219527813-Checklist-of-Mandatory-Documentation-Required-by-ISO-27001-2013-PT-pdf

Prévia do material em texto

©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 1 de 10 
Checklist da Documentação Obrigatória Requerida 
por ISO/IEC 27001 (Revisão 2013) 
 
 
1) Quais documentos e registros são requeridos? 
A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 
27001 revisão 2013: 
Documentos* Número da cláusula ISO 
27001:2013 
Escopo do SGSI 4.3 
Política e objetivos de segurança da informação 5.2, 6.2 
Metodologia de avaliação de riscos e tratamento de riscos 6.1.2 
Declaração de aplicabilidade 6.1.3 d) 
Plano de tratamento de riscos 6.1.3 e), 6.2 
Relatório de avaliação de riscos 8.2 
Definição da funções e responsabilidades de segurança A.7.1.2, A.13.2.4 
Inventário de ativos A.8.1.1 
Uso aceitável dos ativos A.8.1.3 
Política de controle de acesso A.9.1.1 
Procedimentos operacionais para a gestão de TI A.12.1.1 
Princípios de engenharia de sistemas seguros A.14.2.5 
Política de segurança do fornecedor A.15.1.1 
Procedimentos de gestão de incidentes A.16.1.5 
Procedimentos de continuidade de negócios A.17.1.2 
Requisitos legais, regulatórios e contratuais A.18.1.1 
 
Registros* Número da cláusula ISO 
27001:2013 
Registros de treinamento, conhecimentos, experiência e 
qualificação 
7.2 
http://www.iso27001standard.com/�
http://www.iso27001standard.com/pt/o-que-e-a-iso-27001?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=about-iso27001�
http://www.iso27001standard.com/pt/o-que-e-a-iso-27001?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=about-iso27001�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 2 de 10 
Resultados de monitoramento e medição 9.1 
Programa de auditoria interna 9.2 
Resultados de auditoria interna 9.2 
Resultados da revisão de gestão 9.3 
Resultados de ações corretivas 10.1 
Registros de atividades de usuário, exceções e eventos 
de segurança 
A.12.4.1, A.12.4.3 
 
*Os Controles do Anexo A podem ser excluídos se uma organização concluir que não há 
riscos e outros requisitos que iriem demandar a implementação de um controle. 
Isso não significa que uma lista definitiva de documentos e registros pode ser usada durante 
a implementação do ISO 27001 – a norma permite que quaisquer outros documentos sejam 
adicionados para aprimorar o nível de segurança da informação. 
 
2) Documentos não obrigatórios de uso comum 
Outros documentos que são usados com frequência são os seguintes: 
Documentos Número da cláusula ISO 27001:2013 
Procedimento para controle de documento 7.5 
Controles para a gestão de registros 7.5 
Procedimento para auditoria interna 9.2 
Procedimento para ação corretiva 10.1 
Traga sua própria política de dispositivo (BYOD) A.6.2.1 
Política de dispositivo móvel e teletrabalho A.6.2.1 
Política de classificação da informação A.8.2.1, A.8.2.2, A.8.2.3 
Política de senhas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, 
A.9.4.3 
Política de descarte e destruição A.8.3.2, A.11.2.7 
Procedimentos para trabalho em áreas seguras A.11.1.5 
Política de mesa limpa e tela limpa A.11.2.9 
http://www.iso27001standard.com/�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 3 de 10 
Política de gestão de mudanças A.12.1.2, A.14.2.4 
Política de backup A.12.3.1 
Política de transferência de informação A.13.2.1, A.13.2.2, A.13.2.3 
Análise de impacto nos negócios A.17.1.1 
Plano de exercícios e testes A.17.1.3 
Plano de revisão e manutenção A.17.1.3 
Estratégia de continuidade de negócios A.17.2.1 
 
3) Como estruturar os documentos e registros mais comuns 
Escopo do SGSI 
Normalmente, este documento é bem curto e redigido no início da implementação do ISO 
27001. Normalmente, é um documento independente, embora possa ser mesclado em um 
política de segurança da informação. 
Leia mais aqui: Problemas ao definir o escopo no ISO 27001. 
Política e objetivos de segurança da informação 
A política de segurança da informação é normalmente um documento curto e de alto nível 
que descreve o propósito principal do SGSI. Os objetivos para o SGSI são normalmente um 
documento independente, mas pode ser mesclado na política de segurança da informação. 
Diferente do ISO 27001 Revisão 2005, não há mais a necessidade por uma política de SGSI 
e um política de segurança da informação - somente uma política de segurança da 
informação é necessária. 
Leia mais aqui: Política de segurança da informação: o quão detalhada deve ser? 
Metodologia e relatórios de avaliação de riscos e tratamento de riscos 
A metodologia de avaliação de riscos e tratamento de riscos é normalmente um documento 
de 4 a 5 páginas e deve ser redigido antes que a avaliação de riscos e tratamento de riscos 
seja executada. O relatório de avaliação de riscos e tratamento de riscos pode ser redigido 
http://www.iso27001standard.com/�
http://blog.iso27001standard.com/2010/06/29/problems-with-defining-the-scope-in-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2010/05/26/information-security-policy-%E2%80%93-how-detailed-should-it-be/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 4 de 10 
após a avaliação de riscos e tratamento de riscos tiver sido executada e ele resume todos 
os resultados. 
Leia mais aqui: ISO 27001 avaliação e tratamento de riscos – 6 etapas básicas. 
Declaração de aplicabilidade 
A Declaração de Aplicabilidade (ou (SoA) é redigida com base nos resultados do tratamento 
do risco - este é um documento central dentro do SGSI porque ele descreve não apenas 
quais controles do Anexo A são aplicáveis, mas também como eles serão implementados e 
seu status atual. Você também pode considerar a Declaração de Aplicabilidade como um 
documento que descreve o perfil de segurança de sua empresa. 
Leia mais aqui: A importância da Declaração de Aplicabilidade para o ISO 27001. 
Plano de tratamento de riscos 
Este é basicamente um plano de ação sobre como implementar diversos controles definidos 
pela SoA - ele é desenvolvido com base na Declaração de Aplicabilidade e é ativamente 
usado e atualizado durante toda a implementação do SGSI. Algumas vezes ele pode ser 
mesclado com o plano do projeto. 
Leia mais aqui: Tratamento do risco e o processo de tratamento do risco – Qual é a 
diferença? 
Funções e responsabilidades de segurança 
O melhor método é o de descrever isso em todas as políticas e procedimentos o mais 
preciso possível. Evite expressões como “deveria ser feito” e em seu lugar use algo como 
“CISO irá executar xyz toda segunda-feira as xyx horas”. Algumas empresas preferem 
descrever suas funções e responsabilidade de segurança em suas descrições de funções, 
no entanto, isso pode levar a muita papelada. 
Funções e responsabilidades de segurança para terceiros são definidas em contratos. 
http://www.iso27001standard.com/�
http://blog.iso27001standard.com/2011/11/22/iso-27001-risk-assessment-treatment-%E2%80%93-6-basic-steps/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2011/04/18/the-importance-of-statement-of-applicability-for-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2012/10/09/risk-treatment-plan-and-risk-treatment-process-whats-the-difference/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2012/10/09/risk-treatment-plan-and-risk-treatment-process-whats-the-difference/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 5 de 10 
Inventário de ativos 
Caso você não tinha tal inventário das do projeto ISO 27001, a melhor forma decriar este 
documento é diretamente do resultado da avaliação de risco - durante a avaliação de risco 
todos os ativos e seus proprietários devem ser identificados de qualquer forma, portanto, 
basta copiar o resultados dali. 
Uso aceitável dos ativos 
Isso é normalmente redigido na forma de uma política, e tal documento pode cobrir uma 
ampla gama de tópicos já que a norma não define muito bem este controle. Provavelmente 
a melhor forma de abordar isso é a seguinte: (1) deixe isso para o fim de sua implementação 
do SGSI e, (2) todas as áreas e controles que você não cobriu com outros documentos e 
que são relativos a todos os funcionários, podem ser cobertas nesta política. 
Política de controle de acesso 
Neste documento, você pode cobrir somente o aspecto administrativo do acesso à 
determinadas informações e sistemas para aprovação ou também o aspecto técnico do 
controle de acesso. Mais ainda, você pode definir as regras somente para o acesso lógico 
ou também para o acesso físico. Você deve redigir este documento somente após terminar 
com sua avaliação de risco e o processo de tratamento do risco. 
Procedimentos operacionais para a gestão de TI 
Você pode redigir isso como um documento único ou como uma série de políticas e 
procedimentos - caso você tenha uma empresa de pequeno porte, terá a tendência de ter 
um número menor de documentos. Normalmente, você pode cobrir todas as áreas das 
seções A.12 e A.13 - gestão de mudanças, serviços de terceiros, backup, segurança da 
rede. código malicioso, descarte e destruição, transferência de informação, monitoramento 
de sistemas, etc. Você deve redigir este documento somente após terminar com sua 
avaliação de risco e o processo de tratamento do risco. 
http://www.iso27001standard.com/�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 6 de 10 
Leia mais sobre a gestão de TI aqui: Blog ITIL & ISO 20000. 
Princípios de engenharia de sistemas seguros 
Este é um novo controle no ISO 27001:2013 e requer que os princípios de engenharia 
segura sejam documentados na forma de um procedimento ou norma, e deve definir como 
incorporar as técnicas de segurança em todas as camadas da arquitetura - administrativa, 
dados, aplicativos e tecnologia, Estes podem incluir a validação dos dados de entrada, 
depuração, técnicas para autenticação, controles de sessão segura, etc. 
Política de segurança do fornecedor 
Este também é um novo controle no ISO 27001:2013 e tal política pode cobrir uma ampla 
gama de controles - como é feita a triagem de fornecedores potenciais, como a avaliação de 
risco de um fornecedor é feita, quais cláusulas de segurança devem ser incluídas no 
contrato, como supervisionar o atendimento de cláusulas contratuais de segurança, como 
alterar o contrato, como fechar o acesso após o término do contrato, etc. 
Procedimentos de gestão de incidentes 
Este é um procedimento importante que define como as vulnerabilidades, eventos e 
incidentes de segurança são reportadas, classificadas e tratadas. Este procedimento 
também define como aprender das informações de incidentes de segurança, para que 
possam ser prevenidos na próxima vez. Tal procedimento também pode chamar o plano de 
continuidade de negócios se um incidente causou um interrupção demorada. 
Procedimentos de continuidade de negócios 
Estes são normalmente planos de continuidade de negócios, planos de respostas a 
incidentes, planos de recuperação para o aspecto administrativo da empresa e planos de 
recuperação de desastre (planos de recuperação para a infraestrutura de TI). Estes são 
melhor descritos na norma ISO 22301, a norma líder internacional para a continuidade de 
negócios. 
http://www.iso27001standard.com/�
http://www.20000academy.com/Blog?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 7 de 10 
Para saber mais, clique aqui: Plano de continuidade de negócios: Como estruturá-lo de 
acordo com o ISO 22301. 
Requisitos legais, regulatórios e contratuais 
Esta lista deve ser feita nos estágios iniciais do projeto assim que for possível, porque 
muitos documentos têm de ser desenvolvidos de acordo com estas entradas. Esta lista deve 
incluir não somente as responsabilidades para estar em conformidade com determinados 
requisitos, mas também os prazos. 
Registros de treinamento, conhecimentos, experiência e qualificação 
Estes registros são normalmente mantidos pelo departamento de recursos humanos - caso 
você não tenha tal departamento, qualquer pessoa que normalmente mantém os registros 
de funcionários deveria fazer este trabalho, Basicamente, uma pasta com todos os 
documentos inseridos deve bastar. 
Resultados de monitoramento e medição 
A forma mais fácil de descrever como os controles devem ser medidos é através de políticas 
e procedimentos que definem cada controle - normalmente, esta descrição pode ser redigida 
no fim de cada documento, e tal descrição define os tipos de KPIs (principais indicadores de 
desempenho) que precisam ser mensurados para cada controle ou grupo de controles. 
Após este método de medição estiver em vigor, você deve executar a medição de acordo. É 
importante reportar estes resultados regularmente para as pessoas responsáveis por avaliar 
os mesmos. 
Leia mais aqui: Objetivos dos controles ISO 27001 – Por quê eles são tão importantes? 
Programa de auditoria interna 
O programa de auditoria interna nada mais é que um plano de 1 ano para executar as 
auditorias - para uma empresa de pequeno porte esta pode ser apenas uma auditoria, 
http://www.iso27001standard.com/�
http://blog.iso27001standard.com/2012/09/24/business-continuity-plan-how-to-structure-it-according-to-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2012/09/24/business-continuity-plan-how-to-structure-it-according-to-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2012/04/10/iso-27001-control-objectives-why-are-they-important/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 8 de 10 
enquanto que para empresas maiores pode ser uma série de, por exemplo, 20 auditoria 
internas. Este programa deve definir que irá executar as auditorias, métodos, critérios de 
auditoria, etc. 
Resultados de auditoria interna 
Um auditor interno precisa produzir o relatório de auditoria, que inclui os levantamentos da 
auditoria (observações e ações corretivas). Tal relatório deve ser produzido dentro de alguns 
dias após a execução da auditoria interna. Em alguns casos, o auditor interno terá que 
verificar se todas as ações corretivas foram executadas como esperado. 
Resultados da revisão de gestão 
Estes registros são normalmente na forma de atas de reunião - eles devem incluir todos os 
materiais que estavam envolvidos na reunião da direção, assim como todas as decisões que 
foram tomadas. A ata pode ser em papel ou formato digital. 
Resultados de ações corretivas 
Estes são tradicionalmente incluídos nos formulários de ação corretiva (CARs). No entanto, 
é muito melhor incluir tais registros em algum aplicativo que já que ele é usado em uma 
organização para o Help Desk - já que as ações corretivas são apenas listas de tarefas com 
responsabilidades, tarefas e prazos claramente definidas. 
Registros de atividades de usuário, exceções e eventos de segurança 
Estes são normalmente mantidos em dois formatos: (1) em formato digital, automaticamente 
ou semi-automaticamente produzidos como registros de diversos sistemas de TI e outros, e 
(2) em formato de papel, onde cada registro é redigido manualmente. 
Procedimento para controle de documento 
Este é normalmente um procedimentoindependente, com 2 ou 3 páginas, Caso você já 
tenha implementado alguma outra norma como o ISO 9001, ISO 14001, ISO 22301 ou 
http://www.iso27001standard.com/�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 9 de 10 
similar, poderá usar o mesmo procedimento para todos estes sistemas de gestão. Algumas 
vezes é melhor redigir este procedimento como o primeiro documento em um projeto. 
Leia mais aqui: Gestão de documentos no ISO 27001 e BS 25999-2. 
Controles para a gestão de registros 
A forma mais fácil é a de descrever o controle de registros em cada política ou procedimento 
(ou outro documento) que requer que um registro seja criado. Estes controles são 
normalmente redigidos no fim de cada documento, e são normalmente na forma de uma 
tabela que descreve onde o registro está arquivado, quem tem acesso, como está protegido, 
por quanto tempo fica arquivado, etc. 
Procedimento para auditoria interna 
Este é normalmente um procedimento independente que pode ter 2 a 3 páginas e deve ser 
redigido antes que a auditoria interna inicie. Da mesma forma que o do controle de 
documento, um procedimento para a auditoria interna pode ser usados para qualquer 
sistema de gestão. 
Leia mais aqui: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2. 
Procedimentos para ação corretiva 
Este procedimento não deve ter mais que 2 a 3 páginas e pode ser redigido no fim do 
projeto de implementação, embora seja melhor redigir o mesmo o mais cedo possível para 
que os funcionários se acostumem com o mesmo. 
Leia mais aqui: Procedimentos obrigatórios documentados exigidos pela norma ISO 27001. 
 
http://www.iso27001standard.com/�
http://blog.iso27001standard.com/2010/03/30/document-management-within-iso-27001-bs-25999-2/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2010/03/22/dilemmas-with-iso-27001-bs-25999-2-internal-auditors/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://blog.iso27001standard.com/2010/05/04/mandatory-documented-procedures-required-by-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
 
 
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 10 de 10 
4) Modelos de documentação de amostra 
Aqui você pode baixar uma visualização grátis do Kit de documentação do ISO 27001 e ISO 
22301 – nesta visualização grátis será possível ver o índice de cada política e procedimento 
mencionado, assim como algumas seções de cada documento. 
 
http://www.iso27001standard.com/�
http://www.iso27001standard.com/pt/produtos/Kit-de-ferramentas-da-documentacao-premium-da-ISO-27001-e-da-BS-25999?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
http://www.iso27001standard.com/pt/produtos/Kit-de-ferramentas-da-documentacao-premium-da-ISO-27001-e-da-BS-25999?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog�
	1) Quais documentos e registros são requeridos?
	2) Documentos não obrigatórios de uso comum
	3) Como estruturar os documentos e registros mais comuns
	Escopo do SGSI
	Política e objetivos de segurança da informação
	Metodologia e relatórios de avaliação de riscos e tratamento de riscos
	Declaração de aplicabilidade
	Plano de tratamento de riscos
	Funções e responsabilidades de segurança
	Inventário de ativos
	Uso aceitável dos ativos
	Política de controle de acesso
	Procedimentos operacionais para a gestão de TI
	Princípios de engenharia de sistemas seguros
	Política de segurança do fornecedor
	Procedimentos de gestão de incidentes
	Procedimentos de continuidade de negócios
	Requisitos legais, regulatórios e contratuais
	Registros de treinamento, conhecimentos, experiência e qualificação
	Resultados de monitoramento e medição
	Programa de auditoria interna
	Resultados de auditoria interna
	Resultados da revisão de gestão
	Resultados de ações corretivas
	Registros de atividades de usuário, exceções e eventos de segurança
	Procedimento para controle de documento
	Controles para a gestão de registros
	Procedimento para auditoria interna
	Procedimentos para ação corretiva
	4) Modelos de documentação de amostra