Subir Archivo

checklist of iso 27001 mandatory documentation pt

  • Home
  • Documents
  • Checklist of ISO 27001 Mandatory Documentation PT
9
Artigo: Checklist da Documentação Obrigatória Requerida por ISO/IEC 27001 (Revisão 2013) Copyright ©2014 27001Academy. Todos direitos reservados. ARTIGO 2 de setembro de 2014

Upload: rafael-trevizani

Post on 26-Sep-2015

7 views

Category:

Documents


3 download

Report

DESCRIPTION

Checklist of ISO 27001

TRANSCRIPT

  • Artigo: Checklist da Documentao Obrigatria

    Requerida por ISO/IEC 27001 (Reviso 2013)

    Copyright 2014 27001Academy. Todos direitos reservados.

    ARTIGO 2 de setembro de 2014

  • Copyright 2014 27001Academy. Todos direitos reservados. 2

    1. Quais documentos e registros so requeridos?

    A lista baixo mostra o conjunto mnimo de documentos e registros requeridos pelo ISO/IEC 27 001 reviso

    2013:

    Documentos* Nmero da clusula ISO 27001:2013

    Escopo do SGSI 4.3

    Poltica e objetivos de segurana da informao 5.2, 6.2

    Metodologia de avaliao de riscos e tratamento de riscos 6.1 .2

    Declarao de aplicabilidade 6.1 .3 d)

    Plano de tratamento de riscos 6.1 .3 e), 6.2

    Relatrio de avaliao de riscos e de tratamento dos riscos 8.2, 8.3

    Definio da funes e responsabilidades de segurana A.7 .1.2, A.13.2.4

    Inventrio de ativos A.8.1 .1

    Uso aceitvel dos ativos A.8.1 .3

    Poltica de controle de acesso A.9.1.1

    Procedimentos operacionais para a gesto de TI A.12.1.1

    Princpios de engenharia de sistemas seguros A.14.2.5

    Poltica de segurana do fornecedor A.15.1.1

    Procedimentos de gesto de incidentes A.16.1.5

    Procedimentos de continuidade de negcios A.17 .1.2

    Requisitos legais, regulatrios e contratuais A.18.1.1

  • Copyright 2014 27001Academy. Todos direitos reservados. 3

    Registros* Nmero da clusula ISO 27001:2013

    Registros de treinamento, conhecimentos, experincia e qualificao 7 .2

    Resultados de monitoramento e medio 9.1

    Programa de auditoria interna 9.2

    Resultados de auditoria interna 9.2

    Resultados da reviso de gesto 9.3

    Resultados de aes corretivas 10.1

    Registros de ativ idades de usurio, excees e eventos de segurana A.12.4.1, A.12.4.3

    2. Documentos no obrigatrios de uso comum

    Outros documentos que so usados com frequncia so os seguintes:

    Documentos Nmero da clusula ISO 27001:2013

    Procedimento para controle de documento 7 .5

    Controles para a gesto de registros 7 .5

    Procedimento para auditoria interna 9.2

    Procedimento para ao corretiva 10.1

    Traga sua prpria poltica de dispositivo (BY OD) A.6.2.1

    Poltica de dispositivo mvel e teletrabalho A.6.2.1

    Poltica de classificao da informao A.8.2.1, A.8.2.2, A.8.2.3

    Poltica de senhas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3

    Poltica de descarte e destruio A.8.3.2, A.11.2.7

    Procedimentos para trabalho em reas seguras A.11.1.5

    Poltica de mesa limpa e tela limpa A.11.2.9

    Poltica de gesto de mudanas A.12.1.2, A.14.2.4

    Poltica de backup A.12.3.1

    Poltica de transferncia de informao A.13.2.1, A.13.2.2, A.13.2.3

  • Copyright 2014 27001Academy. Todos direitos reservados. 4

    Anlise de impacto nos negcios A.17 .1.1

    Plano de exerccios e testes A.17 .1.3

    Plano de rev iso e manuteno A.17 .1.3

    Estratgia de continuidade de negcios A.17 .2.1

    3. Como estruturar os documentos e registros

    mais comuns

    Escopo do SGSI

    Normalmente, este documento bem curto e redigido no incio da implementao do ISO 27 001.

    Normalmente, um documento independente, embora possa ser mesclado em um poltica de segurana da

    informao.

    Leia mais aqui: Problemas com a definio do escopo da norma ISO 27 001.

    Poltica e objetivos de segurana da informao

    A poltica de segurana da informao normalmente um documento curto e de alto nvel que descreve o

    propsito principal do SGSI. Os objetivos para o SGSI so normalmente um documento independente, mas

    pode ser mesclado na poltica de segurana da informao. Diferente do ISO 27 001 Reviso 2005, no h

    mais a necessidade por uma poltica de SGSI e um poltica de segurana da informao - somente uma

    poltica de segurana da informao necessria.

    Leia mais aqui: Poltica de segurana da informao: o quo detalhada deve ser?

    Metodologia e relatrios de avaliao de riscos e tratamento de riscos

    A metodologia de avaliao de riscos e tratamento de riscos normalmente um documento de 4 a 5 pginas e

    deve ser redigido antes que a avaliao de riscos e tratamento de riscos seja executada. O relatrio de

    avaliao de riscos e tratamento de riscos pode ser redigido aps a avaliao de riscos e tratamento de riscos

    tiver sido executada e ele resume todos os resultados.

    Leia mais aqui: ISO 27 001 avaliao e tratamento de riscos 6 etapas bsicas.

    Declarao de aplicabilidade

    A Declarao de Aplicabilidade (ou (SoA) redigida com base nos resultados do tratamento do risco - este

    um documento central dentro do SGSI porque ele descreve no apenas quais controles do Anexo A so

    aplicveis, mas tambm como eles sero implementados e seu status atual. Voc tambm pode considerar a

    Declarao de Aplicabilidade como um documento que descreve o perfil de segurana de sua empresa.

    Leia mais aqui: A importncia da Declarao de Aplicabilidade para o ISO 27 001 .

  • Copyright 2014 27001Academy. Todos direitos reservados. 5

    Plano de tratamento de riscos

    Este basicamente um plano de ao sobre como implementar diversos controles definidos pela SoA - ele

    desenvolvido com base na Declarao de Aplicabilidade e ativamente usado e atualizado durante toda a

    implementao do SGSI. Algumas vezes ele pode ser mesclado com o plano do projeto.

    Leia mais aqui: Tratamento do risco e o processo de tratamento do risco Qual a diferena?

    Funes e responsabilidades de segurana

    O melhor mtodo o de descrever isso em todas as polticas e procedimentos o mais preciso possvel. Ev ite

    expresses como deveria ser feito e em seu lugar use algo como CISO ir executar xyz toda segunda -feira

    as xy x horas. Algumas empresas preferem descrever suas funes e responsabilidade de segurana em suas

    descries de funes, no entanto, isso pode levar a muita papelada.

    Funes e responsabilidades de segurana para terceiros so definidas em contrat os.

    Leia mais aqui: Qual o trabalho do Diretor de Segurana da Informao (Chief Information Security Officer

    CISO) na ISO 27 001?

    Inventrio de ativos

    Caso voc no tinha tal inventrio das do projeto ISO 27 001, a melhor forma de criar este documento

    diretamente do resultado da avaliao de risco - durante a avaliao de risco todos os ativos e seus

    proprietrios devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali.

    Leia mais aqui: Como lidar com o registro de ativos (inventrio de ativos) de acordo com a ISO 27 001.

    Uso aceitvel dos ativos

    Isso normalmente redigido na forma de uma poltica, e tal documento pode cobrir uma ampla gama de

    tpicos j que a norma no define muito bem este controle. Provavelmente a melhor forma de abordar isso

    a seguinte: (1) deixe isso para o fim de sua implementao do SGSI e, (2) todas as reas e controles que voc

    no cobriu com outros documentos e que so relativos a todos os funcionrios, podem ser cobertas nesta

    poltica.

    Poltica de controle de acesso

    Neste documento, voc pode cobrir somente o aspecto administrativo do acesso determinadas informaes

    e sistemas para aprovao ou tambm o aspecto tcnico do controle de acesso. Mais ainda, voc pode definir

    as regras somente para o acesso lgico ou tambm para o acesso fsico. Voc deve redigir este documento

    somente aps terminar com sua avaliao de risco e o processo de tratamento do risco.

    Procedimentos operacionais para a gesto de TI

    Voc pode redigir isso como um documento nico ou como uma srie de polticas e procedimentos - caso

    voc tenha uma empresa de pequeno porte, ter a tendncia de ter um nmero menor de documentos.

    Normalmente, voc pode cobrir todas as reas das sees A.12 e A.13 - gesto de mudanas, servios de

    terceiros, backup, segurana da rede. cdigo malicioso, descarte e destruio, transferncia de informao,

    monitoramento de sistemas, etc. Voc deve redigir este documento somente aps terminar com sua avaliao

    de risco e o processo de tratamento do risco.

    Leia mais sobre a gesto de TI aqui: Blog ITIL & ISO 20000.

  • Copyright 2014 27001Academy. Todos direitos reservados. 6

    Princpios de engenharia de sistemas seguros

    Este um novo controle no ISO 27 001:2013 e requer que os princpios de engenharia segura sejam

    documentados na forma de um procedimento ou norma, e deve definir como incorporar as tcnicas de

    segurana em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem

    incluir a validao dos dados de entrada, depurao, tcnicas para autenticao, controles de sesso segura,

    etc.

    Poltica de segurana do fornecedor

    Este tambm um novo controle no ISO 27 001:2013 e tal poltica pode cobrir uma ampla gama de controles

    - como feita a triagem de fornecedores potenciais, como a avaliao de risco de um fornecedor feita, quais

    clusulas de segurana devem ser includas no contrato, como supervisionar o atendimento de clusulas

    contratuais de segurana, como alterar o contrato, como fechar o acesso aps o trmino do contrato, etc.

    Leia mais aqui: Processo em 6 etapas para tratar a segurana em fornecedores de acordo com a ISO 27 001 .

    Procedimentos de gesto de incidentes

    Este um procedimento importante que define como as vulnerabilidades, eventos e incidentes de segurana

    so reportadas, classificadas e tratadas. Este procedimento tambm define como aprender das informaes

    de incidentes de segurana, para que possam ser prevenidos na prxima vez. Tal procedimento tambm pode

    chamar o plano de continuidade de negcios se um incidente causou um interrupo demorada.

    Procedimentos de continuidade de negcios

    Estes so normalmente planos de continuidade de negcios, planos de respostas a incidentes, planos de

    recuperao para o aspecto administrativo da empresa e planos de recuperao de desastre (planos de

    recuperao para a infraestrutura de TI). Estes so melhor descritos na norma ISO 22301, a norma lder

    internacional para a continuidade de negcios.

    Para saber mais, clique aqui: Plano de continuidade de negcios: Como estrutur-lo de acordo com o ISO

    22301.

    Requisitos legais, regulatrios e contratuais

    Esta lista deve ser feita nos estgios iniciais do projeto assim que for possvel, porque muitos documentos

    tm de ser desenvolvidos de acordo com estas entradas. Esta lista deve incluir no somente as

    responsabilidades para estar em conformidade com determinados requisitos, mas tambm os prazos.

    Registros de treinamento, conhecimentos, experincia e qualificao

    Estes registros so normalmente mantidos pelo departamento de recursos humanos - caso voc no tenha tal

    departamento, qualquer pessoa que normalmente mantm os registros de funcionrios deveria fazer este

    trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar.

    Leia mais aqui: Como realizar treinamento e conscientizao para a ISO 27 001 e ISO 22301.

    Resultados de monitoramento e medio

    A forma mais fcil de descrever como os controles devem ser medidos atravs de polticas e procedimentos

    que definem cada controle - normalmente, esta descrio pode ser redigida no fim de cada documento, e tal

    descrio define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para

    cada controle ou grupo de controles.

  • Copyright 2014 27001Academy. Todos direitos reservados. 7

    Aps este mtodo de medio estiver em v igor, voc deve executar a medio de acordo. importante

    reportar estes resultados regularmente para as pessoas responsveis por avaliar os mesmos.

    Leia mais aqui: Objetivos dos controles ISO 27 001 Por qu eles so to importantes?

    Programa de auditoria interna

    O programa de auditoria interna nada mais que um plano de 1 ano para executar as auditorias - para uma

    empresa de pequeno porte esta pode ser apenas uma auditoria, enquanto que para empresas maiores pode

    ser uma srie de, por exemplo, 20 auditoria internas. Este programa deve definir que ir executar as

    auditorias, mtodos, critrios de auditoria, etc.

    Leia mais aqui: Como fazer uma Lista de Verificao para Auditoria Interna da ISO 27 001 / ISO 22301 .

    Resultados de auditoria interna

    Um auditor interno precisa produzir o relatrio de auditoria, que inclui os levantamentos da auditoria

    (observaes e aes corretivas). Tal relatrio deve ser produzido dentro de alguns dias aps a execuo da

    auditoria interna. Em alguns casos, o auditor interno ter que verificar se todas as aes corretivas foram

    executadas como esperado.

    Resultados da reviso de gesto

    Estes registros so normalmente na forma de atas de reunio - eles devem incluir todos os materiais que

    estavam envolvidos na reunio da direo, assim como todas as decises que foram tomadas. A ata pode ser

    em papel ou formato digital.

    Leia mais aqui: Por que a anlise crtica pela direo importante para a ISO 27 001 e ISO 22301?

    Resultados de aes corretivas

    Estes so tradicionalmente includos nos formulrios de ao corretiva (CARs). No entanto, muito melhor

    incluir tais registros em algum aplicativo que j que ele usado em uma o rganizao para o Help Desk - j

    que as aes corretivas so apenas listas de tarefas com responsabilidades, tarefas e prazos claramente

    definidas.

    Leia mais aqui: Uso prtico das aes corretivas para a ISO 27 001 e ISO 22301.

    Registros de atividades de usurio, excees e eventos de segurana

    Estes so normalmente mantidos em dois formatos: (1) em formato digital, automaticamente ou semi-

    automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel,

    onde cada registro redigido manualmente.

    Procedimento para controle de documento

    Este normalmente um procedimento independente, com 2 ou 3 pginas, Caso voc j tenha implementado

    alguma outra norma como o ISO 9001, ISO 14001, ISO 22301 ou similar, poder usar o mesmo

    procedimento para todos estes sistemas de gesto. Algumas vezes melhor redigir este procedimento como o

    primeiro documento em um projeto.

    Leia mais aqui: Gesto de documentos dentro da ISO 27 001 e BS 25999 -2.

  • Copyright 2014 27001Academy. Todos direitos reservados. 8

    Controles para a gesto de registros

    A forma mais fcil a de descrever o controle de registros em cada poltica ou procedimento (ou outro

    documento) que requer que um registro seja criado. Estes controles so normalmente redigidos no fim de

    cada documento, e so normalmente na forma de uma tabela que descreve onde o registro est arquivado,

    quem tem acesso, como est protegido, por quanto tempo fica arquivado, etc.

    Procedimento para auditoria interna

    Este normalmente um procedimento independente que pode ter 2 a 3 pginas e deve ser redigido antes que

    a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a

    auditoria interna pode ser usados para qualquer sistema de gesto.

    Leia mais aqui: Dilemas com os auditores internos das normas ISO 27 001 e BS 25999 -2.

    Procedimentos para ao corretiva

    Este procedimento no deve ter mais que 2 a 3 pginas e pode ser redigido no fim do projeto de

    implementao, embora seja melhor redigir o mesmo o mais cedo possvel para que os funcionrios se

    acostumem com o mesmo.

    4. COMO FERRAMENTAS ONLINE PODEM

    AJUDAR COM A ISO 27001 E ISO 22301

    Aqui voc pode baixar uma v isualizao grtis do Kit de documentao do ISO 27 001 e ISO 22301 nesta

    v isualizao grtis ser possvel ver o ndice de cada poltica e procedimento mencionado, assim como

    algumas sees de cada documento.

  • Copyright 2014 27001Academy. Todos direitos reservados. 9

    EPPS Serv ices Ltd.

    para negcios eletrnicos e consultoria de negcio

    UI. Vladimira Nazora 59, 10000 Zagreb

    Crocia, Unio Europia

    Email: [email protected]

    Fone: +385 1 48 34 120

    Fone (para cliente nos E.U.A.): +1 (646) 797 2744

    Fax: +385 1 556 0711

    1. Quais documentos e registros so requeridos?A lista baixo mostra o conjunto mnimo de documentos e registros requeridos pelo ISO/IEC 27001 reviso 2013:2. Documentos no obrigatrios de uso comum3. Como estruturar os documentos e registros mais comunsEscopo do SGSIPoltica e objetivos de segurana da informaoMetodologia e relatrios de avaliao de riscos e tratamento de riscosDeclarao de aplicabilidadePlano de tratamento de riscosFunes e responsabilidades de seguranaInventrio de ativosUso aceitvel dos ativosPoltica de controle de acessoProcedimentos operacionais para a gesto de TIPrincpios de engenharia de sistemas segurosPoltica de segurana do fornecedorProcedimentos de gesto de incidentesProcedimentos de continuidade de negciosRequisitos legais, regulatrios e contratuaisRegistros de treinamento, conhecimentos, experincia e qualificaoResultados de monitoramento e medioPrograma de auditoria internaResultados de auditoria internaResultados da reviso de gestoResultados de aes corretivasRegistros de atividades de usurio, excees e eventos de seguranaProcedimento para controle de documentoControles para a gesto de registrosProcedimento para auditoria internaProcedimentos para ao corretiva

    4. COMO FERRAMENTAS ONLINE PODEM AJUDAR COM A ISO 27001 E ISO 22301


Nbr iso 27001 2006 - gestão de segurança da informação

ISO 27001 y 17799

FATEF - ISO 27001

Manual de Gestão de Usuários Documentation

Seguranca Aula 1 27001

Palestra - IsO 27001

Documentation T 710

48370178-ABNT-27001-Draft (1)

Segurança da informação - ISO 27001 - PRODESP

ISO/IEC 27001 - Sistema de Gestão da Segurança da Informação

ABNT NBR 27001

Segurança da Informação Aula 10 – SGSI – ISO 27001 e 27002 · Certificação ISO 27001 • Responsabilidade reduzida devido às políticas e aos procedimentos não implementados

ISO 27001 -6

Certificacao iso 27001

Alinhando NBR-ISO/IEC 17799 e 27001 na Administração Pública

NBR ISO 27001

ISO 27001ISO 27001 - cosi.centimfe.comcosi.centimfe.com/apresentacoes/DECSIS-ISO27001.pdf · ISO 27001ISO 27001 – Segurança da InformaçãoSegurança da Informação – Vital

Prof. MSc Mário Sérgio Ribeiro, LA 27001 - abbc.org.br · Prof. MSc Mário Sérgio Ribeiro, LA 27001 ... -a qualificação técnica de seus profissionais,-o emprego de tecnologia,-conhecimento

arduino-meteorolog Documentation

Documentation of HACCP

Mink Documentation

Vinasse best study mandatory

Saiba sobre ISO 27001 em intranet - TCC BANCA OFICIAL

Zrythm Documentation · Zrythm Documentation, Versão 0.7.573 Sistema Operacional •Unix-compatible OS or Windows 1.2.2Recomendado Recomendamos executar um sistema bastante moderno

ISO 27001 unicamente com ferramentas livres é · ISO 27001 unicamente com ferramentas livres é possível? Fatores críticos de sucesso: Política de Segurança da informação,

Gestão de Segurança da Informação (ISO 27001) em Questões

Manual do Smb4K - KDE Documentation

ISO 27001 - 5

Docker Unleashed Documentation

CakePHP Cookbook Documentation - adenilsonpaiva.comadenilsonpaiva.com/biblioteca/back-end-software-development/php/... · CakePHP Cookbook Documentation Versão 3.x Cake Software

ISO/IEC 17799 - 27001

27001 ricardo carvalho - joana vilhena arquitectos - MUDE, Lisboa PT

27001 consulta publica

Itsmf Pt_ct163_np Iso Iec 27001 2013_paulo Coelho

ABNT 27001 Draft