Artigo: Checklist da Documentao Obrigatria

Requerida por ISO/IEC 27001 (Reviso 2013)

ARTIGO
2 de setembro de 2014

Copyright 2014 27001Academy. Todos direitos reservados.

1. Quais documentos e registros so requeridos?

A lista baix o mostra o conjunto mnimo de documentos e registros requeridos pelo ISO/IEC 27 001 reviso
201 3:

Documentos*

Nmero da clusula ISO

27001:2013

Escopo do SGSI

4.3

Poltica e objetivos de segurana da informao

5.2, 6.2

Metodologia de av aliao de riscos e tratamento de riscos

6.1 .2

Declarao de aplicabilidade

6.1 .3 d)

Plano de tratamento de riscos

6.1 .3 e), 6.2

Relatrio de av aliao de riscos e de tratamento dos riscos

8.2, 8.3

Definio da funes e responsabilidades de segurana

A.7 .1.2, A.13.2.4

Inv entrio de ativos

A.8.1 .1

Uso aceitvel dos ativos

A.8.1 .3

Poltica de controle de acesso

A.9.1.1

Procedimentos operacionais para a gesto de TI

A.1 2.1.1

Princpios de engenharia de sistemas seguros

A.1 4.2.5

Poltica de segurana do fornecedor

A.1 5.1.1

Procedimentos de gesto de incidentes

A.1 6.1.5

Procedimentos de continuidade de negcios

A.17 .1.2

Requisitos legais, regulatrios e contratuais

A.1 8.1.1

Copyright 2014 27001Academy. Todos direitos reservados.

Registros*

Nmero da clusula ISO

27001:2013

Registros de treinamento, conhecimentos, ex perincia e qualificao

7 .2

Resultados de monitoramento e medio

9.1

Programa de auditoria interna

9.2

Resultados de auditoria interna

9.2

Resultados da reviso de gesto

9.3

Resultados de aes corretivas

1 0.1

Registros de ativ idades de usurio, excees e ev entos de segurana

A.1 2.4.1, A.12.4.3

2. Documentos no obrigatrios de uso comum

Outros documentos que so usados com frequncia so os seguintes:

Documentos

Nmero da clusula ISO 27001:2013

Procedimento para controle de documento

7 .5

Controles para a gesto de registros

7 .5

Procedimento para auditoria interna

9.2

Procedimento para ao corretiva

1 0.1

Traga sua prpria poltica de dispositivo (BY OD)

A.6.2.1

Poltica de dispositivo mvel e teletrabalho

A.6.2.1

Poltica de classificao da informao

A.8.2.1, A.8.2.2, A.8.2.3

Poltica de senhas

A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3

Poltica de descarte e destruio

A.8.3.2, A.11.2.7

Procedimentos para trabalho em reas seguras

A.1 1.1.5

Poltica de mesa limpa e tela limpa

A.1 1.2.9

Poltica de gesto de mudanas

A.1 2.1.2, A.14.2.4

Poltica de backup

A.1 2.3.1

Poltica de transferncia de informao

A.1 3.2.1, A.13.2.2, A.13.2.3

Copyright 2014 27001Academy. Todos direitos reservados.

Anlise de impacto nos negcios

A.17 .1.1

Plano de ex erccios e testes

A.17 .1.3

Plano de rev iso e manuteno

A.17 .1.3

Estratgia de continuidade de negcios

A.17 .2.1

3. Como estruturar os documentos e registros

mais comuns
Escopo do SGSI
Normalmente, este documento bem curto e redigido no incio da implementao do ISO 27 001.
Normalmente, um documento independente, embora possa ser mesclado em um poltica de segurana da
informao.
Leia mais aqui: Problemas com a definio do escopo da norma ISO 27 001 .

Poltica e objetivos de segurana da informao

A poltica de segurana da informao normalmente um documento curto e de alto nv el que descreve o
propsito principal do SGSI. Os objetivos para o SGSI so normalmente um documento independente, mas
pode ser mesclado na poltica de segurana da informao. Diferente do ISO 27 001 Rev iso 2005, no h
mais a necessidade por uma poltica de SGSI e um poltica de segurana da informao - somente uma
poltica de segurana da informao necessria.
Leia mais aqui: Poltica de segurana da informao: o quo detalhada deve ser?

Metodologia e relatrios de avaliao de riscos e tratamento de riscos

A metodologia de avaliao de riscos e tratamento de riscos normalmente um documento de 4 a 5 pginas e
dev e ser redigido antes que a av aliao de riscos e tratamento de ris cos seja executada. O relatrio de
av aliao de riscos e tratamento de riscos pode ser redigido aps a av aliao de riscos e tratamento de riscos
tiv er sido executada e ele resume todos os resultados.
Leia mais aqui: ISO 27 001 av aliao e tratamento de riscos 6 etapas bsicas.

Declarao de aplicabilidade
A Declarao de Aplicabilidade (ou (SoA) redigida com base nos resultados do tratamento do risco - este
um documento central dentro do SGSI porque ele descreve no apenas quais controles do Anexo A so
aplicveis, mas tambm como eles sero implementados e seu status atual. V oc tambm pode considerar a
Declarao de Aplicabilidade como um documento que descreve o perfil de segurana de sua empresa.
Leia mais aqui: A importncia da Declarao de Aplicabilidade para o ISO 27 001 .

Copyright 2014 27001Academy. Todos direitos reservados.

Plano de tratamento de riscos

Este basicamente um plano de ao sobre como implementar div ersos controles definidos pela SoA - ele
desenv olvido com base na Declarao de Aplicabilidade e ativ amente usado e atualizado durante toda a
implementao do SGSI. Algumas v ezes ele pode ser mesclado com o plano do projeto.
Leia mais aqui: Tratamento do risco e o processo de tratamento do risco Qual a diferen a?

Funes e responsabilidades de segurana

O melhor mtodo o de descrever isso em todas as polticas e procedimentos o mais preciso possvel. Ev ite
ex presses como deveria ser feito e em seu lugar use algo como CISO ir ex ecutar xyz toda segunda -feira
as x y x horas. Algumas empresas preferem descrever suas funes e responsabilidade de segurana em suas
descries de funes, no entanto, isso pode levar a muita papelada.
Funes e responsabilidades de segurana para terceiros so definidas em contrat os.
Leia mais aqui: Qual o trabalho do Diretor de Segurana da Informao (Chief Information Security Officer
CISO) na ISO 27 001?

Inventrio de ativos
Caso v oc no tinha tal inv entrio das do projeto ISO 27 001, a melhor forma de criar este documento
diretamente do resultado da av aliao de risco - durante a av aliao de risco todos os ativos e seus
proprietrios devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali.
Leia mais aqui: Como lidar com o registro de ativos (inv entrio de ativos) de acordo com a ISO 27 001.

Uso aceitvel dos ativos

Isso normalmente redigido na forma de uma poltica, e tal documento pode cobrir uma ampla gama de
tpicos j que a norma no define muito bem este controle. Provavelmente a melhor forma de abordar isso
a seguinte: (1 ) deix e isso para o fim de sua implementao do SGSI e, (2) todas as reas e controles que voc
no cobriu com outros documentos e que so relativos a todos os funcionrios, podem ser cobertas nesta
poltica.

Poltica de controle de acesso

Neste documento, v oc pode cobrir somente o aspecto administrativo do acesso determinadas informaes
e sistemas para aprovao ou tambm o aspecto tcnico do controle de acesso. Mais ainda, v oc pode definir
as regras somente para o acesso lgico ou tambm para o acesso fsico. V oc deve redigir este documento
somente aps terminar com sua avaliao de risco e o processo de tratamento do risco.

Procedimentos operacionais para a gesto de TI

V oc pode redigir isso como um documento nico ou como uma srie de polticas e procedimentos - caso
v oc tenha uma empresa de pequeno porte, ter a tendncia de ter um nmero menor de documentos.
Normalmente, v oc pode cobrir todas as reas das sees A.1 2 e A.13 - gesto de mudanas, servios de
terceiros, backup, segurana da rede. cdigo malicioso, descarte e destruio, transferncia de informao,
monitoramento de sistemas, etc. Voc deve redigir este documento somente aps terminar com sua av aliao
de risco e o processo de tratamento do risco.
Leia mais sobre a gesto de TI aqui: Blog ITIL & ISO 20000.

Copyright 2014 27001Academy. Todos direitos reservados.

Princpios de engenharia de sistemas seguros

Este um nov o controle no ISO 27 001:2013 e requer que os princpios de engenharia segura sejam
documentados na forma de um procedimento ou norma, e deve definir como incorporar as tcnicas de
segurana em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem
incluir a v alidao dos dados de entrada, depurao, tcnicas para autenticao, controles de sesso segura,
etc.

Poltica de segurana do fornecedor

Este tambm um nov o controle no ISO 27 001:2013 e tal poltica pode cobrir uma ampla gama de controles
- como feita a triagem de fornecedores potenciais, como a av aliao de risco de um fornecedor feita, quais
clusulas de segurana devem ser includas no contrato, como supervisionar o atendimento de clusulas
contratuais de segurana, como alterar o contrato, como fechar o acesso aps o trmino do contrato, etc.
Leia mais aqui: Processo em 6 etapas para tratar a segurana em fornecedores de acordo com a ISO 27 001 .

Procedimentos de gesto de incidentes

Este um procedimento importante que define como as v ulnerabilidades, eventos e incidentes de segurana
so reportadas, classificadas e tratadas. Este procedimento tambm define como aprender das informaes
de incidentes de segurana, para que possam ser prevenidos na prxima v ez. Tal procedimento tambm pode
chamar o plano de continuidade de negcios se um incidente causou um interrupo demorada.

Procedimentos de continuidade de negcios

Estes so normalmente planos de continuidade de negcios, planos de respostas a incidentes, planos de
recuperao para o aspecto administrativo da empresa e planos de recuperao de desastre (planos de
recuperao para a infraestrutura de TI). Estes so melhor descritos na norma ISO 22301 , a norma lder
internacional para a continuidade de negcios.
Para saber mais, clique aqui: Plano de continuidade de negcios: Como estrutur-lo de acordo com o ISO
22301.

Requisitos legais, regulatrios e contratuais

Esta lista dev e ser feita nos estgios iniciais do projeto assim que for possvel, porque muitos documentos
tm de ser desenv olvidos de acordo com estas entradas. Esta lista dev e incluir no somente as
responsabilidades para estar em conformidade com determinados requisitos, mas tambm os prazos.

Registros de treinamento, conhecimentos, experincia e qualificao

Estes registros so normalmente mantidos pelo departamento de recursos humanos - caso v oc no tenha tal
departamento, qualquer pessoa que normalmente mantm os registros de funcionrios deveria fazer este
trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar.
Leia mais aqui: Como realizar treinamento e conscientizao para a ISO 27 001 e ISO 22301 .

Resultados de monitoramento e medio

A forma mais fcil de descrever como os controles devem ser medidos atravs de polticas e procedimentos
que definem cada controle - normalmente, esta descrio pode ser redigida no fim de cada documento, e tal
descrio define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para
cada controle ou grupo de controles.

Copyright 2014 27001Academy. Todos direitos reservados.

Aps este mtodo de medio estiver em v igor, v oc deve executar a medio de acordo. importante
reportar estes resultados regularmente para as pessoas responsveis por avaliar os mesmos.
Leia mais aqui: Objetiv os dos controles ISO 27 001 Por qu eles so to importantes?

Programa de auditoria interna

O programa de auditoria interna nada mais que um plano de 1 ano para ex ecutar as auditorias - para uma
empresa de pequeno porte esta pode ser apenas uma auditoria, enquanto que para empresas maiores pode
ser uma srie de, por ex emplo, 20 auditoria internas. Este programa deve definir que ir executar as
auditorias, mtodos, critrios de auditoria, etc.
Leia mais aqui: Como fazer uma Lista de V erificao para Auditoria Interna da ISO 27 001 / ISO 22301 .

Resultados de auditoria interna

Um auditor interno precisa produzir o relatrio de auditoria, que inclui os levantamentos da auditoria
(observaes e aes corretivas). Tal relatrio deve ser produzido dentro de alguns dias aps a ex ecuo da
auditoria interna. Em alguns casos, o auditor interno ter que v erificar se todas as aes corretivas foram
ex ecutadas como esperado.

Resultados da reviso de gesto

Estes registros so normalmente na forma de atas de reunio - eles dev em incluir todos os materiais que
estav am envolvidos na reunio da direo, assim como todas as decises que foram tomadas. A ata pode ser
em papel ou formato digital.
Leia mais aqui: Por que a anlise crtica pela direo importante para a ISO 27 001 e ISO 22301?

Resultados de aes corretivas

Estes so tradicionalmente includos nos formulrios de ao corretiva (CARs). No entanto, muito melhor
incluir tais registros em algum aplicativo que j que ele usado em uma o rganizao para o Help Desk - j
que as aes corretivas so apenas listas de tarefas com responsabilidades, tarefas e prazos claramente
definidas.
Leia mais aqui: Uso prtico das aes corretivas para a ISO 27 001 e ISO 22301 .

Registros de atividades de usurio, excees e eventos de segurana

Estes so normalmente mantidos em dois formatos: (1 ) em formato digital, automaticamente ou semi automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel,
onde cada registro redigido manualmente.

Procedimento para controle de documento

Este normalmente um procedimento independente, com 2 ou 3 pginas, Caso v oc j tenha implementado
alguma outra norma como o ISO 9001 , ISO 1 4001, ISO 22301 ou similar, poder usar o mesmo
procedimento para todos estes sistemas de gesto. Algumas v ezes melhor redigir este procedimento como o
primeiro documento em um projeto.
Leia mais aqui: Gesto de documentos dentro da ISO 27 001 e BS 25999 -2.

Copyright 2014 27001Academy. Todos direitos reservados.

Controles para a gesto de registros

A forma mais fcil a de descrever o controle de registros em cada poltica ou procedimento (ou outro
documento) que requer que um registro seja criado. Estes controles so normalmente redigidos no fim de
cada documento, e so normalmente na forma de uma tabela que descreve onde o registro est arquivado,
quem tem acesso, como est protegido, por quanto tempo fica arquivado, etc.

Procedimento para auditoria interna

Este normalmente um procedimento independente que pode ter 2 a 3 pginas e dev e ser redigido antes que
a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a
auditoria interna pode ser usados para qualquer sistema de gesto.
Leia mais aqui: Dilemas com os auditores internos das normas ISO 27 001 e BS 25999 -2.

Procedimentos para ao corretiva

Este procedimento no deve ter mais que 2 a 3 pginas e pode ser redigido no fim do projeto de
implementao, embora seja melhor redigir o mesmo o mais cedo possvel para que os funcionrios se
acostumem com o mesmo.

4. COMO FERRAMENTAS ONLINE PODEM

AJUDAR COM A ISO 27001 E ISO 22301
Aqui v oc pode baixar uma v isualizao grtis do Kit de documentao do ISO 27 001 e ISO 22301 nesta
v isualizao grtis ser possvel ver o ndice de cada poltica e procedimento mencionado, assim como
algumas sees de cada documento.

Copyright 2014 27001Academy. Todos direitos reservados.

EPPS Serv ices Ltd.

para negcios eletrnicos e consultoria de negcio
UI. V ladimira Nazora 59, 1 0000 Zagreb
Crocia, Unio Europia

Copyright 2014 27001Academy. Todos direitos reservados.

Email: support@iso27 001standard.com

Fone: +385 1 48 34 1 20
Fone (para cliente nos E.U.A.): +1 (646) 7 97 27 44
Fax : +385 1 556 07 11