{"id":4432,"date":"2015-01-13T18:25:09","date_gmt":"2015-01-13T18:25:09","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/01\/13\/explanacao-da-terminologia-basica-das-normas-iso\/"},"modified":"2022-07-17T15:43:32","modified_gmt":"2022-07-17T15:43:32","slug":"explanacao-da-terminologia-basica-das-normas-iso","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2015\/01\/13\/explanacao-da-terminologia-basica-das-normas-iso\/","title":{"rendered":"Explana\u00e7\u00e3o da terminologia b\u00e1sica das normas ISO"},"content":{"rendered":"

Quando ministro v\u00e1rios treinamentos de ISO 27001<\/a> e ISO 22301<\/a>, sempre ocorre que um dos assuntos mais abordados \u00e9 sobre quais pol\u00edticas e procedimentos precisam ser documentados, e quais n\u00e3o.<\/p>\n

Claro, existem alguns outros assuntos acalorados, mas muitos destes acontecem porque para algu\u00e9m novo no mundo ISO (n\u00e3o apenas na ISO 27001 e ISO 22301, mas tamb\u00e9m na ISO 9001<\/a>, ISO 14001<\/a>, ISO 20000<\/a>, etc.) n\u00e3o \u00e9 f\u00e1cil entender alguns voc\u00e1bulos espec\u00edficos para estas normas \u2013 aqui est\u00e1 uma explana\u00e7\u00e3o dos termos que causam as d\u00favidas mais comuns.<\/p>\n

Quais pol\u00edticas e procedimentos precisam ser documentados?<\/h2>\n

Quando voc\u00ea v\u00ea as palavras pol\u00edtica<\/em> ou procedimento<\/em> em uma norma ISO, isto n\u00e3o significa que tal documento precisa ser escrito. Uma pol\u00edtica ou um procedimento precisa ser escrito apenas se a palavra documentado<\/em> encontra-se associada a ela.<\/p>\n

Por exemplo, a Pol\u00edtica de controle de acesso<\/a> do controle A.9.1.1 da ISO 27001 precisa ser escrita por que o controle diz\u201c\u2026 pol\u00edtica deve ser estabelecida, documentada<\/em> e \u2026.\u201d ao contr\u00e1rio da Pol\u00edtica de c\u00f3pias de seguran\u00e7a<\/a>, que n\u00e3o precisa ser escrita porque no controle A.12.3.1 da ISO 27001 n\u00e3o h\u00e1 men\u00e7\u00e3o \u00e0 palavra documentada<\/em>.<\/p>\n

Por que as normas ISO mencionam as palavras pol\u00edtica<\/em> ou um procedimento<\/em> se eles n\u00e3o precisam ser documentados? Porque a pol\u00edtica ou um procedimento poderia tamb\u00e9m ser expressado verbalmente, sem ser escrito. Por exemplo, voc\u00ea pode definir um procedimento simples (como atender o telefone) de forma bem precisa acordando verbalmente com todos os participantes sobre como ele precisa ser feito \u2013 voc\u00ea n\u00e3o precisa escrever um documento para ele. Da mesma forma, algumas pol\u00edticas podem ser parte da configura\u00e7\u00e3o de sistemas de informa\u00e7\u00e3o (e.g., a pol\u00edtica de senhas) sem haver um documento separado para ela.<\/p>\n

A diferen\u00e7a entre deve (shall)<\/em> e conv\u00e9m (should)<\/em><\/h2>\n

Voc\u00ea precisa implementar certos requisitos da norma apenas se voc\u00ea ver a palavra deve (shall) \u2013 quando voc\u00ea v\u00ea deveria (should) ele n\u00e3o \u00e9 obrigat\u00f3rio. Esta diferen\u00e7a \u00e9 a mais \u00f3bvia entre as normas que especificam requisitos (i.e., ISO 27001) e as normas que s\u00e3o apenas orienta\u00e7\u00f5es (i.e., ISO 27002) \u2013 na ISO 27001 voc\u00ea ver\u00e1 repetidamente a palavra deve<\/em>, enquanto que a ISO 27002 primariamente usa deveria<\/em>.<\/p>\n

Isto ocorre porque a ISO 27001 \u00e9 uma norma contra a qual sua organiza\u00e7\u00e3o pode ser certificada, assim ela especifica o que voc\u00ea deve fazer para estar em conformidade com ela; a ISO 27002 \u00e9 apena um guia para a implementa\u00e7\u00e3o, ent\u00e3o \u00e9 algo que voc\u00ea pode ou n\u00e3o usar. Veja este artigo para uma explana\u00e7\u00e3o mais detalhada: Semelhan\u00e7as e diferen\u00e7as entre a ISO 27001 e a ISO 27002<\/a>.<\/p>\n

Quais partes da norma s\u00e3o obrigat\u00f3rias?<\/h2>\n

Basicamente, apenas a parte principal da norma (clausulas de 1 a 10) \u00e9 obrigat\u00f3ria, enquanto os anexos devem ser implementados apenas se eles tem a palavra normativa<\/em> associada a eles.<\/p>\n

Por exemplo, o Anexo A da ISO 27001:2013 \u00e9 chamado \u201cAnexo A (normativo) Refer\u00eancia aos controles e objetivos de controle,\u201d o que significa que ele deve ser implementado (claro, a implementa\u00e7\u00e3o de cada controle depende do resultado da avalia\u00e7\u00e3o de riscos). Ao contr\u00e1rio disso, os Anexos A e B da ISO 9001:2008 s\u00e3o informativos, o que significa que eles n\u00e3o s\u00e3o mandat\u00f3rios \u2013 eles exitem apenas para dar a voc\u00ea alguma informa\u00e7\u00e3o adicional.<\/p>\n

O que voc\u00ea pode excluir do escopo?<\/h2>\n

Aten\u00e7\u00e3o ao ver a palavra escope<\/em>, porque ela \u00e9 definida diferentemente de uma norma ISO para outra.<\/p>\n

Por exemplo, ao definir seu escopo na ISO 27001, voc\u00ea n\u00e3o deveria ler apenas a cl\u00e1usula 1 chamada \u201cEscope,\u201d mas tamb\u00e9m a cl\u00e1usula 4.3 chamada \u201cDeterminando o escopo do sistema de gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o.\u201d Quando a palavra escope<\/em> \u00e9 mencionada na ISO 27001, isso n\u00e3o significa que voc\u00ea pode excluir alguns controles porque voc\u00ea n\u00e3o gosta deles ou porque voc\u00ea pensa que eles s\u00e3o muito dispendiosos; a exclus\u00e3o dos controles \u00e9 permitida apenas ap\u00f3s sua avalia\u00e7\u00e3o de riscos \u2013 uma vez que voc\u00ea perceba que n\u00e3o existem riscos que requeiram certos controles. Veja tamb\u00e9m Como definir o escopo do SGSI<\/a>.<\/p>\n

Por outro lado, exclus\u00f5es do escopo na ISO 9001:2008 s\u00e3o muito melhor explicadas (cl\u00e1usula 1.2 \u201cAplica\u00e7\u00e3o\u201d) uma vez que estas exclus\u00f5es s\u00e3o mais diretas \u2013 voc\u00ea pode decidir excluir certos requisitos da cl\u00e1usula 7 sem ter que realizar algum tipo de an\u00e1lise primeiro.<\/p>\n

Na ISO 22301, o escopo \u00e9 definido nas cl\u00e1usulas 1 \u201cEscope\u201d e 4.3.2 \u201cEscopo do SGCN.\u201d Ao contr\u00e1rio da ISO 27001, as exclus\u00f5es do escopo n\u00e3o s\u00e3o baseadas na avalia\u00e7\u00e3o de risco \u2013 para definir as exclus\u00f5es da ISO 22301, voc\u00ea tem que ter certeza de que elas n\u00e3o afetar\u00e3o a resili\u00eancia organizacional; ent\u00e3o, algum tipo de an\u00e1lise pr\u00e9via ser\u00e1 requerida.<\/p>\n

Torne sua implementa\u00e7\u00e3o mais f\u00e1cil<\/h2>\n

Qual o prop\u00f3sito de tudo isto? Se voc\u00ea entender como as normas ISO s\u00e3o escritas, voc\u00ea ter\u00e1 um trabalho muito mais f\u00e1cil ao implement\u00e1-las. Por exemplo, voc\u00ea n\u00e3o precisa de um documento cada vez que uma pol\u00edtica<\/em> ou um procedimento<\/em> \u00e9 mencionado; voc\u00ea n\u00e3o precisa implementar algo a menos que ele diga deve<\/em>; voc\u00ea n\u00e3o precisa implementar todos os anexos, apenas aqueles que s\u00e3o normativos; e finalmente, se voc\u00ea definir seu escopo corretamente logo no in\u00edcio voc\u00ea ter\u00e1 um trabalho muito mais f\u00e1cil durante toda a implementa\u00e7\u00e3o.<\/p>\n

Ent\u00e3o tenha certeza de ler as normas corretamente.<\/p>\n

Clique aqui para ver uma lista de <\/em>Documentos Obrigat\u00f3rios da ISO 27001<\/a>, um artigo que prov\u00ea uma breve explana\u00e7\u00e3o do prop\u00f3sito de cada documento obrigat\u00f3rio.<\/em><\/p>\n

N\u00f3s agradecemos a Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Quando ministro v\u00e1rios treinamentos de ISO 27001 e ISO 22301, sempre ocorre que um dos assuntos mais abordados \u00e9 sobre quais pol\u00edticas e procedimentos precisam ser documentados, e quais n\u00e3o. Claro, existem alguns outros assuntos acalorados, mas muitos destes acontecem porque para algu\u00e9m novo no mundo ISO (n\u00e3o apenas na ISO 27001 e ISO 22301, …<\/p>\n","protected":false},"author":26,"featured_media":4433,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906,1549,1550],"class_list":["post-4432","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br","tag-iso-14001-pt-br-2","tag-iso-9001-pt-br-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4432","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4432"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4432\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4433"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4432"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4432"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4432"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}