Mandatory procedures
Como saber quais procedimentos realmente preciso escrever?
Assign topic to the user
No mundo ISO, os requisitos / documentos obrigatórios estão relacionados às palavras “deve” ou “deverá”, enquanto os requisitos / documentos não obrigatórios estão relacionados às palavras “pode” ou “deveria”. Os documentos e registros obrigatórios para cumprir as cláusulas das seções principais da norma (seções 4 a 10) são:
- Escopo do SGSI (cláusula 4.3)
- Política e objetivos de segurança da informação (cláusulas 5.2 e 6.2)
- Avaliação de risco e metodologia de tratamento de risco (cláusula 6.1.2)
- Declaração de aplicabilidade (cláusula 6.1.3 d)
- Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
- Relatório de avaliação de risco (cláusula 8.2)
- Registros de treinamento, habilidades, experiência e qualificações (cláusula 7.2)
- Resultados de monitoramento e medição (cláusula 9.1)
- Programa de auditoria interna (cláusula 9.2)
- Resultados das auditorias internas (cláusula 9.2)
- Resultados da análise crítica da gestão (cláusula 9.3)
- Resultados das ações corretivas (cláusula 10.1)
Outra situação é que alguns documentos são necessários para cumprir controles que são obrigatórios se pelo menos uma dessas situações acontecer:
- Existem riscos inaceitáveis que justificam a aplicação do controle
- Existem requisitos legais (por exemplo, leis ou cláusulas contratuais) aos quais a organização deve cumprir que demandam a aplicação do controle
- Existe uma decisão da alta administração para implementar o controle, considerando-o como uma boa prática.
Se nenhuma das condições acima acontecer, não há necessidade de implementar um documento relacionado a esse controle.
Além dos documentos para cumprimento das cláusulas das seções principais, sem uma avaliação detalhada de uma organização, não é possível definir quantos documentos uma organização teria e quais seriam um exagero.
Estes artigos fornecerão mais explicações sobre os documentos ISO 27001 e seleção de controles:
- Lista de documentos obrigatórios requeridos pela ISO 27001 (revisão de 2013) https://advisera.com/27001academy/pt-br/knowledgebase/lista-de-documentos-obrigatorios-requeridos-pela-iso-27001-revisao-de-2013/
- A lógica básica da ISO 27001: Como a segurança da informação funciona? https://advisera.com/27001academy/pt-br/knowledgebase/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona/
- 8 critérios para decidir quais políticas e procedimentos da ISO 27001 escrever https://advisera.com/27001academy/pt-br/blog/2014/07/31/8-criterios-para-decidir-quais-politicas-e-procedimentos-da-iso-27001-escrever/
Comment as guest or Sign in
Nov 30, 2020