Embora a ISO 27001 seja construída em torno da implementação de controles de segurança da informação, nenhum deles é universalmente obrigatório para conformidade.
Isso porque o Padrão reconhece que cada organização terá seus próprios requisitos ao desenvolver um SGSI, e que nem todos os controles serão apropriado.
Em vez disso, as organizações são obrigadas a realizar atividades que informam suas decisões sobre quais controles implementar. Neste blog, explicamos o que esses processos envolvem e como você pode concluí-los.
Requisitos de certificação obrigatórios
As duas atividades mais importantes ao implementar a ISO 27001 são:
- Definição do escopo de seu SGSI (cláusula 4.3), em que você define quais informações devem ser protegidas; e
- conduzir uma avaliação de risco e definir uma metodologia de tratamento de risco (cláusula 6.12), na qual você identifica as ameaças às suas informações.
As organizações também devem preencher as seguintes cláusulas obrigatórias:
- Política e objetivos de segurança da informação (cláusulas 5.2 e 6.2)
- Processo de tratamento do risco da informação (cláusula 6.1.3)
- Plano de tratamento de risco (cláusulas 6.1.3 e e 6.2)
- Relatório de avaliação de risco (cláusula 8.2)
- Registros de treinamento, habilidades, experiência e qualificações (cláusula 7.2)
- Resultados de monitoramento e medição (cláusula 9.1)
- Programa de auditoria interna (cláusula 9.2)
- Resultados de auditorias internas (cláusula 9.2)
- Resultados do análise crítica da gestão (cláusula 9.3)
- Resultados das ações corretivas (cláusula 10.1)
E os controles do Anexo A?
O Anexo A descreve os controles que estão associados a vários riscos. Dependendo dos controles que sua organização selecionar, você também deverá documentar:
A Declaração de Aplicabilidade
Não podemos nos aprofundar nos detalhes de todos esses processos aqui ( você pode dar uma olhada em nosso site para mais informações), mas vale a pena destacar o SoA (Declaração de Aplicabilidade), uma peça essencial da documentação dentro do processo de tratamento de risco da informação.
O SoA descreve qual Anexo A controles que você selecionou ou omitiu e explica por que você fez essas escolhas. Ele também deve incluir informações adicionais sobre cada controle e link para documentação relevante sobre sua implementação.
Lidando com o processo de documentação
Ao começar seu projeto de conformidade, você perceberá que a documentação O processo consome muito mais tempo do que a implementação dos próprios requisitos.
Cada cláusula vem com seus próprios requisitos de documentação, o que significa que os gerentes e implementadores de TI terão que lidar com centenas de documentos. Cada política e procedimento deve ser pesquisado, desenvolvido, aprovado e implementado, o que pode levar meses.
Facilitando o processo de documentação
As organizações podem simplificar o processo de conformidade com nossa Documentação ISMS ISO 27001 Toolkit.
Desenvolvido por especialistas em ISO 27001, este conjunto de modelos personalizáveis o ajudará a atender aos requisitos de documentação do Padrão com o mínimo de trabalho possível.
Você pode incorporar a documentação diretamente em seu organização, economizando tempo e dinheiro e com acesso ao suporte por mais de 12 meses, você pode ter certeza da ajuda de um especialista se não tiver certeza sobre qualquer coisa relacionada ao processo de documentação ISO 27001.
Saiba mais sobre o ISO 27001 ISMS Documentation Toolkit > >
Uma versão deste blog foi publicada originalmente em 24 de março de 2016.
Leitura recomendada:
- Quantos controles existem no padrão ISO 27001?