Artigo: Checklist da Documentação Obrigatória

Requerida por ISO/IEC 27001 (Revisão 2013)

Copyright ©2014 27001Academy. Todos direitos reservados.

ARTIGO 2 de setembro de 2014

Copyright ©2014 27001Academy. Todos direitos reservados. 2

1. Quais documentos e registros são requeridos?

A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27 001 revisão

2013:

Documentos* Número da cláusula ISO 27001:2013

Escopo do SGSI 4.3

Política e objetivos de segurança da informação 5.2, 6.2

Metodologia de avaliação de riscos e tratamento de riscos 6.1 .2

Declaração de aplicabilidade 6.1 .3 d)

Plano de tratamento de riscos 6.1 .3 e), 6.2

Relatório de avaliação de riscos e de tratamento dos riscos 8.2, 8.3

Definição da funções e responsabilidades de segurança A.7 .1.2, A.13.2.4

Inventário de ativos A.8.1 .1

Uso aceitável dos ativos A.8.1 .3

Política de controle de acesso A.9.1.1

Procedimentos operacionais para a gestão de TI A.12.1.1

Princípios de engenharia de sistemas seguros A.14.2.5

Política de segurança do fornecedor A.15.1.1

Procedimentos de gestão de incidentes A.16.1.5

Procedimentos de continuidade de negócios A.17 .1.2

Requisitos legais, regulatórios e contratuais A.18.1.1

Copyright ©2014 27001Academy. Todos direitos reservados. 3

Registros* Número da cláusula ISO 27001:2013

Registros de treinamento, conhecimentos, experiência e qualificação 7 .2

Resultados de monitoramento e medição 9.1

Programa de auditoria interna 9.2

Resultados de auditoria interna 9.2

Resultados da revisão de gestão 9.3

Resultados de ações corretivas 10.1

Registros de ativ idades de usuário, exceções e eventos de segurança A.12.4.1, A.12.4.3

2. Documentos não obrigatórios de uso comum

Outros documentos que são usados com frequência são os seguintes:

Documentos Número da cláusula ISO 27001:2013

Procedimento para controle de documento 7 .5

Controles para a gestão de registros 7 .5

Procedimento para auditoria interna 9.2

Procedimento para ação corretiva 10.1

Traga sua própria política de dispositivo (BY OD) A.6.2.1

Política de dispositivo móvel e teletrabalho A.6.2.1

Política de classificação da informação A.8.2.1, A.8.2.2, A.8.2.3

Política de senhas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3

Política de descarte e destruição A.8.3.2, A.11.2.7

Procedimentos para trabalho em áreas seguras A.11.1.5

Política de mesa limpa e tela limpa A.11.2.9

Política de gestão de mudanças A.12.1.2, A.14.2.4

Política de backup A.12.3.1

Política de transferência de informação A.13.2.1, A.13.2.2, A.13.2.3

Copyright ©2014 27001Academy. Todos direitos reservados. 4

Análise de impacto nos negócios A.17 .1.1

Plano de exercícios e testes A.17 .1.3

Plano de rev isão e manutenção A.17 .1.3

Estratégia de continuidade de negócios A.17 .2.1

3. Como estruturar os documentos e registros

mais comuns

Escopo do SGSI

Normalmente, este documento é bem curto e redigido no início da implementação do ISO 27 001.

Normalmente, é um documento independente, embora possa ser mesclado em um política de segurança da

informação.

Leia mais aqui: Problemas com a definição do escopo da norma ISO 27 001.

Política e objetivos de segurança da informação

A política de segurança da informação é normalmente um documento curto e de alto nível que descreve o

propósito principal do SGSI. Os objetivos para o SGSI são normalmente um documento independente, mas

pode ser mesclado na política de segurança da informação. Diferente do ISO 27 001 Revisão 2005, não há

mais a necessidade por uma política de SGSI e um política de segurança da informação - somente uma

política de segurança da informação é necessária.

Leia mais aqui: Política de segurança da informação: o quão detalhada deve ser?

Metodologia e relatórios de avaliação de riscos e tratamento de riscos

A metodologia de avaliação de riscos e tratamento de riscos é normalmente um documento de 4 a 5 páginas e

deve ser redigido antes que a avaliação de riscos e tratamento de riscos seja executada. O relatório de

avaliação de riscos e tratamento de riscos pode ser redigido após a avaliação de riscos e tratamento de riscos

tiver sido executada e ele resume todos os resultados.

Leia mais aqui: ISO 27 001 avaliação e tratamento de riscos – 6 etapas básicas.

Declaração de aplicabilidade

A Declaração de Aplicabilidade (ou (SoA) é redigida com base nos resultados do tratamento do risco - este é

um documento central dentro do SGSI porque ele descreve não apenas quais controles do Anexo A são

aplicáveis, mas também como eles serão implementados e seu status atual. Você também pode considerar a

Declaração de Aplicabilidade como um documento que descreve o perfil de segurança de sua empresa.

Leia mais aqui: A importância da Declaração de Aplicabilidade para o ISO 27 001 .

Copyright ©2014 27001Academy. Todos direitos reservados. 5

Plano de tratamento de riscos

Este é basicamente um plano de ação sobre como implementar diversos controles definidos pela SoA - ele é

desenvolvido com base na Declaração de Aplicabilidade e é ativamente usado e atualizado durante toda a

implementação do SGSI. Algumas vezes ele pode ser mesclado com o plano do projeto.

Leia mais aqui: Tratamento do risco e o processo de tratamento do risco – Qual é a diferença?

Funções e responsabilidades de segurança

O melhor método é o de descrever isso em todas as políticas e procedimentos o mais preciso possível. Ev ite

expressões como “deveria ser feito” e em seu lugar use algo como “CISO irá executar xyz toda segunda -feira

as xy x horas”. Algumas empresas preferem descrever suas funções e responsabilidade de segurança em suas

descrições de funções, no entanto, isso pode levar a muita papelada.

Funções e responsabilidades de segurança para terceiros são definidas em contrat os.

Leia mais aqui: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer

– CISO) na ISO 27 001?

Inventário de ativos

Caso você não tinha tal inventário das do projeto ISO 27 001, a melhor forma de criar este documento é

diretamente do resultado da avaliação de risco - durante a avaliação de risco todos os ativos e seus

proprietários devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali.

Leia mais aqui: Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27 001.

Uso aceitável dos ativos

Isso é normalmente redigido na forma de uma política, e tal documento pode cobrir uma ampla gama de

tópicos já que a norma não define muito bem este controle. Provavelmente a melhor forma de abordar isso é

a seguinte: (1) deixe isso para o fim de sua implementação do SGSI e, (2) todas as áreas e controles que você

não cobriu com outros documentos e que são relativos a todos os funcionários, podem ser cobertas nesta

política.

Política de controle de acesso

Neste documento, você pode cobrir somente o aspecto administrativo do acesso à determinadas informações

e sistemas para aprovação ou também o aspecto técnico do controle de acesso. Mais ainda, você pode definir

as regras somente para o acesso lógico ou também para o acesso físico. Você deve redigir este documento

somente após terminar com sua avaliação de risco e o processo de tratamento do risco.

Procedimentos operacionais para a gestão de TI

Você pode redigir isso como um documento único ou como uma série de políticas e procedimentos - caso

você tenha uma empresa de pequeno porte, terá a tendência de ter um número menor de documentos.

Normalmente, você pode cobrir todas as áreas das seções A.12 e A.13 - gestão de mudanças, serviços de

terceiros, backup, segurança da rede. código malicioso, descarte e destruição, transferência de informação,

monitoramento de sistemas, etc. Você deve redigir este documento somente após terminar com sua avaliação

de risco e o processo de tratamento do risco.

Leia mais sobre a gestão de TI aqui: Blog ITIL & ISO 20000.

Copyright ©2014 27001Academy. Todos direitos reservados. 6

Princípios de engenharia de sistemas seguros

Este é um novo controle no ISO 27 001:2013 e requer que os princípios de engenharia segura sejam

documentados na forma de um procedimento ou norma, e deve definir como incorporar as técnicas de

segurança em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem

incluir a validação dos dados de entrada, depuração, técnicas para autenticação, controles de sessão segura,

etc.

Política de segurança do fornecedor

Este também é um novo controle no ISO 27 001:2013 e tal política pode cobrir uma ampla gama de controles

- como é feita a triagem de fornecedores potenciais, como a avaliação de risco de um fornecedor é feita, quais

cláusulas de segurança devem ser incluídas no contrato, como supervisionar o atendimento de cláusulas

contratuais de segurança, como alterar o contrato, como fechar o acesso após o término do contrato, etc.

Leia mais aqui: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27 001 .

Procedimentos de gestão de incidentes

Este é um procedimento importante que define como as vulnerabilidades, eventos e incidentes de segurança

são reportadas, classificadas e tratadas. Este procedimento também define como aprender das informações

de incidentes de segurança, para que possam ser prevenidos na próxima vez. Tal procedimento também pode

chamar o plano de continuidade de negócios se um incidente causou um interrupção demorada.

Procedimentos de continuidade de negócios

Estes são normalmente planos de continuidade de negócios, planos de respostas a incidentes, planos de

recuperação para o aspecto administrativo da empresa e planos de recuperação de desastre (planos de

recuperação para a infraestrutura de TI). Estes são melhor descritos na norma ISO 22301, a norma líder

internacional para a continuidade de negócios.

Para saber mais, clique aqui: Plano de continuidade de negócios: Como estruturá-lo de acordo com o ISO

22301.

Requisitos legais, regulatórios e contratuais

Esta lista deve ser feita nos estágios iniciais do projeto assim que for possível, porque muitos documentos

têm de ser desenvolvidos de acordo com estas entradas. Esta lista deve incluir não somente as

responsabilidades para estar em conformidade com determinados requisitos, mas também os prazos.

Registros de treinamento, conhecimentos, experiência e qualificação

Estes registros são normalmente mantidos pelo departamento de recursos humanos - caso você não tenha tal

departamento, qualquer pessoa que normalmente mantém os registros de funcionários deveria fazer este

trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar.

Leia mais aqui: Como realizar treinamento e conscientização para a ISO 27 001 e ISO 22301.

Resultados de monitoramento e medição

A forma mais fácil de descrever como os controles devem ser medidos é através de políticas e procedimentos

que definem cada controle - normalmente, esta descrição pode ser redigida no fim de cada documento, e tal

descrição define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para

cada controle ou grupo de controles.

Copyright ©2014 27001Academy. Todos direitos reservados. 7

Após este método de medição estiver em v igor, você deve executar a medição de acordo. É importante

reportar estes resultados regularmente para as pessoas responsáveis por avaliar os mesmos.

Leia mais aqui: Objetivos dos controles ISO 27 001 – Por quê eles são tão importantes?

Programa de auditoria interna

O programa de auditoria interna nada mais é que um plano de 1 ano para executar as auditorias - para uma

empresa de pequeno porte esta pode ser apenas uma auditoria, enquanto que para empresas maiores pode

ser uma série de, por exemplo, 20 auditoria internas. Este programa deve definir que irá executar as

auditorias, métodos, critérios de auditoria, etc.

Leia mais aqui: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27 001 / ISO 22301 .

Resultados de auditoria interna

Um auditor interno precisa produzir o relatório de auditoria, que inclui os levantamentos da auditoria

(observações e ações corretivas). Tal relatório deve ser produzido dentro de alguns dias após a execução da

auditoria interna. Em alguns casos, o auditor interno terá que verificar se todas as ações corretivas foram

executadas como esperado.

Resultados da revisão de gestão

Estes registros são normalmente na forma de atas de reunião - eles devem incluir todos os materiais que

estavam envolvidos na reunião da direção, assim como todas as decisões que foram tomadas. A ata pode ser

em papel ou formato digital.

Leia mais aqui: Por que a análise crítica pela direção é importante para a ISO 27 001 e ISO 22301?

Resultados de ações corretivas

Estes são tradicionalmente incluídos nos formulários de ação corretiva (CARs). No entanto, é muito melhor

incluir tais registros em algum aplicativo que já que ele é usado em uma o rganização para o Help Desk - já

que as ações corretivas são apenas listas de tarefas com responsabilidades, tarefas e prazos claramente

definidas.

Leia mais aqui: Uso prático das ações corretivas para a ISO 27 001 e ISO 22301.

Registros de atividades de usuário, exceções e eventos de segurança

Estes são normalmente mantidos em dois formatos: (1) em formato digital, automaticamente ou semi-

automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel,

onde cada registro é redigido manualmente.

Procedimento para controle de documento

Este é normalmente um procedimento independente, com 2 ou 3 páginas, Caso você já tenha implementado

alguma outra norma como o ISO 9001, ISO 14001, ISO 22301 ou similar, poderá usar o mesmo

procedimento para todos estes sistemas de gestão. Algumas vezes é melhor redigir este procedimento como o

primeiro documento em um projeto.

Leia mais aqui: Gestão de documentos dentro da ISO 27 001 e BS 25999 -2.

Copyright ©2014 27001Academy. Todos direitos reservados. 8

Controles para a gestão de registros

A forma mais fácil é a de descrever o controle de registros em cada política ou procedimento (ou outro

documento) que requer que um registro seja criado. Estes controles são normalmente redigidos no fim de

cada documento, e são normalmente na forma de uma tabela que descreve onde o registro está arquivado,

quem tem acesso, como está protegido, por quanto tempo fica arquivado, etc.

Procedimento para auditoria interna

Este é normalmente um procedimento independente que pode ter 2 a 3 páginas e deve ser redigido antes que

a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a

auditoria interna pode ser usados para qualquer sistema de gestão.

Leia mais aqui: Dilemas com os auditores internos das normas ISO 27 001 e BS 25999 -2.

Procedimentos para ação corretiva

Este procedimento não deve ter mais que 2 a 3 páginas e pode ser redigido no fim do projeto de

implementação, embora seja melhor redigir o mesmo o mais cedo possível para que os funcionários se

acostumem com o mesmo.

4. COMO FERRAMENTAS ONLINE PODEM

AJUDAR COM A ISO 27001 E ISO 22301

Aqui você pode baixar uma v isualização grátis do Kit de documentação do ISO 27 001 e ISO 22301 – nesta

v isualização grátis será possível ver o índice de cada política e procedimento mencionado, assim como

algumas seções de cada documento.

Copyright ©2014 27001Academy. Todos direitos reservados. 9

EPPS Serv ices Ltd.

para negócios eletrônicos e consultoria de negócio

UI. Vladimira Nazora 59, 10000 Zagreb

Croácia, União Européia

Email: support@iso27001standard.com

Fone: +385 1 48 34 120

Fone (para cliente nos E.U.A.): +1 (646) 797 2744

Fax: +385 1 556 0711