A ISO 27001 é curta, tem somente 36 páginas. Possui muitas recomendações a serem seguidas sem a necessidade de serem documentadas e outras que, explicitamente se faz necessária a documentação, registro por escrito, para que haja conformidade(compliance).
Veja: Normas e ISOs: O que É um SGSI(Sistema de Gestão da Segurança da Informação)?
Vamos ver o que a ISO 27001 explicitamente nos pede para documentar.
O Item 7.5 da ISO 27001 fala sobre Informação documentada.
4.3 Escopo do Sistema de Gestão da Segurança da Informação
O escopo são os limites e a aplicabilidade do sistema de gestão da segurança
da informação.
O escopo deve estar disponível como informação documentada.
Veja: ISO 27001: Exemplo do Escopo do Sistema de Gestão da Segurança da Informação(SGSI)
5.2 Política do Sistema de Gestão da Segurança da Informação
A política de segurança da informação deve estar disponível como informação documentada;
A política do SGSI deve ser estabelecida pela Alta Direção da instituição.
Deve incluir os objetivos da segurança da informação que está relatada no item 6.2 da iso 27001. Também deve incluir o comprometimento em melhorar o SGSI e satisfazer os requisitos.
Veja: ISO 27001: Exemplo de Política da Segurança da Informação
6.1.2 Risco de Segurança da Informação
A organização deve reter informação documentada sobre o processo de avaliação de risco de segurança da informação.
Avaliar riscos de segurança da informação, criar critérios para aceitação e desempenho das avaliações dos riscos. Os Resultados dessas avaliações devem ser comparáveis, válidos e consistentes.
Também registrar responsáveis pelos riscos assim como consequências e probabilidade de ocorrência realística dos riscos.
Veja: ISO 27001: Exemplo de Risco de Segurança da Informação
6.1.3 Tratamento de riscos de segurança da informação
o final do item 6.1.3 da norma 27001 está escrito:
A organização deve reter a informação documentada relativa ao processo de tratamento dos riscos de segurança da informação.
Após avaliar os riscos deverá ter opções de tratamento do risco e também escolhermos os controles do Anexo A que usaremos ou criar nossos próprios controles para tratar riscos.
Ainda deveremos ter uma declaração contendo o porquê usaremos ou não os controles.
Um plano de tratamento de tratamento dos riscos deverá ser criado.
6.2 Objetivos da Segurança da Informação
A organização deve reter informação documentada dos objetivos de segurança da informação.
Objetivos de segurança da informação para as funções e níveis relevantes devem ser estabelecidos.
7.2 Competência
Reter informação documentada apropriada como evidência da competência.
As pessoas são competentes no que fazem?
Qual competência necessária das pessoas?
Onde aplicável, tomar ações para adquirir a competência necessária e avaliar a eficácia das ações tomadas;
assegurar que essas pessoas são competentes.
7.5 Informação Documentada
Sim, o item 7.5 tem seu título como sendo Informação documentada. Mas é apenas um reforço de toda documentação que ela relatou anteriormente. Ainda fala que além da documentação dessa norma também deve haver a documentação própria da organização e essas documentações podem variar de empresa para empresa. Elas devem ser atualizadas continuamente.
Devemos definir controle de permissão para as pessoas apenas lerem a informação documentada ou a permissão e autoridade para outras verem e alterarem a informação documentada.
8.2 Avaliação de riscos de segurança da informação
A organização deve reter informação documentada dos resultados das avaliações de risco de segurança da informação.
realizar avaliações de riscos de segurança da informação a intervalos planejados ou quando mudanças significativas são propostas ou ocorrem.
8.3 Tratamento de riscos de segurança da informação
A organização deve reter informação documentada dos resultados do tratamento dos riscos de segurança da informação.
A organização deve implementar o plano de tratamento de riscos de segurança da informação.
9.1 Monitoramento, medição, análise e avaliação
A organização deve reter informação documentada apropriada como evidência do monitoramento e dos resultados da medição.
A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação.
9.2 Auditoria interna
reter a informação documentada como evidência dos programas da auditoria e dos resultados da auditoria.
A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:
9.3 Análise crítica pela Direção
A organização deve reter informação documentada como evidência dos resultados das análises críticas pela Direção.
Os resultados da análise crítica pela Direção devem incluir decisões relativas a oportunidades para melhoria contínua e quaisquer necessidades para mudanças do sistema de gestão da segurança da informação.
10.1 Não conformidade e ação corretiva
A organização deve reter informação documentada como evidência da:
a) natureza das não conformidades e quaisquer ações subsequentes tomadas; e
b) resultados de qualquer ação corretiva.
