Checklist da Documentao Obrigatria Requerida por ISO/IEC 27001 (Reviso 2013)

1) Quais documentos e registros so requeridos?

A lista baixo mostra o conjunto mnimo de documentos e registros requeridos pelo ISO/IEC 27001 reviso 2013: Documentos* Escopo do SGSI Poltica e objetivos de segurana da informao Metodologia de avaliao de riscos e tratamento de riscos Declarao de aplicabilidade Plano de tratamento de riscos Relatrio de avaliao de riscos Definio da funes e responsabilidades de segurana Inventrio de ativos Uso aceitvel dos ativos Poltica de controle de acesso Procedimentos operacionais para a gesto de TI Princpios de engenharia de sistemas seguros Poltica de segurana do fornecedor Procedimentos de gesto de incidentes Procedimentos de continuidade de negcios Requisitos legais, regulatrios e contratuais Nmero da clusula ISO 27001:2013 4.3 5.2, 6.2 6.1.2 6.1.3 d) 6.1.3 e), 6.2 8.2 A.7.1.2, A.13.2.4 A.8.1.1 A.8.1.3 A.9.1.1 A.12.1.1 A.14.2.5 A.15.1.1 A.16.1.5 A.17.1.2 A.18.1.1

Registros* Registros de treinamento, conhecimentos, experincia e qualificao

Nmero da clusula ISO 27001:2013 7.2

Pgina 1 de 10

2013 Information Security & Business Continuity Academy www.iso27001standard.com

Resultados de monitoramento e medio Programa de auditoria interna Resultados de auditoria interna Resultados da reviso de gesto Resultados de aes corretivas Registros de atividades de usurio, excees e eventos de segurana

9.1 9.2 9.2 9.3 10.1 A.12.4.1, A.12.4.3

*Os Controles do Anexo A podem ser excludos se uma organizao concluir que no h riscos e outros requisitos que iriem demandar a implementao de um controle. Isso no significa que uma lista definitiva de documentos e registros pode ser usada durante a implementao do ISO 27001 a norma permite que quaisquer outros documentos sejam adicionados para aprimorar o nvel de segurana da informao.

2) Documentos no obrigatrios de uso comum

Outros documentos que so usados com frequncia so os seguintes: Documentos Procedimento para controle de documento Controles para a gesto de registros Procedimento para auditoria interna Procedimento para ao corretiva Traga sua prpria poltica de dispositivo (BYOD) Poltica de dispositivo mvel e teletrabalho Poltica de classificao da informao Poltica de senhas Poltica de descarte e destruio Procedimentos para trabalho em reas seguras Poltica de mesa limpa e tela limpa Nmero da clusula ISO 27001:2013 7.5 7.5 9.2 10.1 A.6.2.1 A.6.2.1 A.8.2.1, A.8.2.2, A.8.2.3 A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 A.8.3.2, A.11.2.7 A.11.1.5 A.11.2.9
Pgina 2 de 10

2013 Information Security & Business Continuity Academy www.iso27001standard.com

Poltica de gesto de mudanas Poltica de backup Poltica de transferncia de informao Anlise de impacto nos negcios Plano de exerccios e testes Plano de reviso e manuteno Estratgia de continuidade de negcios

A.12.1.2, A.14.2.4 A.12.3.1 A.13.2.1, A.13.2.2, A.13.2.3 A.17.1.1 A.17.1.3 A.17.1.3 A.17.2.1

3) Como estruturar os documentos e registros mais comuns

Escopo do SGSI
Normalmente, este documento bem curto e redigido no incio da implementao do ISO 27001. Normalmente, um documento independente, embora possa ser mesclado em um poltica de segurana da informao. Leia mais aqui: Problemas ao definir o escopo no ISO 27001.

Poltica e objetivos de segurana da informao

A poltica de segurana da informao normalmente um documento curto e de alto nvel que descreve o propsito principal do SGSI. Os objetivos para o SGSI so normalmente um documento independente, mas pode ser mesclado na poltica de segurana da informao. Diferente do ISO 27001 Reviso 2005, no h mais a necessidade por uma poltica de SGSI e um poltica de segurana da informao - somente uma poltica de segurana da informao necessria. Leia mais aqui: Poltica de segurana da informao: o quo detalhada deve ser?

Metodologia e relatrios de avaliao de riscos e tratamento de riscos

A metodologia de avaliao de riscos e tratamento de riscos normalmente um documento de 4 a 5 pginas e deve ser redigido antes que a avaliao de riscos e tratamento de riscos seja executada. O relatrio de avaliao de riscos e tratamento de riscos pode ser redigido
2013 Information Security & Business Continuity Academy www.iso27001standard.com Pgina 3 de 10

aps a avaliao de riscos e tratamento de riscos tiver sido executada e ele resume todos os resultados. Leia mais aqui: ISO 27001 avaliao e tratamento de riscos 6 etapas bsicas.

Declarao de aplicabilidade
A Declarao de Aplicabilidade (ou (SoA) redigida com base nos resultados do tratamento do risco - este um documento central dentro do SGSI porque ele descreve no apenas quais controles do Anexo A so aplicveis, mas tambm como eles sero implementados e seu status atual. Voc tambm pode considerar a Declarao de Aplicabilidade como um documento que descreve o perfil de segurana de sua empresa. Leia mais aqui: A importncia da Declarao de Aplicabilidade para o ISO 27001.

Plano de tratamento de riscos

Este basicamente um plano de ao sobre como implementar diversos controles definidos pela SoA - ele desenvolvido com base na Declarao de Aplicabilidade e ativamente usado e atualizado durante toda a implementao do SGSI. Algumas vezes ele pode ser mesclado com o plano do projeto. Leia mais aqui: Tratamento do risco e o processo de tratamento do risco Qual a diferena?

Funes e responsabilidades de segurana

O melhor mtodo o de descrever isso em todas as polticas e procedimentos o mais preciso possvel. Evite expresses como deveria ser feito e em seu lugar use algo como CISO ir executar xyz toda segunda-feira as xyx horas. Algumas empresas preferem descrever suas funes e responsabilidade de segurana em suas descries de funes, no entanto, isso pode levar a muita papelada. Funes e responsabilidades de segurana para terceiros so definidas em contratos.
2013 Information Security & Business Continuity Academy www.iso27001standard.com Pgina 4 de 10

Inventrio de ativos
Caso voc no tinha tal inventrio das do projeto ISO 27001, a melhor forma de criar este documento diretamente do resultado da avaliao de risco - durante a avaliao de risco todos os ativos e seus proprietrios devem ser identificados de qualquer forma, portanto, basta copiar o resultados dali.

Uso aceitvel dos ativos

Isso normalmente redigido na forma de uma poltica, e tal documento pode cobrir uma ampla gama de tpicos j que a norma no define muito bem este controle. Provavelmente a melhor forma de abordar isso a seguinte: (1) deixe isso para o fim de sua implementao do SGSI e, (2) todas as reas e controles que voc no cobriu com outros documentos e que so relativos a todos os funcionrios, podem ser cobertas nesta poltica.

Poltica de controle de acesso

Neste documento, voc pode cobrir somente o aspecto administrativo do acesso determinadas informaes e sistemas para aprovao ou tambm o aspecto tcnico do controle de acesso. Mais ainda, voc pode definir as regras somente para o acesso lgico ou tambm para o acesso fsico. Voc deve redigir este documento somente aps terminar com sua avaliao de risco e o processo de tratamento do risco.

Procedimentos operacionais para a gesto de TI

Voc pode redigir isso como um documento nico ou como uma srie de polticas e procedimentos - caso voc tenha uma empresa de pequeno porte, ter a tendncia de ter um nmero menor de documentos. Normalmente, voc pode cobrir todas as reas das sees A.12 e A.13 - gesto de mudanas, servios de terceiros, backup, segurana da rede. cdigo malicioso, descarte e destruio, transferncia de informao, monitoramento de sistemas, etc. Voc deve redigir este documento somente aps terminar com sua avaliao de risco e o processo de tratamento do risco.

2013 Information Security & Business Continuity Academy www.iso27001standard.com

Pgina 5 de 10

Leia mais sobre a gesto de TI aqui: Blog ITIL & ISO 20000.

Princpios de engenharia de sistemas seguros

Este um novo controle no ISO 27001:2013 e requer que os princpios de engenharia segura sejam documentados na forma de um procedimento ou norma, e deve definir como incorporar as tcnicas de segurana em todas as camadas da arquitetura - administrativa, dados, aplicativos e tecnologia, Estes podem incluir a validao dos dados de entrada, depurao, tcnicas para autenticao, controles de sesso segura, etc.

Poltica de segurana do fornecedor

Este tambm um novo controle no ISO 27001:2013 e tal poltica pode cobrir uma ampla gama de controles - como feita a triagem de fornecedores potenciais, como a avaliao de risco de um fornecedor feita, quais clusulas de segurana devem ser includas no contrato, como supervisionar o atendimento de clusulas contratuais de segurana, como alterar o contrato, como fechar o acesso aps o trmino do contrato, etc.

Procedimentos de gesto de incidentes

Este um procedimento importante que define como as vulnerabilidades, eventos e incidentes de segurana so reportadas, classificadas e tratadas. Este procedimento tambm define como aprender das informaes de incidentes de segurana, para que possam ser prevenidos na prxima vez. Tal procedimento tambm pode chamar o plano de continuidade de negcios se um incidente causou um interrupo demorada.

Procedimentos de continuidade de negcios

Estes so normalmente planos de continuidade de negcios, planos de respostas a incidentes, planos de recuperao para o aspecto administrativo da empresa e planos de recuperao de desastre (planos de recuperao para a infraestrutura de TI). Estes so melhor descritos na norma ISO 22301, a norma lder internacional para a continuidade de negcios.
2013 Information Security & Business Continuity Academy www.iso27001standard.com Pgina 6 de 10

Para saber mais, clique aqui: Plano de continuidade de negcios: Como estrutur-lo de acordo com o ISO 22301.

Requisitos legais, regulatrios e contratuais

Esta lista deve ser feita nos estgios iniciais do projeto assim que for possvel, porque muitos documentos tm de ser desenvolvidos de acordo com estas entradas. Esta lista deve incluir no somente as responsabilidades para estar em conformidade com determinados requisitos, mas tambm os prazos.

Registros de treinamento, conhecimentos, experincia e qualificao

Estes registros so normalmente mantidos pelo departamento de recursos humanos - caso voc no tenha tal departamento, qualquer pessoa que normalmente mantm os registros de funcionrios deveria fazer este trabalho, Basicamente, uma pasta com todos os documentos inseridos deve bastar.

Resultados de monitoramento e medio

A forma mais fcil de descrever como os controles devem ser medidos atravs de polticas e procedimentos que definem cada controle - normalmente, esta descrio pode ser redigida no fim de cada documento, e tal descrio define os tipos de KPIs (principais indicadores de desempenho) que precisam ser mensurados para cada controle ou grupo de controles. Aps este mtodo de medio estiver em vigor, voc deve executar a medio de acordo. importante reportar estes resultados regularmente para as pessoas responsveis por avaliar os mesmos. Leia mais aqui: Objetivos dos controles ISO 27001 Por qu eles so to importantes?

Programa de auditoria interna

O programa de auditoria interna nada mais que um plano de 1 ano para executar as auditorias - para uma empresa de pequeno porte esta pode ser apenas uma auditoria,
2013 Information Security & Business Continuity Academy www.iso27001standard.com Pgina 7 de 10

enquanto que para empresas maiores pode ser uma srie de, por exemplo, 20 auditoria internas. Este programa deve definir que ir executar as auditorias, mtodos, critrios de auditoria, etc.

Resultados de auditoria interna

Um auditor interno precisa produzir o relatrio de auditoria, que inclui os levantamentos da auditoria (observaes e aes corretivas). Tal relatrio deve ser produzido dentro de alguns dias aps a execuo da auditoria interna. Em alguns casos, o auditor interno ter que verificar se todas as aes corretivas foram executadas como esperado.

Resultados da reviso de gesto

Estes registros so normalmente na forma de atas de reunio - eles devem incluir todos os materiais que estavam envolvidos na reunio da direo, assim como todas as decises que foram tomadas. A ata pode ser em papel ou formato digital.

Resultados de aes corretivas

Estes so tradicionalmente includos nos formulrios de ao corretiva (CARs). No entanto, muito melhor incluir tais registros em algum aplicativo que j que ele usado em uma organizao para o Help Desk - j que as aes corretivas so apenas listas de tarefas com responsabilidades, tarefas e prazos claramente definidas.

Registros de atividades de usurio, excees e eventos de segurana

Estes so normalmente mantidos em dois formatos: (1) em formato digital, automaticamente ou semi-automaticamente produzidos como registros de diversos sistemas de TI e outros, e (2) em formato de papel, onde cada registro redigido manualmente.

Procedimento para controle de documento

Este normalmente um procedimento independente, com 2 ou 3 pginas, Caso voc j tenha implementado alguma outra norma como o ISO 9001, ISO 14001, ISO 22301 ou
2013 Information Security & Business Continuity Academy www.iso27001standard.com Pgina 8 de 10

similar, poder usar o mesmo procedimento para todos estes sistemas de gesto. Algumas vezes melhor redigir este procedimento como o primeiro documento em um projeto. Leia mais aqui: Gesto de documentos no ISO 27001 e BS 25999-2.

Controles para a gesto de registros

A forma mais fcil a de descrever o controle de registros em cada poltica ou procedimento (ou outro documento) que requer que um registro seja criado. Estes controles so normalmente redigidos no fim de cada documento, e so normalmente na forma de uma tabela que descreve onde o registro est arquivado, quem tem acesso, como est protegido, por quanto tempo fica arquivado, etc.

Procedimento para auditoria interna

Este normalmente um procedimento independente que pode ter 2 a 3 pginas e deve ser redigido antes que a auditoria interna inicie. Da mesma forma que o do controle de documento, um procedimento para a auditoria interna pode ser usados para qualquer sistema de gesto. Leia mais aqui: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2.

Procedimentos para ao corretiva

Este procedimento no deve ter mais que 2 a 3 pginas e pode ser redigido no fim do projeto de implementao, embora seja melhor redigir o mesmo o mais cedo possvel para que os funcionrios se acostumem com o mesmo. Leia mais aqui: Procedimentos obrigatrios documentados exigidos pela norma ISO 27001.

2013 Information Security & Business Continuity Academy www.iso27001standard.com

Pgina 9 de 10

4) Modelos de documentao de amostra

Aqui voc pode baixar uma visualizao grtis do Kit de documentao do ISO 27001 e ISO 22301 nesta visualizao grtis ser possvel ver o ndice de cada poltica e procedimento mencionado, assim como algumas sees de cada documento.

2013 Information Security & Business Continuity Academy www.iso27001standard.com

Pgina 10 de 10