Algumas vezes recebo questionamentos sobre se o Manual da ISO 27001 \u00e9 requerido pela norma, e como escrev\u00ea-lo. Inclusive j\u00e1 perdi alguns clientes em potencial porque disse a eles que n\u00f3s n\u00e3o temos tal documento e que n\u00e3o o recomendamos. Pior ainda, ouvi alguns certificadores solicitarem tal documento durante auditorias de certifica\u00e7\u00e3o.<\/p>\n
Ent\u00e3o, vamos esclarecer o assunto\u2026<\/p>\n
Existem basicamente duas abordagens para o Manual da ISO 27001 \/ do Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI):<\/p>\n
a) O Manual da ISO 27001 (muito similar ao Manual da Qualidade na ISO 9001<\/a> poderia ser um documento que explica como uma organiza\u00e7\u00e3o ir\u00e1 se adequar\u00e1 aos requisitos da ISO 27001 e quais procedimentos ser\u00e3o utilizados no SGSI, ou<\/p>\n b) O Manual da ISO 27001 poderia ser um pacote de todos os documentos que s\u00e3o produzidos para o ISMS \u2013 basicamente, a ideia aqui seria colocar todas as pol\u00edticas, procedimento, instru\u00e7\u00f5es de trabalho, formul\u00e1rios, etc. Em um \u00fanico livro de forma que ele seria mais f\u00e1cil de ler.<\/p>\n Devo dizer que n\u00e3o vejo muito sentido em nenhuma destas abordagens. Eis o por qu\u00ea:<\/p>\n A abordagem da al\u00ednea (a) n\u00e3o faz sentido porque h\u00e1 um documento obrigat\u00f3rio no SGSI que deve descrever como uma organiza\u00e7\u00e3o ir\u00e1 implementar sua seguran\u00e7a da informa\u00e7\u00e3o \u2013 ele \u00e9 chamado Declara\u00e7\u00e3o de Aplicabilidade<\/a>. Ele deve listar todos os controles do Anexo A, e definir se eles s\u00e3o aplic\u00e1veis e como eles ser\u00e3o implementados (ou fazer uma refer\u00eancia a documentos que descrevam os detalhes). Desta forma, a Declara\u00e7\u00e3o de Aplicabilidade tem uma fun\u00e7\u00e3o muito similar \u00e0quela do Manual da Qualidade, ent\u00e3o o Manual da ISO 27001 com o mesmo prop\u00f3sito n\u00e3o faz sentido. Aprenda mais aqui: A import\u00e2ncia da Declara\u00e7\u00e3o de aplicabilidade da ISO 27001<\/a>.<\/p>\n Ter todas as pol\u00edticas e procedimentos compondo um \u00fanico documento (abordagem b) faz menos sentido ainda \u2013 primeiro de tudo, muitas organiza\u00e7\u00f5es implementando a ISO 27001 usam uma intranet para manusear documentos, ent\u00e3o agrupar documentos em formato eletr\u00f4nico n\u00e3o os torna mais f\u00e1cil de ler; segundo, quanto mais longo o documento, menor a chance de que algu\u00e9m ir\u00e1 l\u00ea-lo porque nem todo documento do SGSI \u00e9 destinado para todos em uma organiza\u00e7\u00e3o; e terceiro \u2013 uma vez que documentos individuais do SGSI mudam frequentemente, seria um pesadelo atualizar tal manual t\u00e3o frequentemente.<\/p>\n E finalmente\u2026 a ISO 27001 n\u00e3o faz men\u00e7\u00e3o sobre um Manual do SGSI ou qualquer coisa similar. Muita da confus\u00e3o aqui geralmente vem de organiza\u00e7\u00f5es que implementaram a ISO 9001<\/a> porque o Manual da Qualidade \u00e9 obrigat\u00f3rio para a implementa\u00e7\u00e3o do Sisteme de Gest\u00e3o da Qualidade (SGQ), mas tal requisito n\u00e3o existe na ISO 27001.<\/p>\n Ent\u00e3o, a conclus\u00e3o seria \u2013 n\u00e3o perca seu tempo criando algo que n\u00e3o \u00e9 requerido, e que n\u00e3o agregar\u00e1 a voc\u00ea nenhum valor. Ao inv\u00e9s disso, foque em criar uma boa Declara\u00e7\u00e3o de Aplicabilidade que ser\u00e1 um documento essencial contra o qual voc\u00ea ser\u00e1 auditado, e tal documento tamb\u00e9m dar\u00e1 a voc\u00ea uma imagem sobre como a seguran\u00e7a \u00e9 gerenciada em sua organiza\u00e7\u00e3o.<\/p>\nPor que isto n\u00e3o faz sentido\u2026<\/h2>\n
N\u00e3o perca seu tempo<\/h2>\n