{"id":4502,"date":"2014-07-31T17:05:09","date_gmt":"2014-07-31T17:05:09","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/07\/31\/8-criterios-para-decidir-quais-politicas-e-procedimentos-da-iso-27001-escrever\/"},"modified":"2022-07-17T15:43:36","modified_gmt":"2022-07-17T15:43:36","slug":"8-criterios-para-decidir-quais-politicas-e-procedimentos-da-iso-27001-escrever","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/07\/31\/8-criterios-para-decidir-quais-politicas-e-procedimentos-da-iso-27001-escrever\/","title":{"rendered":"8 crit\u00e9rios para decidir quais pol\u00edticas e procedimentos da ISO 27001 escrever"},"content":{"rendered":"<p>Se voc\u00ea acabou de iniciar a implementa\u00e7\u00e3o da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> em sua organiza\u00e7\u00e3o, voc\u00ea provavelmente esta em um dilema sobre quantos documentos voc\u00ea precisa ter, e se deve escrever ou n\u00e3o certas pol\u00edticas e procedimentos.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Crit\u00e9rio para decidir o que documentar<\/h2>\n<p>Bem, o primeiro passo \u00e9 f\u00e1cil \u2013 voc\u00ea precisa verificar se um documento \u00e9 requerido pela ISO 27001. Para este prop\u00f3sito, veja este artigo: <a href=\"\/27001academy\/pt-br\/knowledgebase\/lista-de-documentos-obrigatorios-requeridos-pela-iso-27001-revisao-de-2013\/\" target=\"_blank\" rel=\"noopener\">Lista de documentos obrigat\u00f3rios requeridos pela ISO 27001 (revis\u00e3o de 2013)<\/a>. Se o documento \u00e9 obrigat\u00f3rio, voc\u00ea n\u00e3o tem o que pensar \u2013 voc\u00ea deve escrev\u00ea-lo se voc\u00ea quiser estar em conformidade com esta norma. (Veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/knowledgebase\/sete-passos-para-a-implementacao-de-politicas-e-procedimentos\/\" target=\"_blank\" rel=\"noopener\">Sete passos para a implementa\u00e7\u00e3o de pol\u00edticas e procedimentos<\/a>.)<\/p>\n<p>Contudo, se o documento n\u00e3o \u00e9 obrigat\u00f3rio, voc\u00ea pode ficar na d\u00favida se precisa ou n\u00e3o escrev\u00ea-lo \u2013 por exemplo, voc\u00ea precisaria de uma Pol\u00edtica de Backup? Ou talvez uma Pol\u00edtica de Classifica\u00e7\u00e3o? Ou uma Pol\u00edtica sobre Dispositivos Pessoais (BYOD)?<\/p>\n<p>Aqui est\u00e3o alguns crit\u00e9rios que ajudar\u00e3o voc\u00ea:<\/p>\n<p><strong>Riscos.<\/strong> Voc\u00ea tem que iniciar pela avalia\u00e7\u00e3o de riscos para ver se h\u00e1 uma necessidade real para tal controle (veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/knowledgebase\/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona\/\" target=\"_blank\" rel=\"noopener\">A l\u00f3gica b\u00e1sica da ISO 27001: Como a seguran\u00e7a da informa\u00e7\u00e3o funciona?<\/a>). Se n\u00e3o existe risco, ent\u00e3o certamente voc\u00ea n\u00e3o precisar\u00e1 de um documento para ele; se existe um risco, isto ainda n\u00e3o significa que voc\u00ea tenha que escrever um documento, mas ao menos voc\u00ea ter\u00e1 resolvido o dilema se o controle \u00e9 necess\u00e1rio ou n\u00e3o.<\/p>\n<p><strong>Conformidade.<\/strong> Algumas vezes voc\u00ea talvez tenha uma regulamenta\u00e7\u00e3o ou requisito contratual para escrever um certo documento \u2013 e.g., uma regulamenta\u00e7\u00e3o talvez requeira que voc\u00ea escreva a Pol\u00edtica de Classifica\u00e7\u00e3o, ou seu cliente pode requerer que voc\u00ea assine ANDs (Acordos de N\u00e3o Divulga\u00e7\u00e3o) com seus empregados.<\/p>\n<p><strong>Tamanho de sua organiza\u00e7\u00e3o.<\/strong> Organiza\u00e7\u00f5es menores tender\u00e3o a ter menos documentos, ent\u00e3o em tais casos voc\u00ea deveria tentar evitar escrever um procedimento para cada pequeno processo \u2013 por exemplo, se voc\u00ea tem 20 empregado voc\u00ea n\u00e3o precisa de 50 documentos para o seu SGSI. Claro que, se voc\u00ea \u00e9 uma organiza\u00e7\u00e3o multinacional com 10.000 empregados, escrever pol\u00edticas onde cada uma teria alguns procedimentos relacionados, e ent\u00e3o para cada procedimento algumas instru\u00e7\u00f5es de trabalho \u2013 esta abordagem n\u00e3o faz sentido.<\/p>\n<p><strong>Import\u00e2ncia.<\/strong> Quanto mais importante um processo ou atividade, mais provavelmente voc\u00ea ir\u00e1 querer escrever uma pol\u00edtica ou um procedimento para descrev\u00ea-lo \u2013 isto poque voc\u00ea ir\u00e1 querer ter certeza de que todos entendem como realizar tal processo ou atividade de forma evitar interrup\u00e7\u00f5es em suas opera\u00e7\u00f5es.<\/p>\n<p><strong>N\u00famero de pessoas envolvidas.<\/strong> Quanto mais pessoas realizam um processo ou atividade, mais provavelmente voc\u00ea ir\u00e1 querer document\u00e1-la; por exemplo, se voc\u00ea tem 100 pessoas envolvidas nele, ser\u00e1 muito dif\u00edcil explicar verbalmente para todas estas pessoas como realizar certo processo \u2013 \u00e9 muito mais f\u00e1cil escrever um procedimento que explicaria tudo em detalhes. Por outro lado, se voc\u00ea tem cinco pessoas envolvidas, voc\u00ea provavelmente pode explicar como todo o processo funciona em uma simples reuni\u00e3o, ent\u00e3o n\u00e3o h\u00e1 necessidade por um processo escrito. Contudo, existe uma exce\u00e7\u00e3o: se voc\u00ea tem apenas uma pessoa trabalhando em um processo, voc\u00ea pode querer document\u00e1-lo porque ningu\u00e9m mais sabe como faz\u00ea-lo \u2013 se esta pessoa tornar-se indispon\u00edvel, voc\u00ea ser\u00e1 capaz de continuar suas opera\u00e7\u00f5es.<\/p>\n<p><strong>Complexidade.<\/strong> Quanto mais complexo o processo, mais provavelmente voc\u00ea ir\u00e1 precisar de um documento escrito para ele (ao menos na forma de uma lista de verifica\u00e7\u00e3o) \u2013 \u00e9 simplesmente imposs\u00edvel lembrar-se de mem\u00f3ria, por exemplo, de 100 passos que s\u00e3o necess\u00e1rios de serem executados em uma sequ\u00eancia exata.<\/p>\n<p><strong>Maturidade.<\/strong> Se um processo ou atividade est\u00e1 claramente estabelecido, se ele tem sido executado por anos e todos sabem exatamente como realiz\u00e1-lo, se ele est\u00e1 bem ajustado, ent\u00e3o provavelmente n\u00e3o h\u00e1 necessidade de document\u00e1-lo.<\/p>\n<p><strong>Frequ\u00eancia.<\/strong> Se voc\u00ea realiza algumas atividades muito raramente, voc\u00ea pode querer escrev\u00ea-las porque voc\u00ea pode esquecer como elas s\u00e3o feitas.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Encontre o equil\u00edbrio certo<\/h2>\n<p>Quanto mais documentos voc\u00ea tem e mais detalhados eles s\u00e3o, mais dif\u00edcil ser\u00e1 mant\u00ea-los e fazer com que seus empregados os cumpram. Por outro lado, uma quantidade menor de documentos quantamb\u00e9m s\u00e3o bem curtos pode n\u00e3o descrever exatamente o que voc\u00ea precisa fazer.<\/p>\n<p>Em muitos casos, eu recomendo aos meus clientes para n\u00e3o se tornarem muito ambiciosos \u2013 se n\u00e3o h\u00e1 absoluta necessidade para criar algum novo documento, n\u00e3o crie-o; se n\u00e3o h\u00e1 necessidade de descrever alguns processos em grandes detalhes, fa\u00e7a-os mais curtos.<\/p>\n<p>E lembre-se \u2013 documentos desnecess\u00e1rios trar\u00e3o a voc\u00ea nada mais do que problemas.<\/p>\n<p><em>Este paper gratuito fornecer\u00e1 detalhes dos documentos mais importantes:<\/em>\u00a0<a href=\"https:\/\/info.advisera.com\/27001academy\/pt-br\/download-gratuito\/lista-de-verificacao-de-documentacao-obrigatoria-requerida-pela-iso-270012013\" target=\"_blank\" rel=\"noopener\">Lista de verifica\u00e7\u00e3o da documenta\u00e7\u00e3o obrigat\u00f3ria requerida pela ISO 27001:2013<\/a>.<\/p>\n<p>N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o Portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se voc\u00ea acabou de iniciar a implementa\u00e7\u00e3o da ISO 27001 em sua organiza\u00e7\u00e3o, voc\u00ea provavelmente esta em um dilema sobre quantos documentos voc\u00ea precisa ter, e se deve escrever ou n\u00e3o certas pol\u00edticas e procedimentos. Crit\u00e9rio para decidir o que documentar Bem, o primeiro passo \u00e9 f\u00e1cil \u2013 voc\u00ea precisa verificar se um documento \u00e9 &#8230;<\/p>\n","protected":false},"author":26,"featured_media":4503,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4502","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4502","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4502"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4502\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4503"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4502"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4502"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4502"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}