checklist of iso 27001 mandatory documentation pt
DESCRIPTION
Checklist of ISO 27001TRANSCRIPT
-
Artigo: Checklist da Documentao Obrigatria
Requerida por ISO/IEC 27001 (Reviso 2013)
Copyright 2014 27001Academy. Todos direitos reservados.
ARTIGO 2 de setembro de 2014
-
Copyright 2014 27001Academy. Todos direitos reservados. 2
1. Quais documentos e registros so requeridos?
A lista baixo mostra o conjunto mnimo de documentos e registros requeridos pelo ISO/IEC 27 001 reviso
2013:
Documentos* Nmero da clusula ISO 27001:2013
Escopo do SGSI 4.3
Poltica e objetivos de segurana da informao 5.2, 6.2
Metodologia de avaliao de riscos e tratamento de riscos 6.1 .2
Declarao de aplicabilidade 6.1 .3 d)
Plano de tratamento de riscos 6.1 .3 e), 6.2
Relatrio de avaliao de riscos e de tratamento dos riscos 8.2, 8.3
Definio da funes e responsabilidades de segurana A.7 .1.2, A.13.2.4
Inventrio de ativos A.8.1 .1
Uso aceitvel dos ativos A.8.1 .3
Poltica de controle de acesso A.9.1.1
Procedimentos operacionais para a gesto de TI A.12.1.1
Princpios de engenharia de sistemas seguros A.14.2.5
Poltica de segurana do fornecedor A.15.1.1
Procedimentos de gesto de incidentes A.16.1.5
Procedimentos de continuidade de negcios A.17 .1.2
Requisitos legais, regulatrios e contratuais A.18.1.1
-
Copyright 2014 27001Academy. Todos direitos reservados. 3
Registros* Nmero da clusula ISO 27001:2013
Registros de treinamento, conhecimentos, experincia e qualificao 7 .2
Resultados de monitoramento e medio 9.1
Programa de auditoria interna 9.2
Resultados de auditoria interna 9.2
Resultados da reviso de gesto 9.3
Resultados de aes corretivas 10.1
Registros de ativ idades de usurio, excees e eventos de segurana A.12.4.1, A.12.4.3
2. Documentos no obrigatrios de uso comum
Outros documentos que so usados com frequncia so os seguintes:
Documentos Nmero da clusula ISO 27001:2013
Procedimento para controle de documento 7 .5
Controles para a gesto de registros 7 .5
Procedimento para auditoria interna 9.2
Procedimento para ao corretiva 10.1
Traga sua prpria poltica de dispositivo (BY OD) A.6.2.1
Poltica de dispositivo mvel e teletrabalho A.6.2.1
Poltica de classificao da informao A.8.2.1, A.8.2.2, A.8.2.3
Poltica de senhas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3
Poltica de descarte e destruio A.8.3.2, A.11.2.7
Procedimentos para trabalho em reas seguras A.11.1.5
Poltica de mesa limpa e tela limpa A.11.2.9
Poltica de gesto de mudanas A.12.1.2, A.14.2.4
Poltica de backup A.12.3.1
Poltica de transferncia de informao A.13.2.1, A.13.2.2, A.13.2.3
-
Copyright 2014 27001Academy. Todos direitos reservados. 4
Anlise de impacto nos negcios A.17 .1.1
Plano de exerccios e testes A.17 .1.3
Plano de rev iso e manuteno A.17 .1.3
Estratgia de continuidade de negcios A.17 .2.1
3. Como estruturar os documentos e registros
mais comuns
Escopo do SGSI
Normalmente, este documento bem curto e redigido no incio da implementao do ISO 27 001.
Normalmente, um documento independente, embora possa ser mesclado em um poltica de segurana da
informao.
Leia mais aqui: Problemas com a definio do escopo da norma ISO 27 001.
Poltica e objetivos de segurana da informao
A poltica de segurana da informao normalmente um documento curto e de alto nvel que descreve o
propsito principal do SGSI. Os objetivos para o SGSI so normalmente um documento independente, mas
pode ser mesclado na poltica de segurana da informao. Diferente do ISO 27 001 Reviso 2005, no h
mais a necessidade por uma poltica de SGSI e um poltica de segurana da informao - somente uma
poltica de segurana da informao necessria.
Leia mais aqui: Poltica de segurana da informao: o quo detalhada deve ser?
Metodologia e relatrios de avaliao de riscos e tratamento de riscos
A metodologia de avaliao de riscos e tratamento de riscos normalmente um documento de 4 a 5 pginas e
deve ser redigido antes que a avaliao de riscos e tratamento de riscos seja executada. O relatrio de
avaliao de riscos e tratamento de riscos pode ser redigido aps a avaliao de riscos e tratamento de riscos
tiver sido executada e ele resume todos os resultados.
Leia mais aqui: ISO 27 001 avaliao e tratamento de riscos 6 etapas bsicas.
Declarao de aplicabilidade
A Declarao de Aplicabilidade (ou (SoA) redigida com base nos resultados do tratamento do risco - este
um documento central dentro do SGSI porque ele descreve no apenas quais controles do Anexo A so
aplicveis, mas tambm como eles sero implementados e seu status atual. Voc tambm pode considerar a
Declarao de Aplicabilidade como um documento que descreve o perfil de segurana de sua empresa.
Leia mais aqui: A importncia da Declarao de Aplicabilidade para o ISO 27 001 .
-
Copyright 2014 27001Academy. Todos direitos reservados. 5
Plano de tratamento de riscos
Este basicamente um plano de ao sobre como implementar diversos controles definidos pela SoA - ele
desenvolvido com base na Declarao de Aplicabilidade e ativamente usado e atualizado durante toda a
implementao do SGSI. Algumas vezes ele pode ser mesclado com o plano do projeto.
Leia mais aqui: Tratamento do risco e o processo de tratamento do risco Qual a diferena?
Funes e responsabilidades de segurana
O melhor mtodo o de descrever isso em todas as polticas e procedimentos o mais preciso possvel. Ev ite
expresses como deveria ser feito e em seu lugar use algo como CISO ir executar xyz toda segunda -feira
as xy x horas. Algumas empresas preferem descrever suas funes e responsabilidade de segurana em suas
descries de funes, no entanto, isso pode levar a muita papelada.
Funes e responsabilidades de segurana para terceiros so definidas em contrat os.
Leia mais aqui: Qual o trabalho do Diretor de Segurana da Informao (Chief Information Security Officer
CISO) na ISO 27 001?
Inventrio de ativos
Caso voc no tinha tal inventrio das do projeto ISO 27 001, a melhor forma de criar este documento
diretamente do resultado da avaliao de risco - durante a avaliao de risco todos os ativos e seus
proprietrios devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali.
Leia mais aqui: Como lidar com o registro de ativos (inventrio de ativos) de acordo com a ISO 27 001.
Uso aceitvel dos ativos
Isso normalmente redigido na forma de uma poltica, e tal documento pode cobrir uma ampla gama de
tpicos j que a norma no define muito bem este controle. Provavelmente a melhor forma de abordar isso
a seguinte: (1) deixe isso para o fim de sua implementao do SGSI e, (2) todas as reas e controles que voc
no cobriu com outros documentos e que so relativos a todos os funcionrios, podem ser cobertas nesta
poltica.
Poltica de controle de acesso
Neste documento, voc pode cobrir somente o aspecto administrativo do acesso determinadas informaes
e sistemas para aprovao ou tambm o aspecto tcnico do controle de acesso. Mais ainda, voc pode definir
as regras somente para o acesso lgico ou tambm para o acesso fsico. Voc deve redigir este documento
somente aps terminar com sua avaliao de risco e o processo de tratamento do risco.
Procedimentos operacionais para a gesto de TI
Voc pode redigir isso como um documento nico ou como uma srie de polticas e procedimentos - caso
voc tenha uma empresa de pequeno porte, ter a tendncia de ter um nmero menor de documentos.
Normalmente, voc pode cobrir todas as reas das sees A.12 e A.13 - gesto de mudanas, servios de
terceiros, backup, segurana da rede. cdigo malicioso, descarte e destruio, transferncia de informao,
monitoramento de sistemas, etc. Voc deve redigir este documento somente aps terminar com sua avaliao
de risco e o processo de tratamento do risco.
Leia mais sobre a gesto de TI aqui: Blog ITIL & ISO 20000.
-
Copyright 2014 27001Academy. Todos direitos reservados. 6
Princpios de engenharia de sistemas seguros
Este um novo controle no ISO 27 001:2013 e requer que os princpios de engenharia segura sejam
documentados na forma de um procedimento ou norma, e deve definir como incorporar as tcnicas de
segurana em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem
incluir a validao dos dados de entrada, depurao, tcnicas para autenticao, controles de sesso segura,
etc.
Poltica de segurana do fornecedor
Este tambm um novo controle no ISO 27 001:2013 e tal poltica pode cobrir uma ampla gama de controles
- como feita a triagem de fornecedores potenciais, como a avaliao de risco de um fornecedor feita, quais
clusulas de segurana devem ser includas no contrato, como supervisionar o atendimento de clusulas
contratuais de segurana, como alterar o contrato, como fechar o acesso aps o trmino do contrato, etc.
Leia mais aqui: Processo em 6 etapas para tratar a segurana em fornecedores de acordo com a ISO 27 001 .
Procedimentos de gesto de incidentes
Este um procedimento importante que define como as vulnerabilidades, eventos e incidentes de segurana
so reportadas, classificadas e tratadas. Este procedimento tambm define como aprender das informaes
de incidentes de segurana, para que possam ser prevenidos na prxima vez. Tal procedimento tambm pode
chamar o plano de continuidade de negcios se um incidente causou um interrupo demorada.
Procedimentos de continuidade de negcios
Estes so normalmente planos de continuidade de negcios, planos de respostas a incidentes, planos de
recuperao para o aspecto administrativo da empresa e planos de recuperao de desastre (planos de
recuperao para a infraestrutura de TI). Estes so melhor descritos na norma ISO 22301, a norma lder
internacional para a continuidade de negcios.
Para saber mais, clique aqui: Plano de continuidade de negcios: Como estrutur-lo de acordo com o ISO
22301.
Requisitos legais, regulatrios e contratuais
Esta lista deve ser feita nos estgios iniciais do projeto assim que for possvel, porque muitos documentos
tm de ser desenvolvidos de acordo com estas entradas. Esta lista deve incluir no somente as
responsabilidades para estar em conformidade com determinados requisitos, mas tambm os prazos.
Registros de treinamento, conhecimentos, experincia e qualificao
Estes registros so normalmente mantidos pelo departamento de recursos humanos - caso voc no tenha tal
departamento, qualquer pessoa que normalmente mantm os registros de funcionrios deveria fazer este
trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar.
Leia mais aqui: Como realizar treinamento e conscientizao para a ISO 27 001 e ISO 22301.
Resultados de monitoramento e medio
A forma mais fcil de descrever como os controles devem ser medidos atravs de polticas e procedimentos
que definem cada controle - normalmente, esta descrio pode ser redigida no fim de cada documento, e tal
descrio define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para
cada controle ou grupo de controles.
-
Copyright 2014 27001Academy. Todos direitos reservados. 7
Aps este mtodo de medio estiver em v igor, voc deve executar a medio de acordo. importante
reportar estes resultados regularmente para as pessoas responsveis por avaliar os mesmos.
Leia mais aqui: Objetivos dos controles ISO 27 001 Por qu eles so to importantes?
Programa de auditoria interna
O programa de auditoria interna nada mais que um plano de 1 ano para executar as auditorias - para uma
empresa de pequeno porte esta pode ser apenas uma auditoria, enquanto que para empresas maiores pode
ser uma srie de, por exemplo, 20 auditoria internas. Este programa deve definir que ir executar as
auditorias, mtodos, critrios de auditoria, etc.
Leia mais aqui: Como fazer uma Lista de Verificao para Auditoria Interna da ISO 27 001 / ISO 22301 .
Resultados de auditoria interna
Um auditor interno precisa produzir o relatrio de auditoria, que inclui os levantamentos da auditoria
(observaes e aes corretivas). Tal relatrio deve ser produzido dentro de alguns dias aps a execuo da
auditoria interna. Em alguns casos, o auditor interno ter que verificar se todas as aes corretivas foram
executadas como esperado.
Resultados da reviso de gesto
Estes registros so normalmente na forma de atas de reunio - eles devem incluir todos os materiais que
estavam envolvidos na reunio da direo, assim como todas as decises que foram tomadas. A ata pode ser
em papel ou formato digital.
Leia mais aqui: Por que a anlise crtica pela direo importante para a ISO 27 001 e ISO 22301?
Resultados de aes corretivas
Estes so tradicionalmente includos nos formulrios de ao corretiva (CARs). No entanto, muito melhor
incluir tais registros em algum aplicativo que j que ele usado em uma o rganizao para o Help Desk - j
que as aes corretivas so apenas listas de tarefas com responsabilidades, tarefas e prazos claramente
definidas.
Leia mais aqui: Uso prtico das aes corretivas para a ISO 27 001 e ISO 22301.
Registros de atividades de usurio, excees e eventos de segurana
Estes so normalmente mantidos em dois formatos: (1) em formato digital, automaticamente ou semi-
automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel,
onde cada registro redigido manualmente.
Procedimento para controle de documento
Este normalmente um procedimento independente, com 2 ou 3 pginas, Caso voc j tenha implementado
alguma outra norma como o ISO 9001, ISO 14001, ISO 22301 ou similar, poder usar o mesmo
procedimento para todos estes sistemas de gesto. Algumas vezes melhor redigir este procedimento como o
primeiro documento em um projeto.
Leia mais aqui: Gesto de documentos dentro da ISO 27 001 e BS 25999 -2.
-
Copyright 2014 27001Academy. Todos direitos reservados. 8
Controles para a gesto de registros
A forma mais fcil a de descrever o controle de registros em cada poltica ou procedimento (ou outro
documento) que requer que um registro seja criado. Estes controles so normalmente redigidos no fim de
cada documento, e so normalmente na forma de uma tabela que descreve onde o registro est arquivado,
quem tem acesso, como est protegido, por quanto tempo fica arquivado, etc.
Procedimento para auditoria interna
Este normalmente um procedimento independente que pode ter 2 a 3 pginas e deve ser redigido antes que
a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a
auditoria interna pode ser usados para qualquer sistema de gesto.
Leia mais aqui: Dilemas com os auditores internos das normas ISO 27 001 e BS 25999 -2.
Procedimentos para ao corretiva
Este procedimento no deve ter mais que 2 a 3 pginas e pode ser redigido no fim do projeto de
implementao, embora seja melhor redigir o mesmo o mais cedo possvel para que os funcionrios se
acostumem com o mesmo.
4. COMO FERRAMENTAS ONLINE PODEM
AJUDAR COM A ISO 27001 E ISO 22301
Aqui voc pode baixar uma v isualizao grtis do Kit de documentao do ISO 27 001 e ISO 22301 nesta
v isualizao grtis ser possvel ver o ndice de cada poltica e procedimento mencionado, assim como
algumas sees de cada documento.
-
Copyright 2014 27001Academy. Todos direitos reservados. 9
EPPS Serv ices Ltd.
para negcios eletrnicos e consultoria de negcio
UI. Vladimira Nazora 59, 10000 Zagreb
Crocia, Unio Europia
Email: [email protected]
Fone: +385 1 48 34 120
Fone (para cliente nos E.U.A.): +1 (646) 797 2744
Fax: +385 1 556 0711
1. Quais documentos e registros so requeridos?A lista baixo mostra o conjunto mnimo de documentos e registros requeridos pelo ISO/IEC 27001 reviso 2013:2. Documentos no obrigatrios de uso comum3. Como estruturar os documentos e registros mais comunsEscopo do SGSIPoltica e objetivos de segurana da informaoMetodologia e relatrios de avaliao de riscos e tratamento de riscosDeclarao de aplicabilidadePlano de tratamento de riscosFunes e responsabilidades de seguranaInventrio de ativosUso aceitvel dos ativosPoltica de controle de acessoProcedimentos operacionais para a gesto de TIPrincpios de engenharia de sistemas segurosPoltica de segurana do fornecedorProcedimentos de gesto de incidentesProcedimentos de continuidade de negciosRequisitos legais, regulatrios e contratuaisRegistros de treinamento, conhecimentos, experincia e qualificaoResultados de monitoramento e medioPrograma de auditoria internaResultados de auditoria internaResultados da reviso de gestoResultados de aes corretivasRegistros de atividades de usurio, excees e eventos de seguranaProcedimento para controle de documentoControles para a gesto de registrosProcedimento para auditoria internaProcedimentos para ao corretiva
4. COMO FERRAMENTAS ONLINE PODEM AJUDAR COM A ISO 27001 E ISO 22301