Mandatory procedures

No mundo ISO, os requisitos / documentos obrigatórios estão relacionados às palavras “deve” ou “deverá”, enquanto os requisitos / documentos não obrigatórios estão relacionados às palavras “pode” ou “deveria”. Os documentos e registros obrigatórios para cumprir as cláusulas das seções principais da norma (seções 4 a 10) são:

• Escopo do SGSI (cláusula 4.3)
• Política e objetivos de segurança da informação (cláusulas 5.2 e 6.2)
• Avaliação de risco e metodologia de tratamento de risco (cláusula 6.1.2)
• Declaração de aplicabilidade (cláusula 6.1.3 d)
• Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
• Relatório de avaliação de risco (cláusula 8.2)
• Registros de treinamento, habilidades, experiência e qualificações (cláusula 7.2)
• Resultados de monitoramento e medição (cláusula 9.1)
• Programa de auditoria interna (cláusula 9.2)
• Resultados das auditorias internas (cláusula 9.2)
• Resultados da análise crítica da gestão (cláusula 9.3)
• Resultados das ações corretivas (cláusula 10.1)

Outra situação é que alguns documentos são necessários para cumprir controles que são obrigatórios se pelo menos uma dessas situações acontecer:

• Existem riscos inaceitáveis que justificam a aplicação do controle
• Existem requisitos legais (por exemplo, leis ou cláusulas contratuais) aos quais a organização deve cumprir que demandam a aplicação do controle
• Existe uma decisão da alta administração para implementar o controle, considerando-o como uma boa prática.

Se nenhuma das condições acima acontecer, não há necessidade de implementar um documento relacionado a esse controle.

Além dos documentos para cumprimento das cláusulas das seções principais, sem uma avaliação detalhada de uma organização, não é possível definir quantos documentos uma organização teria e quais seriam um exagero.

Estes artigos fornecerão mais explicações sobre os documentos ISO 27001 e seleção de controles:

• Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013) https://advisera.com/27001academy/pt-br/knowledgebase/lista-de-documentos-obrigatorios-requeridos-pela-iso-27001-revisao-de-2013/
• A lógica básica da ISO 27001: Como a segurança da informação funciona? https://advisera.com/27001academy/pt-br/knowledgebase/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona/
• 8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever https://advisera.com/27001academy/pt-br/blog/2014/07/31/8-criterios-para-decidir-quais-politicas-e-procedimentos-da-iso-27001-escrever/