ISO e Normas: Declaração de Aplicabilidade(DoA) a Ser Inserida no Certificado da ISO 27001

Posted on By Categoria: Outros Nenhum comentário em ISO e Normas: Declaração de Aplicabilidade(DoA) a Ser Inserida no Certificado da ISO 27001

A ISO 27001 e a ISO 27701 são duas normas relacionadas à gestão da segurança da informação e à privacidade de dados pessoais. A Declaração de Aplicabilidade (DoA) é um documento que descreve quais controles de segurança e privacidade foram implementados em uma organização, com base nas recomendações das normas.

A inclusão da DoA no certificado de conformidade com a ISO 27001 e/ou ISO 27701 é opcional, mas geralmente recomendada para fornecer transparência e credibilidade às partes interessadas.

Os números e versões específicos das normas e da DoA podem variar de acordo com o contexto e a situação da organização. No entanto, algumas diretrizes gerais podem ser úteis:

  • A ISO 27001 é a norma principal para a gestão da segurança da informação. A versão mais recente é a ISO 27001:2013.
  • A ISO 27701 é uma extensão da ISO 27001 que fornece diretrizes para a gestão da privacidade de dados pessoais. A versão mais recente é a ISO 27701:2019.
  • A DoA deve incluir uma lista completa dos controles de segurança e privacidade implementados pela organização, bem como a justificativa para cada um deles. A lista deve ser baseada nos anexos A e C das normas ISO 27001 e ISO 27701, respectivamente.
  • A DoA também deve indicar quais controles não foram implementados e por quê. Essa lista deve ser mantida o mais curta possível e justificada adequadamente.
  • A DoA deve ser revisada e atualizada periodicamente para refletir mudanças na organização, no ambiente de ameaças, nas leis e regulamentos aplicáveis, etc.

Exemplo de referência da DoA no certificado: “Este certificado atesta que a [nome da organização] implementou um Sistema de Gestão da Segurança da Informação (SGSI) e um Sistema de Gestão da Privacidade de Dados Pessoais (SGPDP) em conformidade com as normas ISO 27001:2013 e ISO 27701:2019, respectivamente. A Declaração de Aplicabilidade da organização (versão X) descreve quais controles foram implementados e está disponível mediante solicitação.”

A DoA é um documento que deve ser elaborado pela própria organização, pois é baseado nas práticas e políticas internas da empresa. Como modelo geral, a DoA costuma ser organizada em uma tabela com as seguintes colunas:

  • Identificador do controle (geralmente uma referência numérica ou alfabética)
  • Descrição do controle
  • Estado do controle (implementado ou não implementado)
  • Justificativa para a inclusão do controle (explicando por que o controle é relevante para a organização)
  • Referência cruzada com os requisitos da norma (para mostrar como cada controle atende aos requisitos da norma)

Exemplo

Abaixo estão alguns exemplos de organizações que obtiveram certificação ISO 27001 e/ou ISO 27701 e incluíram a Declaração de Aplicabilidade em seus certificados:

  • Empresa X: obteve certificação ISO 27001 em 2020 e incluiu a DoA no certificado. A DoA descreveu 120 controles de segurança implementados, incluindo controles relacionados à gestão de acessos, gestão de incidentes, gestão de continuidade de negócios, entre outros.
  • Organização Y: obteve certificação ISO 27701 em 2021 e incluiu a DoA no certificado de conformidade com a ISO 27001 já obtido em anos anteriores. A DoA descreveu 25 controles de privacidade implementados, incluindo controles relacionados à gestão de consentimento, gestão de direitos de titulares de dados, gestão de transferência internacional de dados, entre outros.
  • Empresa Z: obteve certificação ISO 27001 e ISO 27701 em conjunto em 2019 e incluiu a DoA no certificado. A DoA descreveu 150 controles de segurança e privacidade implementados, incluindo controles relacionados à gestão de riscos, gestão de políticas de segurança e privacidade, gestão de terceiros, entre outros.
  • A empresa ABC, uma empresa de software com sede nos Estados Unidos, obteve a certificação ISO 27001 em 2020. Seu certificado de conformidade incluiu uma declaração de aplicabilidade detalhada, que descreveu os controles de segurança que foram implementados. A DoA incluiu uma lista completa de controles de segurança, incluindo gerenciamento de acesso, gerenciamento de vulnerabilidades, monitoramento de segurança e backups, entre outros.
  • A organização XYZ, um provedor de serviços financeiros com sede na Europa, obteve a certificação ISO 27701 em 2021. Em seu certificado de conformidade, a empresa incluiu uma declaração de aplicabilidade que descreveu os controles de privacidade que foram implementados. A DoA incluiu uma lista completa de controles de privacidade, incluindo gerenciamento de consentimento, gerenciamento de solicitações de titulares de dados, gerenciamento de transferência internacional de dados, entre outros.
  • A empresa DEF, uma empresa de consultoria com sede na Ásia, obteve a certificação ISO 27001 em 2019 e incluiu a DoA no certificado de conformidade. A DoA descreveu 110 controles de segurança implementados, incluindo controles relacionados à gestão de incidentes, gestão de backups, gestão de senhas e autenticação, entre outros.

Uncategorized

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Share via
Facebook
Twitter
LinkedIn
Mix
Email
Print
Copy Link
Copy link
CopyCopied