Artigos

Critérios para decidir quais políticas e normas ISO 27001 escrever

BYODSe você está começando a implementar a ISO 27001 em sua empresa, provavelmente se encontra em um dilema quanto ao número de documentos que precisa ter, e se deve escrever determinadas políticas e procedimentos ou não.

Bem, o primeiro passo é fácil – você precisa verificar se o documento em questão é exigido pela ISO 27001. Para isso, consulte este artigo: Lista de documentos obrigatórios exigidos pela ISO 27001. Se o documento é obrigatório, você não tem nada para pensar – deve escrevê-lo se você quiser estar em conformidade com esta norma.

No entanto, se o documento não é obrigatório, você pode encontrar-se intrigado sobre se precisa escreve-lo ou não. Por exemplo, não é preciso uma política de backup? Ou talvez uma política de classificação? Ou uma política de BYOD? Assim sendo, este post apresenta alguns critérios para ajudá-lo.

Riscos

É preciso primeiramente avaliar os riscos para ver se há a necessidade de determinado controle (veja também: A lógica básica da ISO 27001: Como funciona a segurança da informação). Se não há risco, então certamente você não vai precisar de um documento para ele; se há um risco, isso ainda não significa que você tem que escrever um documento, mas pelo menos você terá resolvido o dilema de saber se o controle é necessário ou não.

Compliance

Há a possibilidade de existir um regulamento ou uma exigência contratual para a escrita de um determinado documento – por exemplo, um regulamento pode exigir que você escreva a política de classificação, ou seu cliente pode exigir a assinar NDAs com seus empregados.

Tamanho da sua empresa

As pequenas empresas tendem a ter menos documentos, por isso, neste caso, você deve tentar evitar escrever um procedimento para cada processo pequeno – por exemplo, se você tem 20 funcionários, você não precisa de 50 documentos para seu SGSI. Por outro lado, se você é uma organização multinacional com 10.000 funcionários, escrevendo políticas onde cada um teria um par de procedimentos relacionados, e, em seguida, para cada processo um par de instruções de trabalho – esta abordagem faz sentido.

Importância

O mais importante de um processo ou atividade é o quanto é provável que você queira escrever uma política ou um procedimento para descrevê-lo – isso ocorre porque você vai querer certificar-se de que todos entendem como realizar tal processo ou atividade, a fim de evitar avarias em suas operações.

Número de pessoas envolvidas

Quanto mais as pessoas executar um processo ou uma atividade, o mais provável é que você vai querer documentá-lo. Por exemplo, se você tem 100 pessoas envolvidas, vai ser muito difícil de explicar verbalmente a todos como executar determinado processo, sendo muito mais fácil escrever um procedimento que possa explicar tudo em detalhes. Por outro lado, se você tiver cinco pessoas envolvidas, você provavelmente pode explicar como funciona todo o processo em uma única reunião, por isso não há necessidade de um procedimento escrito. Há uma exceção, porém: se você tem apenas uma pessoa trabalhando em um processo, você pode querer documentar isso porque ninguém mais sabe como fazê-lo – por isso, se esta pessoa se torna disponível, você será capaz de continuar suas operações .

Complexidade

Quanto mais complexo o processo, o mais provável é que vai precisar de um documento escrito por ele (pelo menos na forma de uma lista) – é simplesmente impossível lembrar, por exemplo, de 100 passos que precisam ser executadas em uma seqüência exata.

Maturidade

Se um atividade ou processo é claramente estabelecido, ou seja, vem sendo executado por anos e todos sabem exatamente como realizá-lo, então provavelmente não há necessidade de documentá-lo.

Frequência

Quanto menor for a frequência da execução de uma atividade ou processo, maior tende ser a necessidade de documenta-lo, de modo que as pessoas não se esqueçam como devem realiza-lo.

Encontre o equilíbrio certo

Quanto mais documentos existirem e quanto mais detalhados forem, mais difícil será para mantê-los e fazer seus funcionários observá-los. Por outro lado, um número menor de documentos e/ou que sejam demasiadamente curtos pode não descrever exatamente o que você precisa fazer.

Na maioria dos casos, o recomendado é não se tornar demasiadamente ambicioso – se não houver absoluta necessidade de criar algum documento novo, não se deve fazê-lo; se não houver necessidade de descrever alguns processos em grande detalhe, deve-se tornar a discrição dos mesmos mais curta. E lembre-se – documentos desnecessários vai lhe trazer nada além de problemas.

Leia mais em: http://www.blog.clavis.com.br/criterios-para-decidir-quais-politicas-e-normas-iso-27001-escrever/

marcos

Professor, Embaixador e Comendador MSc. Marcos Assi, CCO, CRISC, ISFS – Sócio-Diretor da MASSI Consultoria e Treinamento Ltda – especializada em Governança Corporativa, Compliance, Gestão de Riscos, Controles Internos, Mapeamento de processos, Segurança da Informação e Auditoria Interna. Empresa especializada no atendimento de Cooperativas de Crédito e habilitado pelo SESCOOP no Brasil todo para consultoria e Treinamento. Mestre em Ciências Contábeis e Atuariais pela PUC-SP, Bacharel em Ciências Contábeis pela FMU, com Pós-Graduação em Auditoria Interna e Perícia pela FECAP, Certified Compliance Officer – CCO pelo GAFM, Certified in Risk and Information Systems Control – CRISC pelo ISACA e Information Security Foundation – ISFS pelo EXIN.