{"id":4448,"date":"2014-11-25T18:34:31","date_gmt":"2014-11-25T18:34:31","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/11\/25\/gestao-de-registros-na-iso-27001-e-iso-22301\/"},"modified":"2022-12-29T09:09:24","modified_gmt":"2022-12-29T09:09:24","slug":"gestao-de-registros-na-iso-27001-e-iso-22301","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/11\/25\/gestao-de-registros-na-iso-27001-e-iso-22301\/","title":{"rendered":"Gest\u00e3o de registros na ISO 27001 e ISO 22301"},"content":{"rendered":"<p>No in\u00edcio da implementa\u00e7\u00e3o da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> ou <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-22301\/\" target=\"_blank\" rel=\"noopener\">ISO 22301<\/a>, registros podem parecer como um daqueles requisitos burocr\u00e1ticos destas normas sem um prop\u00f3sito real, e que apenas tomar\u00e1 seu tempo. Contudo, as chances s\u00e3o de que voc\u00ea j\u00e1 tenha muitos registros que podem ser usados, e aqueles que voc\u00ea ter\u00e1 que introduzir poderiam ser bem \u00fateis.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">O que s\u00e3o registros<\/h2>\n<p>A ISO\/IEC 27000:2014 define registro como \u201cevid\u00eancia de resultados atingidos\u201d \u2013 isto basicamente significa que registros s\u00e3o produzidos (automatica ou manualmente) quando uma certa atividade \u00e9 realizada, e aqueles registros mostram o que foi feito. Por exemplo, se o seu backup \u00e9 realizado automaticamente, seu sistema de backup ir\u00e1 produzir logs (que tamb\u00e9m s\u00e3o um tipo de registro); se voc\u00ea tem um livro de visitantes, assinar nomes neste livro \u00e9 um registro.<\/p>\n<p>Todas as normas de gest\u00e3o ISO como a <a href=\"https:\/\/advisera.com\/9001academy\/what-is-iso-9001\/\" target=\"_blank\" rel=\"noopener\">ISO 9001<\/a>, <a href=\"https:\/\/advisera.com\/14001academy\/what-is-iso-14001\/\" target=\"_blank\" rel=\"noopener\">ISO 14001<\/a>, <a href=\"https:\/\/advisera.com\/20000academy\/what-is-iso-20000\/\" target=\"_blank\" rel=\"noopener\">ISO 20000<\/a>, etc. tem os mesmos requisitos para a gest\u00e3o de registros \u2013 desta forma, este artigo \u00e9 aplic\u00e1vel a todas estas\u00a0 normas.<\/p>\n<p>Para tornar as coisas um pouco mais complicadas, as novas normas ISO 27001:2013 e ISO 22301:2012 falam sobre registros apenas no contexto de <em>informa\u00e7\u00e3o documentada<\/em> \u2013 informa\u00e7\u00e3o documentada nada mais \u00e9 do que registros e documentos (i.e., pol\u00edticas, procedimentos, planos e outros documentos similares) integrados em um \u00fanico termo. Isto foi feito porque a gest\u00e3o de documentos e registros \u00e9 basicamente a mesma, e em alguns casos os documentos tamb\u00e9m s\u00e3o registros ao mesmo tempo.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Exemplos de registros<\/h2>\n<p>Abaixo est\u00e3o alguns registros divididos pela forma como s\u00e3o criados:<\/p>\n<p><strong>Registros criados automaticamente<\/strong>:<\/p>\n<ul>\n<li>logs criados dentro de sistemas de informa\u00e7\u00e3o<\/li>\n<li>reportes criados a partir de sistemas de informa\u00e7\u00e3o<\/li>\n<\/ul>\n<p><strong>Registros criados manualmente<\/strong>:<\/p>\n<ul>\n<li>reportes onde entrada adicional foi necess\u00e1ria<\/li>\n<li>registros de treinamentos<\/li>\n<li>registros de pr\u00e1tica (drills), testes e exerc\u00edcios<\/li>\n<li>minutas de reuni\u00f5es<\/li>\n<li>a\u00e7\u00f5es corretivas<\/li>\n<li>invent\u00e1rios de ativos<\/li>\n<li>listas de verifica\u00e7\u00e3o<\/li>\n<li>listas de coisas a fazer (to-do lists)<\/li>\n<li>hist\u00f3rico de mudan\u00e7as dentro de documentos<\/li>\n<li>resultados de revis\u00f5es p\u00f3s-incidente<\/li>\n<li>livro de registro de visitantes<\/li>\n<\/ul>\n<p>Claro, registros podem ser em forma de papel, digital ou outra forma \u2013 alguns registros ainda s\u00e3o predominantemente em forma de papel (e.g., um NDA assinado), mas a tend\u00eancia geral \u00e9, claro, de se possuir registros digitais.<\/p>\n<p>Aqui voc\u00ea encontrar\u00e1 uma lista dos registros obrigat\u00f3rios de acordo com estas duas normas: Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013) e Mandatory documents required by ISO 22301 \u2013 isto \u00e9 o m\u00ednimo que voc\u00ea precisa manter se quiser estar em conformidade com estas duas normas, e outros registros s\u00e3o necess\u00e1rios se voc\u00ea quer provar que realizou certas atividades.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Requisitos para o controle de registros<\/h2>\n<p>Requisitos para a gest\u00e3o de registros (gest\u00e3o de informa\u00e7\u00e3o documentada) s\u00e3o quase os mesmos na ISO 27001 e ISO 22301 \u2013 aqui est\u00e1 o que estas duas normas requerem para o controle de registros:<\/p>\n<ul>\n<li><strong>Distribui\u00e7\u00e3o, acesso, recupera\u00e7\u00e3o e uso<\/strong> \u2013 basicamente, voc\u00ea precisa definir quem tem direito de acessar os registros (e.g., por cargo) e para qual prop\u00f3sito (e.g., apenas leitura).<\/li>\n<li><strong>Armazenamento e preserva\u00e7\u00e3o<\/strong> \u2013 onde os registros ser\u00e3o arquivados (e.g., qual computador, qual instala\u00e7\u00e3o), como ser\u00e3o protegidos contra acesso n\u00e3o autorizado (e.g., controle de acesso, criptografia, etc.), e como preservar a legibilidade (assegurar que a informa\u00e7\u00e3o \u00e9 leg\u00edvel mesmo se a m\u00eddia se tornar obsoleta \u2013 e.g., o que fazer com as velhas fitas VHS).<\/li>\n<li><strong>Controle de mudan\u00e7as<\/strong> \u2013 se voc\u00ea editar um registro em particular (e.g., um relat\u00f3rio), voc\u00ea precisa designar um novo n\u00famero de vers\u00e3o a cada vez.<\/li>\n<li><strong>Reten\u00e7\u00e3o e disposi\u00e7\u00e3o<\/strong> \u2013 por quanto tempo um registro em particular ser\u00e1 mantido (e.g., 5 anos) e como tal registro ser\u00e1 destru\u00eddo (e.g., sobrescrever\u00a0 registros digitais ou destruir documentos em papel em uma picotadora).<\/li>\n<\/ul>\n<p>Existem basicamente duas formas de documentar estas regras: (a) escrever uma pol\u00edtica centralizada ou procedimento que iria definir regras para controlar todos os registros na organiza\u00e7\u00e3o, ou (b) definir as regras em diferentes pol\u00edticas e procedimentos separadamente para cada tipo de registro. Por exemplo, a abordagem (b) poderia ser um procedimento de Backup que definiria regras para todos os 4 itens mencionados acima especificamente para backup de logs.<\/p>\n<p>Pessoalmente, penso que a abordagem (a) \u00e9 poss\u00edvel apenas se existem poucos tipos de registros na organiza\u00e7\u00e3o \u2013 e.g., se \u00e9 uma organiza\u00e7\u00e3o muito pequena, ou se todos os registros da organiza\u00e7\u00e3o s\u00e3o muito similares; a abordagem (b) deveria ser usada em todos os outros casos.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Por que os registros s\u00e3o importantes?<\/h2>\n<p>Como pode ter imaginado, registros s\u00e3o extremamente importantes para a auditoria de certifica\u00e7\u00e3o \u2013 o auditor de certifica\u00e7\u00e3o ir\u00e1 procurar por evid\u00eancia de que voc\u00ea tenha realizado certas atividades, e baseado nisso ele tomar\u00e1 uma decis\u00e3o sobre se voc\u00ea est\u00e1 em conformidade com sua documenta\u00e7\u00e3o. Veja tamb\u00e9m: <a href=\"https:\/\/advisera.com\/27001academy\/iso-27001-certification\/\" target=\"_blank\" rel=\"noopener\">Becoming ISO 27001 certified \u2013 How to prepare for certification audit<\/a>.<\/p>\n<p>Mas, mais importante \u2013 sem registros voc\u00ea n\u00e3o saberia o que fez ou n\u00e3o fez, o que est\u00e1 indo bem e o que n\u00e3o est\u00e1. Voc\u00ea seria capaz de se lembrar sobre o que concordou durante cada reuni\u00e3o nos \u00faltimos anos? Seria capaz de saber se realizou todos os itens de sua lista, e quais voc\u00ea deixou para fazer depois? Seria capaz de saber quais dos seus sistemas funcionaram bem e quais n\u00e3o?<\/p>\n<p>Claro que n\u00e3o seria \u2013 ent\u00e3o, use estes registros para gerir sua seguran\u00e7a da informa\u00e7\u00e3o, e para gerir sua organiza\u00e7\u00e3o. Sem registros voc\u00ea est\u00e1 apenas supondo \u2013 seria como dirigir um carro no meio da noite com os far\u00f3is apagados.<\/p>\n<p><em>Baixe este artigo gratuito que explica todos os registros obrigat\u00f3rios da ISO 27001: <\/em><a href=\"\/27001academy\/pt-br\/downloads-gratuitos\/\" target=\"_blank\" rel=\"noopener\">Lista de verifica\u00e7\u00e3o de Documentos Obrigat\u00f3rios Requeridos pela ISO 27001 (vers\u00e3o 2013)<\/a>.<\/p>\n<p>N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>No in\u00edcio da implementa\u00e7\u00e3o da ISO 27001 ou ISO 22301, registros podem parecer como um daqueles requisitos burocr\u00e1ticos destas normas sem um prop\u00f3sito real, e que apenas tomar\u00e1 seu tempo. Contudo, as chances s\u00e3o de que voc\u00ea j\u00e1 tenha muitos registros que podem ser usados, e aqueles que voc\u00ea ter\u00e1 que introduzir poderiam ser bem &#8230;<\/p>\n","protected":false},"author":26,"featured_media":4449,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906,1222,1254,1549,1550],"class_list":["post-4448","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br","tag-iso-14001-pt-br","tag-iso-9001-pt-br","tag-iso-14001-pt-br-2","tag-iso-9001-pt-br-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4448"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4448\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4449"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}