Continuando a apresentação dos requisitos da norma, iniciada no artigo Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 2, serão abordados os demais requisitos, tais como documentação, responsabilidades da direção, entre outros.
Requisitos de Documentação
Devem estar incluídos na documentação do SGSI as declarações documentadas da política, os objetivos e o escopo do SGSI; os procedimentos documentados e controles, incluindo aqueles relacionados ao planejamento, à operação e ao controle dos processos de segurança da informação; a metodologia descrita para análise e avaliação de riscos e o relatório dessa avaliação; o plano de tratamento de riscos; os registros descritos na norma no item Controle de Registros (descrito mais adiante) e a Declaração de Aplicabilidade. As decisões da Direção também devem ser registradas e os registros dos resultados devem ser reproduzíveis. Também é importante que os controles selecionados sejam relacionados com os resultados da análise e avaliação dos riscos.
Controle de Documentos
Um procedimento documentado deve ser estabelecido definindo ações para aprovar e atualizar documentos; assegurar que as alterações e as versões dos documentos sejam identificadas e estejam disponíveis quando necessárias; garantir a legibilidade, a identificação, o armazenamento, o controle da distribuição e o descarte dos documentos; identificar documentos de origem externa e prevenir o uso não intencional de documentos obsoletos.
Controle de Registros
Os registros são elementos utilizados para evidenciar a conformidade aos requisitos e a eficácia da operação de um SGSI. Eles devem ser controlados, sendo identificados, armazenados, protegidos, recuperáveis prontamente e com tempo de retenção definido. Registros do desempenho do processo e de todas as ocorrências de incidentes devem ser mantidos.
Seção 5 – Responsabilidades da Direção
O comprometimento da Direção com o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação deve ser evidenciado através do estabelecimento da política do SGSI; da garantia de que os planos e os objetivos do SGSI são estabelecidos; de que papéis e responsabilidades pela segurança da informação foram estabelecidos; da comunicação com a organização informando a importância do atendimento dos objetivos de segurança da informação; da provisão suficiente de recursos para o SGSI; da definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; da garantia da execução das auditorias internas e da realização de análises críticas pela Direção.
Gestão de Recursos
A organização deve determinar e prover recursos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.
Ela também deve assegurar que as pessoas têm as competências necessárias para executar atividades relacionadas à segurança da informação, contratando pessoal capacitado ou fornecendo treinamentos, quando necessário. Deve ainda registrar a educação, o treinamento, as habilidades, as experiências e a qualificação do pessoal.
Seção 6 – Auditorias Internas do SGSI
As auditorias internas devem ser planejadas para determinar se objetivos de controle, os controles, os processos e procedimentos do SGSI atendem à norma, à legislação pertinente, aos requisitos de segurança da informação identificados, se são mantidos e implementados de modo eficaz e, sobretudo, se são executados conforme definidos.
Devem ser definidos ainda os critérios de auditoria, escopo, frequência e métodos a serem utilizados, bem como devem ser selecionados auditores que assegurem objetividade e imparcialidade à auditoria. Ressalta-se que as responsabilidades e os requisitos para planejar e executar auditorias, relatar resultados e manter registros devem estar definidos em procedimento documentado.
Seção 7 – Análise Crítica do SGSI pela Direção
O SGSI deve ser analisado criticamente pela Direção em intervalos planejados (ao menos uma vez por ano), incluindo a avaliação de oportunidades para melhoria e necessidades de mudança do SGSI. Os resultados dessas análises devem ser documentados e os registros mantidos. A tabela abaixo exibe as entradas que devem ser incluídas para realizar a análise crítica, bem como as decisões e ações advindas dessa análise (saídas).
Seção 8 – Melhoria do SGSI
A organização deve continuamente melhorar o SGSI através da política de segurança da informação, dos resultados das auditorias, das análises de eventos monitorados, da análise crítica pela Direção e das ações corretivas e preventivas. Devem existir procedimentos documentados para essas ações, conforme mostrado na tabela abaixo:
Conclusão
Como visto, a norma ABNT NBR ISO/IEC 27001 contempla requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.
Ela foi concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 9001 (ainda que seja relacionada à versão 2000) e à ABNT NBR ISO 14001:2004 (vide Anexo C da norma: Correspondência entre a ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 e esta Norma).
Portanto, organizações que tiverem seus sistemas de gestão certificados nessas normas poderão alinhar e integrar um SGSI com os requisitos desses sistemas de gestão de forma consistente.
Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. ABNT, 2006.