Prévia do material em texto
©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 1 de 10 Checklist da Documentação Obrigatória Requerida por ISO/IEC 27001 (Revisão 2013) 1) Quais documentos e registros são requeridos? A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27001 revisão 2013: Documentos* Número da cláusula ISO 27001:2013 Escopo do SGSI 4.3 Política e objetivos de segurança da informação 5.2, 6.2 Metodologia de avaliação de riscos e tratamento de riscos 6.1.2 Declaração de aplicabilidade 6.1.3 d) Plano de tratamento de riscos 6.1.3 e), 6.2 Relatório de avaliação de riscos 8.2 Definição da funções e responsabilidades de segurança A.7.1.2, A.13.2.4 Inventário de ativos A.8.1.1 Uso aceitável dos ativos A.8.1.3 Política de controle de acesso A.9.1.1 Procedimentos operacionais para a gestão de TI A.12.1.1 Princípios de engenharia de sistemas seguros A.14.2.5 Política de segurança do fornecedor A.15.1.1 Procedimentos de gestão de incidentes A.16.1.5 Procedimentos de continuidade de negócios A.17.1.2 Requisitos legais, regulatórios e contratuais A.18.1.1 Registros* Número da cláusula ISO 27001:2013 Registros de treinamento, conhecimentos, experiência e qualificação 7.2 http://www.iso27001standard.com/� http://www.iso27001standard.com/pt/o-que-e-a-iso-27001?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=about-iso27001� http://www.iso27001standard.com/pt/o-que-e-a-iso-27001?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=about-iso27001� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 2 de 10 Resultados de monitoramento e medição 9.1 Programa de auditoria interna 9.2 Resultados de auditoria interna 9.2 Resultados da revisão de gestão 9.3 Resultados de ações corretivas 10.1 Registros de atividades de usuário, exceções e eventos de segurança A.12.4.1, A.12.4.3 *Os Controles do Anexo A podem ser excluídos se uma organização concluir que não há riscos e outros requisitos que iriem demandar a implementação de um controle. Isso não significa que uma lista definitiva de documentos e registros pode ser usada durante a implementação do ISO 27001 – a norma permite que quaisquer outros documentos sejam adicionados para aprimorar o nível de segurança da informação. 2) Documentos não obrigatórios de uso comum Outros documentos que são usados com frequência são os seguintes: Documentos Número da cláusula ISO 27001:2013 Procedimento para controle de documento 7.5 Controles para a gestão de registros 7.5 Procedimento para auditoria interna 9.2 Procedimento para ação corretiva 10.1 Traga sua própria política de dispositivo (BYOD) A.6.2.1 Política de dispositivo móvel e teletrabalho A.6.2.1 Política de classificação da informação A.8.2.1, A.8.2.2, A.8.2.3 Política de senhas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 Política de descarte e destruição A.8.3.2, A.11.2.7 Procedimentos para trabalho em áreas seguras A.11.1.5 Política de mesa limpa e tela limpa A.11.2.9 http://www.iso27001standard.com/� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 3 de 10 Política de gestão de mudanças A.12.1.2, A.14.2.4 Política de backup A.12.3.1 Política de transferência de informação A.13.2.1, A.13.2.2, A.13.2.3 Análise de impacto nos negócios A.17.1.1 Plano de exercícios e testes A.17.1.3 Plano de revisão e manutenção A.17.1.3 Estratégia de continuidade de negócios A.17.2.1 3) Como estruturar os documentos e registros mais comuns Escopo do SGSI Normalmente, este documento é bem curto e redigido no início da implementação do ISO 27001. Normalmente, é um documento independente, embora possa ser mesclado em um política de segurança da informação. Leia mais aqui: Problemas ao definir o escopo no ISO 27001. Política e objetivos de segurança da informação A política de segurança da informação é normalmente um documento curto e de alto nível que descreve o propósito principal do SGSI. Os objetivos para o SGSI são normalmente um documento independente, mas pode ser mesclado na política de segurança da informação. Diferente do ISO 27001 Revisão 2005, não há mais a necessidade por uma política de SGSI e um política de segurança da informação - somente uma política de segurança da informação é necessária. Leia mais aqui: Política de segurança da informação: o quão detalhada deve ser? Metodologia e relatórios de avaliação de riscos e tratamento de riscos A metodologia de avaliação de riscos e tratamento de riscos é normalmente um documento de 4 a 5 páginas e deve ser redigido antes que a avaliação de riscos e tratamento de riscos seja executada. O relatório de avaliação de riscos e tratamento de riscos pode ser redigido http://www.iso27001standard.com/� http://blog.iso27001standard.com/2010/06/29/problems-with-defining-the-scope-in-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2010/05/26/information-security-policy-%E2%80%93-how-detailed-should-it-be/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 4 de 10 após a avaliação de riscos e tratamento de riscos tiver sido executada e ele resume todos os resultados. Leia mais aqui: ISO 27001 avaliação e tratamento de riscos – 6 etapas básicas. Declaração de aplicabilidade A Declaração de Aplicabilidade (ou (SoA) é redigida com base nos resultados do tratamento do risco - este é um documento central dentro do SGSI porque ele descreve não apenas quais controles do Anexo A são aplicáveis, mas também como eles serão implementados e seu status atual. Você também pode considerar a Declaração de Aplicabilidade como um documento que descreve o perfil de segurança de sua empresa. Leia mais aqui: A importância da Declaração de Aplicabilidade para o ISO 27001. Plano de tratamento de riscos Este é basicamente um plano de ação sobre como implementar diversos controles definidos pela SoA - ele é desenvolvido com base na Declaração de Aplicabilidade e é ativamente usado e atualizado durante toda a implementação do SGSI. Algumas vezes ele pode ser mesclado com o plano do projeto. Leia mais aqui: Tratamento do risco e o processo de tratamento do risco – Qual é a diferença? Funções e responsabilidades de segurança O melhor método é o de descrever isso em todas as políticas e procedimentos o mais preciso possível. Evite expressões como “deveria ser feito” e em seu lugar use algo como “CISO irá executar xyz toda segunda-feira as xyx horas”. Algumas empresas preferem descrever suas funções e responsabilidade de segurança em suas descrições de funções, no entanto, isso pode levar a muita papelada. Funções e responsabilidades de segurança para terceiros são definidas em contratos. http://www.iso27001standard.com/� http://blog.iso27001standard.com/2011/11/22/iso-27001-risk-assessment-treatment-%E2%80%93-6-basic-steps/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2011/04/18/the-importance-of-statement-of-applicability-for-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2012/10/09/risk-treatment-plan-and-risk-treatment-process-whats-the-difference/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2012/10/09/risk-treatment-plan-and-risk-treatment-process-whats-the-difference/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 5 de 10 Inventário de ativos Caso você não tinha tal inventário das do projeto ISO 27001, a melhor forma decriar este documento é diretamente do resultado da avaliação de risco - durante a avaliação de risco todos os ativos e seus proprietários devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali. Uso aceitável dos ativos Isso é normalmente redigido na forma de uma política, e tal documento pode cobrir uma ampla gama de tópicos já que a norma não define muito bem este controle. Provavelmente a melhor forma de abordar isso é a seguinte: (1) deixe isso para o fim de sua implementação do SGSI e, (2) todas as áreas e controles que você não cobriu com outros documentos e que são relativos a todos os funcionários, podem ser cobertas nesta política. Política de controle de acesso Neste documento, você pode cobrir somente o aspecto administrativo do acesso à determinadas informações e sistemas para aprovação ou também o aspecto técnico do controle de acesso. Mais ainda, você pode definir as regras somente para o acesso lógico ou também para o acesso físico. Você deve redigir este documento somente após terminar com sua avaliação de risco e o processo de tratamento do risco. Procedimentos operacionais para a gestão de TI Você pode redigir isso como um documento único ou como uma série de políticas e procedimentos - caso você tenha uma empresa de pequeno porte, terá a tendência de ter um número menor de documentos. Normalmente, você pode cobrir todas as áreas das seções A.12 e A.13 - gestão de mudanças, serviços de terceiros, backup, segurança da rede. código malicioso, descarte e destruição, transferência de informação, monitoramento de sistemas, etc. Você deve redigir este documento somente após terminar com sua avaliação de risco e o processo de tratamento do risco. http://www.iso27001standard.com/� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 6 de 10 Leia mais sobre a gestão de TI aqui: Blog ITIL & ISO 20000. Princípios de engenharia de sistemas seguros Este é um novo controle no ISO 27001:2013 e requer que os princípios de engenharia segura sejam documentados na forma de um procedimento ou norma, e deve definir como incorporar as técnicas de segurança em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem incluir a validação dos dados de entrada, depuração, técnicas para autenticação, controles de sessão segura, etc. Política de segurança do fornecedor Este também é um novo controle no ISO 27001:2013 e tal política pode cobrir uma ampla gama de controles - como é feita a triagem de fornecedores potenciais, como a avaliação de risco de um fornecedor é feita, quais cláusulas de segurança devem ser incluídas no contrato, como supervisionar o atendimento de cláusulas contratuais de segurança, como alterar o contrato, como fechar o acesso após o término do contrato, etc. Procedimentos de gestão de incidentes Este é um procedimento importante que define como as vulnerabilidades, eventos e incidentes de segurança são reportadas, classificadas e tratadas. Este procedimento também define como aprender das informações de incidentes de segurança, para que possam ser prevenidos na próxima vez. Tal procedimento também pode chamar o plano de continuidade de negócios se um incidente causou um interrupção demorada. Procedimentos de continuidade de negócios Estes são normalmente planos de continuidade de negócios, planos de respostas a incidentes, planos de recuperação para o aspecto administrativo da empresa e planos de recuperação de desastre (planos de recuperação para a infraestrutura de TI). Estes são melhor descritos na norma ISO 22301, a norma líder internacional para a continuidade de negócios. http://www.iso27001standard.com/� http://www.20000academy.com/Blog?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 7 de 10 Para saber mais, clique aqui: Plano de continuidade de negócios: Como estruturá-lo de acordo com o ISO 22301. Requisitos legais, regulatórios e contratuais Esta lista deve ser feita nos estágios iniciais do projeto assim que for possível, porque muitos documentos têm de ser desenvolvidos de acordo com estas entradas. Esta lista deve incluir não somente as responsabilidades para estar em conformidade com determinados requisitos, mas também os prazos. Registros de treinamento, conhecimentos, experiência e qualificação Estes registros são normalmente mantidos pelo departamento de recursos humanos - caso você não tenha tal departamento, qualquer pessoa que normalmente mantém os registros de funcionários deveria fazer este trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar. Resultados de monitoramento e medição A forma mais fácil de descrever como os controles devem ser medidos é através de políticas e procedimentos que definem cada controle - normalmente, esta descrição pode ser redigida no fim de cada documento, e tal descrição define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para cada controle ou grupo de controles. Após este método de medição estiver em vigor, você deve executar a medição de acordo. É importante reportar estes resultados regularmente para as pessoas responsáveis por avaliar os mesmos. Leia mais aqui: Objetivos dos controles ISO 27001 – Por quê eles são tão importantes? Programa de auditoria interna O programa de auditoria interna nada mais é que um plano de 1 ano para executar as auditorias - para uma empresa de pequeno porte esta pode ser apenas uma auditoria, http://www.iso27001standard.com/� http://blog.iso27001standard.com/2012/09/24/business-continuity-plan-how-to-structure-it-according-to-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2012/09/24/business-continuity-plan-how-to-structure-it-according-to-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2012/04/10/iso-27001-control-objectives-why-are-they-important/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 8 de 10 enquanto que para empresas maiores pode ser uma série de, por exemplo, 20 auditoria internas. Este programa deve definir que irá executar as auditorias, métodos, critérios de auditoria, etc. Resultados de auditoria interna Um auditor interno precisa produzir o relatório de auditoria, que inclui os levantamentos da auditoria (observações e ações corretivas). Tal relatório deve ser produzido dentro de alguns dias após a execução da auditoria interna. Em alguns casos, o auditor interno terá que verificar se todas as ações corretivas foram executadas como esperado. Resultados da revisão de gestão Estes registros são normalmente na forma de atas de reunião - eles devem incluir todos os materiais que estavam envolvidos na reunião da direção, assim como todas as decisões que foram tomadas. A ata pode ser em papel ou formato digital. Resultados de ações corretivas Estes são tradicionalmente incluídos nos formulários de ação corretiva (CARs). No entanto, é muito melhor incluir tais registros em algum aplicativo que já que ele é usado em uma organização para o Help Desk - já que as ações corretivas são apenas listas de tarefas com responsabilidades, tarefas e prazos claramente definidas. Registros de atividades de usuário, exceções e eventos de segurança Estes são normalmente mantidos em dois formatos: (1) em formato digital, automaticamente ou semi-automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel, onde cada registro é redigido manualmente. Procedimento para controle de documento Este é normalmente um procedimentoindependente, com 2 ou 3 páginas, Caso você já tenha implementado alguma outra norma como o ISO 9001, ISO 14001, ISO 22301 ou http://www.iso27001standard.com/� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 9 de 10 similar, poderá usar o mesmo procedimento para todos estes sistemas de gestão. Algumas vezes é melhor redigir este procedimento como o primeiro documento em um projeto. Leia mais aqui: Gestão de documentos no ISO 27001 e BS 25999-2. Controles para a gestão de registros A forma mais fácil é a de descrever o controle de registros em cada política ou procedimento (ou outro documento) que requer que um registro seja criado. Estes controles são normalmente redigidos no fim de cada documento, e são normalmente na forma de uma tabela que descreve onde o registro está arquivado, quem tem acesso, como está protegido, por quanto tempo fica arquivado, etc. Procedimento para auditoria interna Este é normalmente um procedimento independente que pode ter 2 a 3 páginas e deve ser redigido antes que a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a auditoria interna pode ser usados para qualquer sistema de gestão. Leia mais aqui: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2. Procedimentos para ação corretiva Este procedimento não deve ter mais que 2 a 3 páginas e pode ser redigido no fim do projeto de implementação, embora seja melhor redigir o mesmo o mais cedo possível para que os funcionários se acostumem com o mesmo. Leia mais aqui: Procedimentos obrigatórios documentados exigidos pela norma ISO 27001. http://www.iso27001standard.com/� http://blog.iso27001standard.com/2010/03/30/document-management-within-iso-27001-bs-25999-2/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2010/03/22/dilemmas-with-iso-27001-bs-25999-2-internal-auditors/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://blog.iso27001standard.com/2010/05/04/mandatory-documented-procedures-required-by-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� ©2013 Information Security & Business Continuity Academy www.iso27001standard.com Página 10 de 10 4) Modelos de documentação de amostra Aqui você pode baixar uma visualização grátis do Kit de documentação do ISO 27001 e ISO 22301 – nesta visualização grátis será possível ver o índice de cada política e procedimento mencionado, assim como algumas seções de cada documento. http://www.iso27001standard.com/� http://www.iso27001standard.com/pt/produtos/Kit-de-ferramentas-da-documentacao-premium-da-ISO-27001-e-da-BS-25999?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� http://www.iso27001standard.com/pt/produtos/Kit-de-ferramentas-da-documentacao-premium-da-ISO-27001-e-da-BS-25999?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog� 1) Quais documentos e registros são requeridos? 2) Documentos não obrigatórios de uso comum 3) Como estruturar os documentos e registros mais comuns Escopo do SGSI Política e objetivos de segurança da informação Metodologia e relatórios de avaliação de riscos e tratamento de riscos Declaração de aplicabilidade Plano de tratamento de riscos Funções e responsabilidades de segurança Inventário de ativos Uso aceitável dos ativos Política de controle de acesso Procedimentos operacionais para a gestão de TI Princípios de engenharia de sistemas seguros Política de segurança do fornecedor Procedimentos de gestão de incidentes Procedimentos de continuidade de negócios Requisitos legais, regulatórios e contratuais Registros de treinamento, conhecimentos, experiência e qualificação Resultados de monitoramento e medição Programa de auditoria interna Resultados de auditoria interna Resultados da revisão de gestão Resultados de ações corretivas Registros de atividades de usuário, exceções e eventos de segurança Procedimento para controle de documento Controles para a gestão de registros Procedimento para auditoria interna Procedimentos para ação corretiva 4) Modelos de documentação de amostra