Checklist Of Iso 27001 Mandatory Documentation Pt

Artigo: Checklist da Documentação Obrigatória Requerida por ISO/IEC 27001 (Revisão 2013)

ARTIGO 2 de setembro de 2014

Copyright ©2014 27001Academy. Todos direitos reservados.

1. Quais documentos e registros são requeridos? A lista baix o mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC 27 001 revisão 201 3:

Documentos*

Número da cláusula ISO 27001:2013

Escopo do SGSI

4.3

Política e objetivos de segurança da informação

5.2, 6.2

Metodologia de av aliação de riscos e tratamento de riscos

6.1 .2

Declaração de aplicabilidade

6.1 .3 d)

Plano de tratamento de riscos

6.1 .3 e), 6.2

Relatório de av aliação de riscos e de tratamento dos riscos

8.2, 8.3

Definição da funções e responsabilidades de segurança

A.7 .1.2, A.13.2.4

Inv entário de ativos

A.8.1 .1

Uso aceitável dos ativos

A.8.1 .3

Política de controle de acesso

A.9.1.1

Procedimentos operacionais para a gestão de TI

A.1 2.1.1

Princípios de engenharia de sistemas seguros

A.1 4.2.5

Política de segurança do fornecedor

A.1 5.1.1

Procedimentos de gestão de incidentes

A.1 6.1.5

Procedimentos de continuidade de negócios

A.17 .1.2

Requisitos legais, regulatórios e contratuais

A.1 8.1.1

Copyright ©2014 27001Academy. Todos direitos reservados.

2

Registros*

Número da cláusula ISO 27001:2013

Registros de treinamento, conhecimentos, ex periência e qualificação

7 .2

Resultados de monitoramento e medição

9.1

Programa de auditoria interna

9.2

Resultados de auditoria interna

9.2

Resultados da revisão de gestão

9.3

Resultados de ações corretivas

1 0.1

Registros de ativ idades de usuário, exceções e ev entos de segurança

A.1 2.4.1, A.12.4.3

2. Documentos não obrigatórios de uso comum Outros documentos que são usados com frequência são os seguintes:

Documentos

Número da cláusula ISO 27001:2013

Procedimento para controle de documento

7 .5

Controles para a gestão de registros

7 .5

Procedimento para auditoria interna

9.2

Procedimento para ação corretiva

1 0.1

Traga sua própria política de dispositivo (BY OD)

A.6.2.1

Política de dispositivo móvel e teletrabalho

A.6.2.1

Política de classificação da informação

A.8.2.1, A.8.2.2, A.8.2.3

Política de senhas

A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3

Política de descarte e destruição

A.8.3.2, A.11.2.7

Procedimentos para trabalho em áreas seguras

A.1 1.1.5

Política de mesa limpa e tela limpa

A.1 1.2.9

Política de gestão de mudanças

A.1 2.1.2, A.14.2.4

Política de backup

A.1 2.3.1

Política de transferência de informação

A.1 3.2.1, A.13.2.2, A.13.2.3

Copyright ©2014 27001Academy. Todos direitos reservados.

3

Análise de impacto nos negócios

A.17 .1.1

Plano de ex ercícios e testes

A.17 .1.3

Plano de rev isão e manutenção

A.17 .1.3

Estratégia de continuidade de negócios

A.17 .2.1

3. Como estruturar os documentos e registros mais comuns Escopo do SGSI Normalmente, este documento é bem curto e redigido no início da implementação do ISO 27 001. Normalmente, é um documento independente, embora possa ser mesclado em um política de segurança da informação. Leia mais aqui: Problemas com a definição do escopo da norma ISO 27 001 .

Política e objetivos de segurança da informação A política de segurança da informação é normalmente um documento curto e de alto nív el que descreve o propósito principal do SGSI. Os objetivos para o SGSI são normalmente um documento independente, mas pode ser mesclado na política de segurança da informação. Diferente do ISO 27 001 Rev isão 2005, não há mais a necessidade por uma política de SGSI e um política de segurança da informação - somente uma política de segurança da informação é necessária. Leia mais aqui: Política de segurança da informação: o quão detalhada deve ser?

Metodologia e relatórios de avaliação de riscos e tratamento de riscos A metodologia de avaliação de riscos e tratamento de riscos é normalmente um documento de 4 a 5 páginas e dev e ser redigido antes que a av aliação de riscos e tratamento de ris cos seja executada. O relatório de av aliação de riscos e tratamento de riscos pode ser redigido após a av aliação de riscos e tratamento de riscos tiv er sido executada e ele resume todos os resultados. Leia mais aqui: ISO 27 001 av aliação e tratamento de riscos – 6 etapas básicas.

Declaração de aplicabilidade A Declaração de Aplicabilidade (ou (SoA) é redigida com base nos resultados do tratamento do risco - este é um documento central dentro do SGSI porque ele descreve não apenas quais controles do Anexo A são aplicáveis, mas também como eles serão implementados e seu status atual. V ocê também pode considerar a Declaração de Aplicabilidade como um documento que descreve o perfil de segurança de sua empresa. Leia mais aqui: A importância da Declaração de Aplicabilidade para o ISO 27 001 .

Copyright ©2014 27001Academy. Todos direitos reservados.

4

Plano de tratamento de riscos Este é basicamente um plano de ação sobre como implementar div ersos controles definidos pela SoA - ele é desenv olvido com base na Declaração de Aplicabilidade e é ativ amente usado e atualizado durante toda a implementação do SGSI. Algumas v ezes ele pode ser mesclado com o plano do projeto. Leia mais aqui: Tratamento do risco e o processo de tratamento do risco – Qual é a diferenç a?

Funções e responsabilidades de segurança O melhor método é o de descrever isso em todas as políticas e procedimentos o mais preciso possível. Ev ite ex pressões como “deveria ser feito” e em seu lugar use algo como “CISO irá ex ecutar xyz toda segunda -feira as x y x horas”. Algumas empresas preferem descrever suas funções e responsabilidade de segurança em suas descrições de funções, no entanto, isso pode levar a muita papelada. Funções e responsabilidades de segurança para terceiros são definidas em contrat os. Leia mais aqui: Qual é o trabalho do Diretor de Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27 001?

Inventário de ativos Caso v ocê não tinha tal inv entário das do projeto ISO 27 001, a melhor forma de criar este documento é diretamente do resultado da av aliação de risco - durante a av aliação de risco todos os ativos e seus proprietários devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali. Leia mais aqui: Como lidar com o registro de ativos (inv entário de ativos) de acordo com a ISO 27 001.

Uso aceitável dos ativos Isso é normalmente redigido na forma de uma política, e tal documento pode cobrir uma ampla gama de tópicos já que a norma não define muito bem este controle. Provavelmente a melhor forma de abordar isso é a seguinte: (1 ) deix e isso para o fim de sua implementação do SGSI e, (2) todas as áreas e controles que você não cobriu com outros documentos e que são relativos a todos os funcionários, podem ser cobertas nesta política.

Política de controle de acesso Neste documento, v ocê pode cobrir somente o aspecto administrativo do acesso à determinadas informações e sistemas para aprovação ou também o aspecto técnico do controle de acesso. Mais ainda, v ocê pode definir as regras somente para o acesso lógico ou também para o acesso físico. V ocê deve redigir este documento somente após terminar com sua avaliação de risco e o processo de tratamento do risco.

Procedimentos operacionais para a gestão de TI V ocê pode redigir isso como um documento único ou como uma série de políticas e procedimentos - caso v ocê tenha uma empresa de pequeno porte, terá a tendência de ter um número menor de documentos. Normalmente, v ocê pode cobrir todas as áreas das seções A.1 2 e A.13 - gestão de mudanças, serviços de terceiros, backup, segurança da rede. código malicioso, descarte e destruição, transferência de informação, monitoramento de sistemas, etc. Você deve redigir este documento somente após terminar com sua av aliação de risco e o processo de tratamento do risco. Leia mais sobre a gestão de TI aqui: Blog ITIL & ISO 20000.

Copyright ©2014 27001Academy. Todos direitos reservados.

5

Princípios de engenharia de sistemas seguros Este é um nov o controle no ISO 27 001:2013 e requer que os princípios de engenharia segura sejam documentados na forma de um procedimento ou norma, e deve definir como incorporar as técnicas de segurança em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem incluir a v alidação dos dados de entrada, depuração, técnicas para autenticação, controles de sessão segura, etc.

Política de segurança do fornecedor Este também é um nov o controle no ISO 27 001:2013 e tal política pode cobrir uma ampla gama de controles - como é feita a triagem de fornecedores potenciais, como a av aliação de risco de um fornecedor é feita, quais cláusulas de segurança devem ser incluídas no contrato, como supervisionar o atendimento de cláusulas contratuais de segurança, como alterar o contrato, como fechar o acesso após o término do contrato, etc. Leia mais aqui: Processo em 6 etapas para tratar a segurança em fornecedores de acordo com a ISO 27 001 .

Procedimentos de gestão de incidentes Este é um procedimento importante que define como as v ulnerabilidades, eventos e incidentes de segurança são reportadas, classificadas e tratadas. Este procedimento também define como aprender das informações de incidentes de segurança, para que possam ser prevenidos na próxima v ez. Tal procedimento também pode chamar o plano de continuidade de negócios se um incidente causou um interrupção demorada.

Procedimentos de continuidade de negócios Estes são normalmente planos de continuidade de negócios, planos de respostas a incidentes, planos de recuperação para o aspecto administrativo da empresa e planos de recuperação de desastre (planos de recuperação para a infraestrutura de TI). Estes são melhor descritos na norma ISO 22301 , a norma líder internacional para a continuidade de negócios. Para saber mais, clique aqui: Plano de continuidade de negócios: Como estruturá-lo de acordo com o ISO 22301.

Requisitos legais, regulatórios e contratuais Esta lista dev e ser feita nos estágios iniciais do projeto assim que for possível, porque muitos documentos têm de ser desenv olvidos de acordo com estas entradas. Esta lista dev e incluir não somente as responsabilidades para estar em conformidade com determinados requisitos, mas também os prazos.

Registros de treinamento, conhecimentos, experiência e qualificação Estes registros são normalmente mantidos pelo departamento de recursos humanos - caso v ocê não tenha tal departamento, qualquer pessoa que normalmente mantém os registros de funcionários deveria fazer este trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar. Leia mais aqui: Como realizar treinamento e conscientização para a ISO 27 001 e ISO 22301 .

Resultados de monitoramento e medição A forma mais fácil de descrever como os controles devem ser medidos é através de políticas e procedimentos que definem cada controle - normalmente, esta descrição pode ser redigida no fim de cada documento, e tal descrição define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para cada controle ou grupo de controles.

Copyright ©2014 27001Academy. Todos direitos reservados.

6

Após este método de medição estiver em v igor, v ocê deve executar a medição de acordo. É importante reportar estes resultados regularmente para as pessoas responsáveis por avaliar os mesmos. Leia mais aqui: Objetiv os dos controles ISO 27 001 – Por quê eles são tão importantes?

Programa de auditoria interna O programa de auditoria interna nada mais é que um plano de 1 ano para ex ecutar as auditorias - para uma empresa de pequeno porte esta pode ser apenas uma auditoria, enquanto que para empresas maiores pode ser uma série de, por ex emplo, 20 auditoria internas. Este programa deve definir que irá executar as auditorias, métodos, critérios de auditoria, etc. Leia mais aqui: Como fazer uma Lista de V erificação para Auditoria Interna da ISO 27 001 / ISO 22301 .

Resultados de auditoria interna Um auditor interno precisa produzir o relatório de auditoria, que inclui os levantamentos da auditoria (observações e ações corretivas). Tal relatório deve ser produzido dentro de alguns dias após a ex ecução da auditoria interna. Em alguns casos, o auditor interno terá que v erificar se todas as ações corretivas foram ex ecutadas como esperado.

Resultados da revisão de gestão Estes registros são normalmente na forma de atas de reunião - eles dev em incluir todos os materiais que estav am envolvidos na reunião da direção, assim como todas as decisões que foram tomadas. A ata pode ser em papel ou formato digital. Leia mais aqui: Por que a análise crítica pela direção é importante para a ISO 27 001 e ISO 22301?

Resultados de ações corretivas Estes são tradicionalmente incluídos nos formulários de ação corretiva (CARs). No entanto, é muito melhor incluir tais registros em algum aplicativo que já que ele é usado em uma o rganização para o Help Desk - já que as ações corretivas são apenas listas de tarefas com responsabilidades, tarefas e prazos claramente definidas. Leia mais aqui: Uso prático das ações corretivas para a ISO 27 001 e ISO 22301 .

Registros de atividades de usuário, exceções e eventos de segurança Estes são normalmente mantidos em dois formatos: (1 ) em formato digital, automaticamente ou semi automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel, onde cada registro é redigido manualmente.

Procedimento para controle de documento Este é normalmente um procedimento independente, com 2 ou 3 páginas, Caso v ocê já tenha implementado alguma outra norma como o ISO 9001 , ISO 1 4001, ISO 22301 ou similar, poderá usar o mesmo procedimento para todos estes sistemas de gestão. Algumas v ezes é melhor redigir este procedimento como o primeiro documento em um projeto. Leia mais aqui: Gestão de documentos dentro da ISO 27 001 e BS 25999 -2.

Copyright ©2014 27001Academy. Todos direitos reservados.

7

Controles para a gestão de registros A forma mais fácil é a de descrever o controle de registros em cada política ou procedimento (ou outro documento) que requer que um registro seja criado. Estes controles são normalmente redigidos no fim de cada documento, e são normalmente na forma de uma tabela que descreve onde o registro está arquivado, quem tem acesso, como está protegido, por quanto tempo fica arquivado, etc.

Procedimento para auditoria interna Este é normalmente um procedimento independente que pode ter 2 a 3 páginas e dev e ser redigido antes que a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a auditoria interna pode ser usados para qualquer sistema de gestão. Leia mais aqui: Dilemas com os auditores internos das normas ISO 27 001 e BS 25999 -2.

Procedimentos para ação corretiva Este procedimento não deve ter mais que 2 a 3 páginas e pode ser redigido no fim do projeto de implementação, embora seja melhor redigir o mesmo o mais cedo possível para que os funcionários se acostumem com o mesmo.

4. COMO FERRAMENTAS ONLINE PODEM AJUDAR COM A ISO 27001 E ISO 22301 Aqui v ocê pode baixar uma v isualização grátis do Kit de documentação do ISO 27 001 e ISO 22301 – nesta v isualização grátis será possível ver o índice de cada política e procedimento mencionado, assim como algumas seções de cada documento.

Copyright ©2014 27001Academy. Todos direitos reservados.

8

EPPS Serv ices Ltd. para negócios eletrônicos e consultoria de negócio UI. V ladimira Nazora 59, 1 0000 Zagreb Croácia, União Européia

Copyright ©2014 27001Academy. Todos direitos reservados.

Email: support@iso27 001standard.com Fone: +385 1 48 34 1 20 Fone (para cliente nos E.U.A.): +1 (646) 7 97 27 44 Fax : +385 1 556 07 11

9