ISO 27001 & BS 25999

Se você ouviu falar que a ISO 27001 exige muitos procedimentos, isso não é verdade. A norma, na verdade, requer apenas quatro procedimentos documentados: um procedimento para o controle de documentos, um procedimento para auditorias internas do SGSI, um procedimento para ação corretiva e um procedimento para ação preventiva. O termo “documentado” significa que “o procedimento é estabelecido, documentado, implementado e mantido” (ISO/IEC 27001, 4.3.1 Nota 1).

Nota: neste post não vou escrever sobre outros documentos obrigatórios, como escopo do SGSI, política do SGSI, Metodologia de Avaliação de Riscos, Relatório de Avaliação de Riscos, Declaração de Aplicabilidade, Plano de Tratamento de Riscos etc. Aqui irei focar somente nos procedimentos.

O procedimento para o controle de documentos (processo de gestão de documentos) deve definir quem é o responsável pela aprovação dos documentos e por revisá-los, como identificar as alterações e o status da revisão, como distribuir os documentos etc. Em outras palavras, esse procedimento deve definir como a corrente sanguínea da organização (o fluxo de documentos) irá funcionar.

O procedimento de auditorias internas deve definir as responsabilidades pelo planejamento e realização das auditorias, como os resultados da auditoria serão relatados e como os registros serão mantidos. Isso significa que as principais regras para a realização da auditoria devem ser definidas.

O procedimento para a ação corretiva deve definir como a inconformidade e suas causas serão identificadas, como as ações necessárias serão definidas e implementadas, quais registros serão feitos e como a revisão dessas ações será executada. O objetivo deste procedimento é definir como cada ação corretiva deve eliminar a causa da inconformidade para que ela não volte a ocorrer.

O procedimento para a ação preventiva é quase o mesmo da ação corretiva, a diferença é que este visa eliminar a causa da inconformidade para que ela não chegue a ocorrer. Devido às suas similaridades, esses dois procedimentos geralmente são unidos em um único.

Mas porque a ISO 27001 requer procedimentos documentados que não estão relacionados à segurança da informação, enquanto os procedimentos de segurança não são obrigatórios?

A resposta está na avaliação de riscos. A ISO 27001 exige que você realize uma avaliação de riscos, e quando essa avaliação de riscos identifica alguns riscos inaceitáveis, a ISO 27001 exige que um controle do seu Anexo A seja implementado para diminuir os riscos. O controle pode ser técnico (por exemplo, antivírus para diminuir o risco de ataques de softwares maliciosos), mas também pode ser organizacional, como implementar uma política ou um procedimento (por exemplo, implementar um processo de back-up). Portanto, os procedimentos se tornam obrigatórios somente se a avaliação de riscos identificar riscos inaceitáveis.

Uma nota importante: ao contrário dos quatro procedimentos obrigatórios que devem ser documentados, os procedimentos decorrentes dos controles do Anexo A não precisam ser documentados. Cabe à organização avaliar se tal procedimento deve ser documentado ou não.

Você pode considerar os quatro procedimentos obrigatórios como os pilares do seu sistema de gestão (em conjunto com a política de segurança) – depois que eles estiverem firmemente assentos no chão, você pode começar a construir as paredes da sua casa. Isso se torna evidente quando se analisa outros sistemas de gestão – os mesmos quatro procedimentos são obrigatórios lá também – na ISO 9001 (sistemas de gestão da qualidade), ISO 14001 (sistemas de gestão ambiental) e BS 25999-2 (sistemas de gestão da continuidade de negócios). Como consequência, você pode usar esses procedimentos como o principal elo entre diferentes sistemas de gestão, se quiser desenvolver o chamado “sistema integrado de gestão”.

Você também pode conferir o tutorial em vídeo Como elaborar o Procedimento de controle de documentos da ISO 27001/ISO 22301 (vídeo vendido comercialmente).

This post is also available in: Inglês, Alemão, Japonês, Espanhol, Croata