{"id":4460,"date":"2014-11-04T21:21:58","date_gmt":"2014-11-04T21:21:58","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/11\/04\/como-estruturar-os-documentos-para-os-controles-anexo-da-iso-27001\/"},"modified":"2022-07-17T15:43:33","modified_gmt":"2022-07-17T15:43:33","slug":"como-estruturar-os-documentos-para-os-controles-anexo-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/11\/04\/como-estruturar-os-documentos-para-os-controles-anexo-da-iso-27001\/","title":{"rendered":"Como estruturar os documentos para os controles do Anexo A da ISO 27001"},"content":{"rendered":"<p>Uma vez que voc\u00ea tenha conclu\u00eddo sua avalia\u00e7\u00e3o e tratamento de risco, \u00e9 hora de iniciar a elabora\u00e7\u00e3o dos documentos que descrevem seus controles de seguran\u00e7a de acordo com o Anexo A da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>. Mas, quais documentos voc\u00ea deveria escrever? Como estrutur\u00e1-los? Por quais come\u00e7ar?<\/p>\n<p>Aqui est\u00e1 o que descobri ser o melhor modo de fazer isso.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Como escolher quais documentos escrever<\/h2>\n<p>A ISO 27001 diz que voc\u00ea n\u00e3o pode simplesmente come\u00e7ar a selecionar controles e \/ou escrever os documentos que voc\u00ea mais gosta \u2013 o ponto \u00e9 que esta sele\u00e7\u00e3o de controles deve ser uma consequ\u00eancia direta do processo de avalia\u00e7\u00e3o e tratamento de risco. Veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/knowledgebase\/avaliacao-e-tratamento-de-riscos-segundo-a-iso-27001-6-etapas-basicas\/\" target=\"_blank\" rel=\"noopener\">Avalia\u00e7\u00e3o e tratamento de riscos segundo a ISO 27001 \u2013 6 etapas b\u00e1sicas<\/a>.<\/p>\n<p>Segundo ponto, voc\u00ea deveria saber quais documentos s\u00e3o obrigat\u00f3rios e quais n\u00e3o s\u00e3o \u2013 veja esta lista aqui: <a href=\"\/27001academy\/pt-br\/knowledgebase\/lista-de-documentos-obrigatorios-requeridos-pela-iso-27001-revisao-de-2013\/\" target=\"_blank\" rel=\"noopener\">\u00a0Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013)<\/a>.<\/p>\n<p>Finalmente, uma vez que voc\u00ea saiba quais controles devem ser aplicados e quais documentos s\u00e3o obrigat\u00f3rios, voc\u00ea deve decidir qu\u00e3o extensiva sua documenta\u00e7\u00e3o ser\u00e1:<\/p>\n<ul>\n<li><strong>Organiza\u00e7\u00f5es de pequeno porte<\/strong> tender\u00e3o a ter um n\u00famero menor de documentos: (1) elas n\u00e3o documentar\u00e3o cada controle, e (2) elas incluir\u00e3o v\u00e1rios controles em um \u00fanico documento.<\/li>\n<li><strong>Organiza\u00e7\u00f5es de grande porte<\/strong> tender\u00e3o a ter mais documentos, e os documentos ser\u00e3o mais detalhados.<\/li>\n<\/ul>\n<p>Contudo, estes n\u00e3o s\u00e3o os \u00fanicos crit\u00e9rios para decidir quais documentos escrever \u2013 veja tamb\u00e9m <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/07\/31\/8-criterios-para-decidir-quais-politicas-e-procedimentos-da-iso-27001-escrever\/\" target=\"_blank\" rel=\"noopener\">8 crit\u00e9rios para decidir quais pol\u00edticas e procedimentos da ISO 27001 escrever<\/a>.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Quais documentos deveriam cobrir quais controles?<\/h2>\n<p>Uma vez que o Anexo A possui 114 controles, a verdade \u00e9 que n\u00e3o \u00e9 muito f\u00e1cil decidir como agrupar pol\u00edticas e procedimentos para cobri-los (veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/knowledgebase\/visao-geral-do-anexo-a-da-iso-270012013\/\" target=\"_blank\" rel=\"noopener\">Vis\u00e3o geral do Anexo A da ISO 27001:2013<\/a>). E o fato de que a ISO 27001 n\u00e3o prescreve quais controles devem ser alocados para quais pol\u00edticas e\/ou procedimentos pode inicialmente parecer um problema, mas uma vez que voc\u00ea perceba que tal abordagem d\u00e1 uma grande liberdade para adaptar a documenta\u00e7\u00e3o para as reais necessidades de sua organiza\u00e7\u00e3o , voc\u00ea na verdade ficar\u00e1 grato pela ISO 27001 ser t\u00e3o flex\u00edvel.<\/p>\n<p>Novamente, existem duas abordagens para agrupar os documentos:<\/p>\n<p><strong>Organiza\u00e7\u00f5es de pequeno porte<\/strong> normalmente ter\u00e3o pol\u00edticas e\/ou procedimentos que cobrir\u00e3o v\u00e1rios controles com apenas um documento \u2013 por exemplo, voc\u00ea poderia usar:<\/p>\n<ul>\n<li><a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-controle-de-acesso\/\" target=\"_blank\" rel=\"noopener\">Pol\u00edtica de controle de acesso<\/a>\u00a0para cobrir todos os 14 controles da se\u00e7\u00e3o A.9 (sem escrever procedimentos detalhados),<\/li>\n<li><a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-traga-seu-proprio-dispositivo-byod\/\" target=\"_blank\" rel=\"noopener\">Pol\u00edtica de traga seu pr\u00f3prio dispositivo (BYOD)<\/a>\u00a0para cobrir n\u00e3o apenas o A.6.2.1 (Pol\u00edtica para uso de dispositivo m\u00f3vel) e A.6.2.2 (Trabalho remoto), mas tamb\u00e9m o A.13.2.1 (Pol\u00edticas e procedimentos para transfer\u00eancia de informa\u00e7\u00f5es),<\/li>\n<li>Com a <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/politica-de-uso-aceitavel-de-ativos\/\" target=\"_blank\" rel=\"noopener\">Pol\u00edtica de uso aceit\u00e1vel<\/a>, voc\u00ea poderia at\u00e9 ser mais ambicioso e cobrir controles de v\u00e1rias se\u00e7\u00f5es do Anexo A, uma vez que este documento poderia servir como uma linha de base de seguran\u00e7a para todos os empregados: A.6.2.1, A.6.2.2, A.8.1.2, A.8.1.3, A.8.1.4, A.9.3.1, A.11.2.5, A.11.2.6, A.11.2.8, A.11.2.9, A.12.2.1, A.12.3.1, A.12.5.1, A.12.6.2, A.13.2.3 e A.18.1.2.<\/li>\n<\/ul>\n<p><strong>Organiza\u00e7\u00f5es de grande porte<\/strong> geralmente estruturam a documenta\u00e7\u00e3o de uma forma diferente:<\/p>\n<ul>\n<li>cada se\u00e7\u00e3o do Anexo A ser\u00e1 coberta com uma pol\u00edtica \u2013 e.g., Pol\u00edtica para organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o (A.6), Pol\u00edtica de seguran\u00e7a em recursos humanos (A.7), Pol\u00edtica de gest\u00e3o de ativos (A.8), etc.<\/li>\n<li>cada pol\u00edtica ter\u00e1 procedimentos detalhados e\/ou instru\u00e7\u00f5es de trabalho que cobrir\u00e3o controles simples \u2013 por exemplo, Procedimento para classifica\u00e7\u00e3o da informa\u00e7\u00e3o (para o controle A.8.2.1), Procedimento para rotulagem de informa\u00e7\u00e3o (controle A.8.2.2), Procedimento para tratamento de informa\u00e7\u00e3o (controle A.8.2.3), etc.<\/li>\n<\/ul>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">A sequencia de elabora\u00e7\u00e3o dos documentos<\/h2>\n<p>Uma vez que voc\u00ea tenha uma ideia de como estruturar os documentos, como decide por onde come\u00e7ar e para onde ir?<\/p>\n<p>Para <strong>organiza\u00e7\u00f5es de pequeno porte<\/strong>, voc\u00ea pode usar alguns crit\u00e9rios para decidir com quais documentos iniciar:<\/p>\n<ul>\n<li>\u00c1reas onde voc\u00ea quer obter vit\u00f3rias r\u00e1pidas \u2013 isto significa selecionar uma \u00e1rea onde voc\u00ea sabe que terminar\u00e1 sua documenta\u00e7\u00e3o rapidamente, e desta forma mostrar a sua administra\u00e7\u00e3o, seus pares (e a voc\u00ea mesmo) de que \u00e9 capaz de fazer este trabalho de forma efetiva.<\/li>\n<li>\u00c1reas onde voc\u00ea tem os maiores riscos \u2013 desta forma voc\u00ea inicia resolvendo os maiores problemas primeiro \u2013 voc\u00ea pode n\u00e3o terminar isto rapidamente, mas algumas vezes esta abordagem \u00e9 necess\u00e1ria se a sua avalia\u00e7\u00e3o de riscos demonstrou que voc\u00ea possui algumas lacunas grandes que devem ser tratadas.<\/li>\n<li>\u00c1reas que s\u00e3o compat\u00edveis com outros projetos em andamento em sua organiza\u00e7\u00e3o \u2013 por exemplo, se sua organiza\u00e7\u00e3o atualmente est\u00e1 implementando software de atendimento ao usu\u00e1rio (help desk), voc\u00ea pode querer iniciar a elabora\u00e7\u00e3o do <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/procedimento-de-gestao-de-incidentes\/\" target=\"_blank\" rel=\"noopener\">procedimento de gest\u00e3o de incidentes<\/a>, porque isto ir\u00e1 regular como o software ser\u00e1 usado dentro do contexto da ISO 27001.<\/li>\n<\/ul>\n<p>Para documentos que ser\u00e3o escritos por \u00faltimo, minha prefer\u00eancia pessoal \u00e9 por documentos que cobrem um grande n\u00famero de controles (por exemplo, a Pol\u00edtica de Uso Aceit\u00e1vel). Desta forma voc\u00ea saber\u00e1 quais controles voc\u00ea cobriu com outros documentos, e aqueles que n\u00e3o tenham sido descritos em outras pol\u00edticas e procedimentos podem ser descritos em um documento do tipo &#8220;tudo inclu\u00eddo&#8221; (all-inclusive) ao final do processo.<\/p>\n<p>Novamente, <strong>organiza\u00e7\u00f5es de grande porte<\/strong> ter\u00e3o uma abordagem diferente \u2013 elas escrever\u00e3o as pol\u00edticas primeiro, e os procedimentos \/ instru\u00e7\u00f5es de trabalho relacionadas em um segundo momento, enquanto que para decidir com quais pol\u00edticas come\u00e7ar elas podem utilizar os mesmos crit\u00e9rios descritos acima.<\/p>\n<p>Assim, para concluir, tenha certeza de utilizar a flexibilidade que a ISO 27001 oferece a voc\u00ea para adaptar a documenta\u00e7\u00e3o \u00e0s suas necessidades espec\u00edficas \u2013 porque a ideia \u00e9 que a documenta\u00e7\u00e3o sirva a voc\u00ea, e n\u00e3o o contr\u00e1rio.<\/p>\n<p><em>Neste <\/em><a href=\"\/27001academy\/pt-br\/kit-de-ferramentas-da-documentacao-da-iso-27001\/\" target=\"_blank\" rel=\"noopener\">Kit de Documenta\u00e7\u00e3o da ISO 27001<\/a><em>\u00a0voc\u00ea ver\u00e1 um exemplo de como agrupar os documentos do Anexo para organiza\u00e7\u00f5es de pequeno e m\u00e9dio porte<\/em><em>.<\/em><\/p>\n<p>N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Uma vez que voc\u00ea tenha conclu\u00eddo sua avalia\u00e7\u00e3o e tratamento de risco, \u00e9 hora de iniciar a elabora\u00e7\u00e3o dos documentos que descrevem seus controles de seguran\u00e7a de acordo com o Anexo A da ISO 27001. Mas, quais documentos voc\u00ea deveria escrever? Como estrutur\u00e1-los? Por quais come\u00e7ar? Aqui est\u00e1 o que descobri ser o melhor modo &#8230;<\/p>\n","protected":false},"author":26,"featured_media":4461,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4460","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4460","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4460"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4460\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4461"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4460"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4460"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4460"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}