude os requisitos

    Primeiro você deve estudar com muito cuidado diversos requisitos; há uma legislação que requer uma documentação por escrito, um contrato com seu cliente ou alguma outra política de alto nível já existente em sua organização, como um padrão empresarial? Obviamente, há também os requisitos da ISO 27001 e da BS 25999-2 se você quiser cumprir essas normas.

    2 Leve em consideração os resultados da sua avaliação de riscos

    A sua avaliação de riscos determinará quais questões devem ser documentadas e o nível de detalhamento de cada questão; por exemplo, você pode precisar decidir se vai classificar as informações de acordo com a sua confidencialidade e, em caso positivo, se você precisa de dois, três ou quatro níveis de confidencialidade.

    Este passo pode não ser relevante neste formulário se a sua política ou o seu procedimento não estiver relacionado à segurança da informação ou à continuidade dos negócios. No entanto, os princípios de gestão de riscos são aplicáveis a outras áreas, como gestão da qualidade (ISO 9001), gestão ambiental (ISO 14001) etc. Por exemplo, na ISO 9001 você deve determinar a importância de um processo para a gestão da qualidade e decidir se tal processo será documentado ou não.

    3 Aperfeiçoe e alinhe seus documentos

    Algo importante a considerar é a quantidade total de documentos: você vai escrever dez documentos de uma página ou um documento de 10 páginas? É muito mais fácil gerenciar um documento, principalmente se o grupo-alvo de leitores é o mesmo. Porém, não crie um único documento de 100 páginas.

    Além disso, é preciso ter cuidado para alinhar este documento com outros documentos; as questões que você está definindo podem já ter sido parcialmente definidas em outro documento. Nesse caso, talvez não seja necessário escrever um novo documento e atualizar o documento existente seja suficiente.

    Se você estiver escrevendo um novo documento sobre uma questão que já foi mencionada em outro documento, evite ser redundante. Seria um pesadelo para manter esses documentos. É muito melhor que um documento faça referência a outro, sem repetir o conteúdo.

    4 Estruture o documento

    Você também precisa seguir as regras da sua empresa para a formatação do documento; talvez já exista um modelo com fontes, cabeçalhos, rodapés e outros elementos predefinidos.

    Se você já implementou a ISO 27001, a BS 25999-2 ou qualquer outra norma de gestão, você precisará seguir um procedimento para controle de documentos. Este procedimento define não apenas o formato do documento, mas também as regras para a sua aprovação, distribuição, etc.

    5 Escreva o documento

    A regra prática é: quanto menor a organização e menores os riscos, menos complexo será o documento. Não há nada mais inútil do que escrever um longo documento que ninguém vai ler. Você deve entender que a leitura do documento leva tempo e o nível de atenção é inversamente proporcional à quantidade de linhas do seu documento.

    Uma boa técnica para vencer a resistência dos funcionários (as pessoas não gostam de mudanças, principalmente se isso significa, por exemplo, a obrigação de alterar as senhas regularmente) é envolvê-los na composição deste documento ou na elaboração de comentários sobre ele. Desta forma, eles irão compreender a sua importância.

    6 Obtenha aprovação para o documento

    Este passo dispensa explicações, mas a sua importância fundamental é: se você não é um gerente de alto escalão na empresa, não terá o poder de fazer este documento valer.

    Por isso, alguém nessa posição deve entender, aprovar e exigir a implementação do documento. Parece fácil, mas acredite, não é. Este e o próximo passo representam a maioria das falhas de implementação.

    7 Treine e conscientize seus funcionários

    Este passo provavelmente é o mais importante, mas infelizmente muitas vezes é esquecido. Como mencionado anteriormente, os funcionários estão cansados das constantes mudanças e certamente não irão acolher mais uma, principalmente se isso representa mais trabalho para eles.

    Portanto, é muito importante explicar aos funcionários o motivo pelo qual a política ou o procedimento é necessário e porque é bom não só para a empresa, mas também para os próprios funcionários.

    Às vezes, será preciso treinar os funcionários. Seria errado deduzir que todas as pessoas possuem as habilidades necessárias para implementar novas atividades. Para você, o responsável pelo documento, pode parecer fácil e óbvio, mas para os outros funcionários, pode parecer algo de outro mundo.

    Fim da história?

    Se você pensou que você chegou ao final da implementação do documento, você errou. A jornada está apenas começando. Não basta ter uma política perfeita ou um procedimento apreciado por todos. Também é preciso mantê-lo.

    Alguém precisa assegurar que o documento seja atualizado e melhorado. Do contrário, as pessoas deixarão de segui-lo. Você mesmo pode fazer isso. Além disso, alguém precisa verificar que se o documento atende às expectativas e você pode ser essa pessoa.

    Como você deve ter notado lendo este artigo, não basta ter um bom modelo para uma política ou um procedimento de sucesso;-é necessário adotar uma abordagem sistemática para a sua implementação. E, ao fazê-lo, não se esqueça do mais importante: o documento não é um fim em si; é apenas uma ferramenta para permitir que suas atividades e seus processos sejam executados sem problemas. Não deixe que documento torne as atividades e os processos mais difíceis.

    Para criar e tratar documentos com mais facilidade, confira o Conformio document management system.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.