463382445-Checklist-of-ISO-27001-Mandatory-Documentation-PT-pdf

Prévia do material em texto

Artigo: Checklist da Documentação Obrigatória 
Requerida por ISO/IEC 27001 (Revisão 2013) 
Copyright ©2014 27001Academy. Todos direitos reservados. 
 
ARTIGO 
2 de setembro de 2014 
 
http://www.iso27001standard.com/
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 2 
 
 
 
 
 
1. Quais documentos e registros são requeridos? 
 
A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27 001 revisão 
2013: 
 
Documentos* Número da cláusula ISO 
27001:2013 
Escopo do SGSI 4.3 
Política e objetivos de segurança da informação 5.2, 6.2 
Metodologia de avaliação de riscos e tratamento de riscos 6.1 .2 
Declaração de aplicabilidade 6.1 .3 d) 
Plano de tratamento de riscos 6.1 .3 e), 6.2 
Relatório de avaliação de riscos e de tratamento dos riscos 8.2, 8.3 
Definição da funções e responsabilidades de segurança A.7 .1.2, A.13.2.4 
Inventário de ativos A.8.1 .1 
Uso aceitável dos ativos A.8.1 .3 
Política de controle de acesso A.9.1.1 
Procedimentos operacionais para a gestão de TI A.12.1.1 
Princípios de engenharia de sistemas seguros A.14.2.5 
Política de segurança do fornecedor A.15.1.1 
Procedimentos de gestão de incidentes A.16.1.5 
Procedimentos de continuidade de negócios A.17 .1.2 
Requisitos legais, regulatórios e contratuais A.18.1.1 
 
http://www.iso27001standard.com/
http://www.iso27001standard.com/pt-br/o-que-e-a-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=about-iso27001
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 3 
 
 
Registros* Número da cláusula ISO 
27001:2013 
Registros de treinamento, conhecimentos, experiência e qualificação 7 .2 
Resultados de monitoramento e medição 9.1 
Programa de auditoria interna 9.2 
Resultados de auditoria interna 9.2 
Resultados da revisão de gestão 9.3 
Resultados de ações corretivas 10.1 
Registros de ativ idades de usuário, exceções e eventos de segurança A.12.4.1, A.12.4.3 
 
2. Documentos não obrigatórios de uso comum 
 
Outros documentos que são usados com frequência são os seguintes: 
Documentos Número da cláusula ISO 27001:2013 
Procedimento para controle de documento 7 .5 
Controles para a gestão de registros 7 .5 
Procedimento para auditoria interna 9.2 
Procedimento para ação corretiva 10.1 
Traga sua própria política de dispositivo (BY OD) A.6.2.1 
Política de dispositivo móvel e teletrabalho A.6.2.1 
Política de classificação da informação A.8.2.1, A.8.2.2, A.8.2.3 
Política de senhas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 
Política de descarte e destruição A.8.3.2, A.11.2.7 
Procedimentos para trabalho em áreas seguras A.11.1.5 
Política de mesa limpa e tela limpa A.11.2.9 
Política de gestão de mudanças A.12.1.2, A.14.2.4 
Política de backup A.12.3.1 
Política de transferência de informação A.13.2.1, A.13.2.2, A.13.2.3 
http://www.iso27001standard.com/
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 4 
Análise de impacto nos negócios A.17 .1.1 
Plano de exercícios e testes A.17 .1.3 
Plano de rev isão e manutenção A.17 .1.3 
Estratégia de continuidade de negócios A.17 .2.1 
 
3. Como estruturar os documentos e registros 
mais comuns 
 
Escopo do SGSI 
Normalmente, este documento é bem curto e redigido no início da implementação do ISO 27 001. 
Normalmente, é um documento independente, embora possa ser mesclado em um política de segurança da 
informação. 
Leia mais aqui: Problemas com a definição do escopo da norma ISO 27 001. 
Política e objetivos de segurança da informação 
A política de segurança da informação é normalmente um documento curto e de alto nível que descreve o 
propósito principal do SGSI. Os objetivos para o SGSI são normalmente um documento independente, mas 
pode ser mesclado na política de segurança da informação. Diferente do ISO 27 001 Revisão 2005, não há 
mais a necessidade por uma política de SGSI e um política de segurança da informação - somente uma 
política de segurança da informação é necessária. 
Leia mais aqui: Política de segurança da informação: o quão detalhada deve ser? 
Metodologia e relatórios de avaliação de riscos e tratamento de riscos 
A metodologia de avaliação de riscos e tratamento de riscos é normalmente um documento de 4 a 5 páginas e 
deve ser redigido antes que a avaliação de riscos e tratamento de riscos seja executada. O relatório de 
avaliação de riscos e tratamento de riscos pode ser redigido após a avaliação de riscos e tratamento de riscos 
tiver sido executada e ele resume todos os resultados. 
Leia mais aqui: ISO 27 001 avaliação e tratamento de riscos – 6 etapas básicas. 
Declaração de aplicabilidade 
A Declaração de Aplicabilidade (ou (SoA) é redigida com base nos resultados do tratamento do risco - este é 
um documento central dentro do SGSI porque ele descreve não apenas quais controles do Anexo A são 
aplicáveis, mas também como eles serão implementados e seu status atual. Você também pode considerar a 
Declaração de Aplicabilidade como um documento que descreve o perfil de segurança de sua empresa. 
Leia mais aqui: A importância da Declaração de Aplicabilidade para o ISO 27 001 . 
http://www.iso27001standard.com/
http://www.iso27001standard.com/pt-br/blog/2010/12/21/problemas-com-a-definicao-do-escopo-da-norma-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2010/12/18/politica-de-seguranca-da-informacao-o-quao-detalhada-deve-ser/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://blog.iso27001standard.com/2011/11/22/iso-27001-risk-assessment-treatment-6-basic-steps/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2011/04/18/a-importancia-da-declaracao-de-aplicabilidade-da-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 5 
 
Plano de tratamento de riscos 
Este é basicamente um plano de ação sobre como implementar diversos controles definidos pela SoA - ele é 
desenvolvido com base na Declaração de Aplicabilidade e é ativamente usado e atualizado durante toda a 
implementação do SGSI. Algumas vezes ele pode ser mesclado com o plano do projeto. 
Leia mais aqui: Tratamento do risco e o processo de tratamento do risco – Qual é a diferença? 
Funções e responsabilidades de segurança 
O melhor método é o de descrever isso em todas as políticas e procedimentos o mais preciso possível. Ev ite 
expressões como “deveria ser feito” e em seu lugar use algo como “CISO irá executar xyz toda segunda -feira 
as xy x horas”. Algumas empresas preferem descrever suas funções e responsabilidade de segurança em suas 
descrições de funções, no entanto, isso pode levar a muita papelada. 
Funções e responsabilidades de segurança para terceiros são definidas em contrat os. 
Leia mais aqui: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer 
– CISO) na ISO 27 001? 
Inventário de ativos 
Caso você não tinha tal inventário das do projeto ISO 27 001, a melhor forma de criar este documento é 
diretamente do resultado da avaliação de risco - durante a avaliação de risco todos os ativos e seus 
proprietários devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali. 
Leia mais aqui: Como lidar com o registro de ativos (inventário de ativos) de acordo com a ISO 27 001. 
Uso aceitável dos ativos 
Isso é normalmente redigido na forma de uma política, e tal documento pode cobrir uma ampla gama de 
tópicos já que a norma não define muito bem este controle.Provavelmente a melhor forma de abordar isso é 
a seguinte: (1) deixe isso para o fim de sua implementação do SGSI e, (2) todas as áreas e controles que você 
não cobriu com outros documentos e que são relativos a todos os funcionários, podem ser cobertas nesta 
política. 
Política de controle de acesso 
Neste documento, você pode cobrir somente o aspecto administrativo do acesso à determinadas informações 
e sistemas para aprovação ou também o aspecto técnico do controle de acesso. Mais ainda, você pode definir 
as regras somente para o acesso lógico ou também para o acesso físico. Você deve redigir este documento 
somente após terminar com sua avaliação de risco e o processo de tratamento do risco. 
Procedimentos operacionais para a gestão de TI 
Você pode redigir isso como um documento único ou como uma série de políticas e procedimentos - caso 
você tenha uma empresa de pequeno porte, terá a tendência de ter um número menor de documentos. 
Normalmente, você pode cobrir todas as áreas das seções A.12 e A.13 - gestão de mudanças, serviços de 
terceiros, backup, segurança da rede. código malicioso, descarte e destruição, transferência de informação, 
monitoramento de sistemas, etc. Você deve redigir este documento somente após terminar com sua avaliação 
de risco e o processo de tratamento do risco. 
Leia mais sobre a gestão de TI aqui: Blog ITIL & ISO 20000. 
http://www.iso27001standard.com/
http://blog.iso27001standard.com/2012/10/09/risk-treatment-plan-and-risk-treatment-process-whats-the-difference/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2014/06/25/qual-e-o-trabalho-do-diretor-de-seguranca-da-informacao-chief-information-security-officer-ciso-na-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2014/06/25/qual-e-o-trabalho-do-diretor-de-seguranca-da-informacao-chief-information-security-officer-ciso-na-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2014/05/28/como-lidar-com-o-registro-de-ativos-inventario-de-ativos-de-acordo-com-a-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.20000academy.com/Blog?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 6 
Princípios de engenharia de sistemas seguros 
Este é um novo controle no ISO 27 001:2013 e requer que os princípios de engenharia segura sejam 
documentados na forma de um procedimento ou norma, e deve definir como incorporar as técnicas de 
segurança em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem 
incluir a validação dos dados de entrada, depuração, técnicas para autenticação, controles de sessão segura, 
etc. 
Política de segurança do fornecedor 
Este também é um novo controle no ISO 27 001:2013 e tal política pode cobrir uma ampla gama de controles 
- como é feita a triagem de fornecedores potenciais, como a avaliação de risco de um fornecedor é feita, quais 
cláusulas de segurança devem ser incluídas no contrato, como supervisionar o atendimento de cláusulas 
contratuais de segurança, como alterar o contrato, como fechar o acesso após o término do contrato, etc. 
Leia mais aqui: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27 001 . 
Procedimentos de gestão de incidentes 
Este é um procedimento importante que define como as vulnerabilidades, eventos e incidentes de segurança 
são reportadas, classificadas e tratadas. Este procedimento também define como aprender das informações 
de incidentes de segurança, para que possam ser prevenidos na próxima vez. Tal procedimento também pode 
chamar o plano de continuidade de negócios se um incidente causou um interrupção demorada. 
Procedimentos de continuidade de negócios 
Estes são normalmente planos de continuidade de negócios, planos de respostas a incidentes, planos de 
recuperação para o aspecto administrativo da empresa e planos de recuperação de desastre (planos de 
recuperação para a infraestrutura de TI). Estes são melhor descritos na norma ISO 22301, a norma líder 
internacional para a continuidade de negócios. 
Para saber mais, clique aqui: Plano de continuidade de negócios: Como estruturá-lo de acordo com o ISO 
22301. 
Requisitos legais, regulatórios e contratuais 
Esta lista deve ser feita nos estágios iniciais do projeto assim que for possível, porque muitos documentos 
têm de ser desenvolvidos de acordo com estas entradas. Esta lista deve incluir não somente as 
responsabilidades para estar em conformidade com determinados requisitos, mas também os prazos. 
Registros de treinamento, conhecimentos, experiência e qualificação 
Estes registros são normalmente mantidos pelo departamento de recursos humanos - caso você não tenha tal 
departamento, qualquer pessoa que normalmente mantém os registros de funcionários deveria fazer este 
trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar. 
Leia mais aqui: Como realizar treinamento e conscientização para a ISO 27 001 e ISO 22301. 
Resultados de monitoramento e medição 
A forma mais fácil de descrever como os controles devem ser medidos é através de políticas e procedimentos 
que definem cada controle - normalmente, esta descrição pode ser redigida no fim de cada documento, e tal 
descrição define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para 
cada controle ou grupo de controles. 
http://www.iso27001standard.com/
http://www.iso27001standard.com/pt-br/blog/2014/07/03/processo-em-6-etapas-para-tratar-a-seguranca-em-fornecedores-de-acordo-com-a-iso-27001/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://blog.iso27001standard.com/2012/09/24/business-continuity-plan-how-to-structure-it-according-to-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://blog.iso27001standard.com/2012/09/24/business-continuity-plan-how-to-structure-it-according-to-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2014/05/20/como-realizar-treinamento-e-conscientizacao-para-a-iso-27001-e-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 7 
 
Após este método de medição estiver em v igor, você deve executar a medição de acordo. É importante 
reportar estes resultados regularmente para as pessoas responsáveis por avaliar os mesmos. 
Leia mais aqui: Objetivos dos controles ISO 27 001 – Por quê eles são tão importantes? 
Programa de auditoria interna 
O programa de auditoria interna nada mais é que um plano de 1 ano para executar as auditorias - para uma 
empresa de pequeno porte esta pode ser apenas uma auditoria, enquanto que para empresas maiores pode 
ser uma série de, por exemplo, 20 auditoria internas. Este programa deve definir que irá executar as 
auditorias, métodos, critérios de auditoria, etc. 
Leia mais aqui: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27 001 / ISO 22301 . 
Resultados de auditoria interna 
Um auditor interno precisa produzir o relatório de auditoria, que inclui os levantamentos da auditoria 
(observações e ações corretivas). Tal relatório deve ser produzido dentro de alguns dias após a execução da 
auditoria interna. Em alguns casos, o auditor interno terá que verificar se todas as ações corretivas foram 
executadas como esperado. 
Resultados da revisão de gestão 
Estes registros são normalmente na forma de atas de reunião - eles devem incluir todos os materiais queestavam envolvidos na reunião da direção, assim como todas as decisões que foram tomadas. A ata pode ser 
em papel ou formato digital. 
Leia mais aqui: Por que a análise crítica pela direção é importante para a ISO 27 001 e ISO 22301? 
Resultados de ações corretivas 
Estes são tradicionalmente incluídos nos formulários de ação corretiva (CARs). No entanto, é muito melhor 
incluir tais registros em algum aplicativo que já que ele é usado em uma o rganização para o Help Desk - já 
que as ações corretivas são apenas listas de tarefas com responsabilidades, tarefas e prazos claramente 
definidas. 
Leia mais aqui: Uso prático das ações corretivas para a ISO 27 001 e ISO 22301. 
Registros de atividades de usuário, exceções e eventos de segurança 
Estes são normalmente mantidos em dois formatos: (1) em formato digital, automaticamente ou semi-
automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel, 
onde cada registro é redigido manualmente. 
Procedimento para controle de documento 
Este é normalmente um procedimento independente, com 2 ou 3 páginas, Caso você já tenha implementado 
alguma outra norma como o ISO 9001, ISO 14001, ISO 22301 ou similar, poderá usar o mesmo 
procedimento para todos estes sistemas de gestão. Algumas vezes é melhor redigir este procedimento como o 
primeiro documento em um projeto. 
Leia mais aqui: Gestão de documentos dentro da ISO 27 001 e BS 25999 -2. 
http://www.iso27001standard.com/
http://blog.iso27001standard.com/2012/04/10/iso-27001-control-objectives-why-are-they-important/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2013/11/26/como-fazer-uma-lista-de-verificacao-para-auditoria-interna-da-iso-27001-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2014/03/04/por-que-a-analise-critica-pela-direcao-e-importante-para-a-iso-27001-e-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2013/12/11/uso-pratico-das-acoes-corretivas-para-a-iso-27001-e-iso-22301/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/blog/2010/12/17/gestao-de-documentos-dentro-da-iso-27001-e-bs-25999-2/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 8 
Controles para a gestão de registros 
A forma mais fácil é a de descrever o controle de registros em cada política ou procedimento (ou outro 
documento) que requer que um registro seja criado. Estes controles são normalmente redigidos no fim de 
cada documento, e são normalmente na forma de uma tabela que descreve onde o registro está arquivado, 
quem tem acesso, como está protegido, por quanto tempo fica arquivado, etc. 
Procedimento para auditoria interna 
Este é normalmente um procedimento independente que pode ter 2 a 3 páginas e deve ser redigido antes que 
a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a 
auditoria interna pode ser usados para qualquer sistema de gestão. 
Leia mais aqui: Dilemas com os auditores internos das normas ISO 27 001 e BS 25999 -2. 
Procedimentos para ação corretiva 
Este procedimento não deve ter mais que 2 a 3 páginas e pode ser redigido no fim do projeto de 
implementação, embora seja melhor redigir o mesmo o mais cedo possível para que os funcionários se 
acostumem com o mesmo. 
 
4. COMO FERRAMENTAS ONLINE PODEM 
AJUDAR COM A ISO 27001 E ISO 22301 
 
 
Aqui você pode baixar uma v isualização grátis do Kit de documentação do ISO 27 001 e ISO 22301 – nesta 
v isualização grátis será possível ver o índice de cada política e procedimento mencionado, assim como 
algumas seções de cada documento. 
http://www.iso27001standard.com/
http://www.iso27001standard.com/pt-br/blog/2010/12/16/dilemas-com-os-auditores-internos-das-normas-iso-27001-e-bs-25999-2/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
http://www.iso27001standard.com/pt-br/kit-de-ferramentas-da-documentacao-premium-da-iso-27001-e-da-bs-25999/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog
 
 
Copyright ©2014 27001Academy. Todos direitos reservados. 9 
 
 
EPPS Serv ices Ltd. 
 para negócios eletrônicos e consultoria de negócio 
UI. Vladimira Nazora 59, 10000 Zagreb 
Croácia, União Européia 
 
Email: support@iso27001standard.com 
Fone: +385 1 48 34 120 
Fone (para cliente nos E.U.A.): +1 (646) 797 2744 
Fax: +385 1 556 0711 
http://www.iso27001standard.com/
	1. Quais documentos e registros são requeridos?
	A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27001 revisão 2013:
	2. Documentos não obrigatórios de uso comum
	3. Como estruturar os documentos e registros mais comuns
	Escopo do SGSI
	Política e objetivos de segurança da informação
	Metodologia e relatórios de avaliação de riscos e tratamento de riscos
	Declaração de aplicabilidade
	Plano de tratamento de riscos
	Funções e responsabilidades de segurança
	Inventário de ativos
	Uso aceitável dos ativos
	Política de controle de acesso
	Procedimentos operacionais para a gestão de TI
	Princípios de engenharia de sistemas seguros
	Política de segurança do fornecedor
	Procedimentos de gestão de incidentes
	Procedimentos de continuidade de negócios
	Requisitos legais, regulatórios e contratuais
	Registros de treinamento, conhecimentos, experiência e qualificação
	Resultados de monitoramento e medição
	Programa de auditoria interna
	Resultados de auditoria interna
	Resultados da revisão de gestão
	Resultados de ações corretivas
	Registros de atividades de usuário, exceções e eventos de segurança
	Procedimento para controle de documento
	Controles para a gestão de registros
	Procedimento para auditoria interna
	Procedimentos para ação corretiva
	4. COMO FERRAMENTAS ONLINE PODEM AJUDAR COM A ISO 27001 E ISO 22301