{"id":4814,"date":"2010-12-21T23:11:59","date_gmt":"2010-12-21T23:11:59","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/12\/21\/problemas-com-a-definicao-do-escopo-da-norma-iso-27001\/"},"modified":"2022-07-17T15:43:45","modified_gmt":"2022-07-17T15:43:45","slug":"problemas-com-a-definicao-do-escopo-da-norma-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/21\/problemas-com-a-definicao-do-escopo-da-norma-iso-27001\/","title":{"rendered":"Problemas com a defini\u00e7\u00e3o do escopo da norma ISO 27001"},"content":{"rendered":"<p>Voc\u00ea provavelmente j\u00e1 sabia que o primeiro passo para a implementa\u00e7\u00e3o da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> \u00e9 a defini\u00e7\u00e3o do <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/documento-sobre-o-escopo-do-sgsi\/\" target=\"_blank\" rel=\"noopener\">escopo<\/a>. O que voc\u00ea provavelmente n\u00e3o sabia \u00e9 que esta etapa, apesar de parecer simples \u00e0 primeira vista, \u00e0s vezes pode causar uma por\u00e7\u00e3o de problemas. Ou seja, muitas empresas est\u00e3o tentando diminuir os custos de sua implementa\u00e7\u00e3o diminuindo escopo, mas muitas vezes se encontram em uma situa\u00e7\u00e3o em que esse escopo \u00e9 uma verdadeira dor de cabe\u00e7a.<\/p>\n<p>Ent\u00e3o, onde est\u00e1 o problema?<\/p>\n<p>O problema quando o escopo da ISO 27001 n\u00e3o \u00e9 toda a organiza\u00e7\u00e3o \u00e9 que o Sistema de gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o (SGSI) deve ter interfaces com o mundo &#8220;exterior&#8221;; nesse contexto, o mundo exterior n\u00e3o s\u00e3o apenas os clientes, parceiros, fornecedores etc., mas tamb\u00e9m os departamentos da organiza\u00e7\u00e3o que n\u00e3o est\u00e3o dentro do escopo. Pode parecer estranho, mas um departamento que n\u00e3o esteja dentro do escopo deve ser tratado da mesma forma que um fornecedor externo.<\/p>\n<p>Por exemplo, se voc\u00ea escolher que somente o departamento de TI estar\u00e1 dentro do escopo, e esse departamento estiver utilizando os servi\u00e7os do departamento de compras, o departamento de TI deve efetuar a avalia\u00e7\u00e3o de riscos do seu departamento de compras para identificar se existem riscos para as informa\u00e7\u00f5es pelas quais o departamento de TI \u00e9 respons\u00e1vel, al\u00e9m disso, os dois departamentos devem assinar termos e condi\u00e7\u00f5es para os servi\u00e7os prestados.<\/p>\n<p>Por que tal sobrecarga \u00e9 necess\u00e1ria? Voc\u00ea tem de se colocar no lugar do organismo de certifica\u00e7\u00e3o, pois este deve certificar que dentro dos seu escopo, voc\u00ea \u00e9 capaz de lidar com as informa\u00e7\u00f5es de forma segura, embora n\u00e3o possa verificar nenhum dos departamentos fora do escopo. A \u00fanica maneira de lidar com essa situa\u00e7\u00e3o \u00e9 tratar os departamentos como se fossem empresas externas. (Aten\u00e7\u00e3o: os auditores de certifica\u00e7\u00e3o nunca gostam de escopos pequenos.)<\/p>\n<p>Os problemas n\u00e3o param por aqui. \u00c0s vezes, escopos pequenos simplesmente n\u00e3o s\u00e3o poss\u00edveis, porque n\u00e3o h\u00e1 uma interface com o mundo exterior. Por exemplo, se os funcion\u00e1rios de dentro e de fora do escopo trabalham na mesma sala, esse escopo \u00e9 pouco vi\u00e1vel; se tanto os funcion\u00e1rios de dentro do escopo quanto os de fora utilizam a mesma rede local (sem discrimina\u00e7\u00e3o) e t\u00eam acesso a v\u00e1rios servi\u00e7os de rede, esse escopo definitivamente n\u00e3o \u00e9 poss\u00edvel, pois n\u00e3o h\u00e1 como controlar o fluxo de informa\u00e7\u00f5es somente dentro do escopo.<\/p>\n<p>Ou seja, diminuir escopo do SGSI \u00e0s vezes \u00e9 imposs\u00edvel, e na maioria dos casos isso ir\u00e1 lhe trazer uma sobrecarga desnecess\u00e1ria. Portanto, o que inicialmente n\u00e3o parecia ser uma boa solu\u00e7\u00e3o, pode ser a melhor op\u00e7\u00e3o no final. Tente estender seu escopo a toda a organiza\u00e7\u00e3o. A regra geral \u00e9: se sua organiza\u00e7\u00e3o n\u00e3o tem mais do que algumas centenas de funcion\u00e1rios e uma ou apenas algumas sedes, o melhor seria o SGSI abranger toda a organiza\u00e7\u00e3o.<\/p>\n<p>Por outro lado, se voc\u00ea realmente n\u00e3o pode abranger toda a organiza\u00e7\u00e3o dentro do escopo do SGSI, tente defini-lo em uma unidade organizacional que seja suficientemente independente; tente resolver as rela\u00e7\u00f5es com as outras unidades organizacionais de fora do escopo, determinando seu servi\u00e7o por meio de documentos internos (pol\u00edticas, procedimentos etc.), que serviriam de &#8220;acordos&#8221;; de tal forma que voc\u00ea poderia documentar as obriga\u00e7\u00f5es dessas unidades organizacionais de uma maneira que seja utiliz\u00e1vel nas opera\u00e7\u00f5es di\u00e1rias.<\/p>\n<p>Pronto! Voc\u00ea j\u00e1 resolveu o primeiro passo da implementa\u00e7\u00e3o da ISO 27001.<\/p>\n<p><em>Saiba mais sobre como definir o escopo do SGSI neste treinamento on-line gratuito <\/em><a href=\"https:\/\/staging.advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 Foundations Course<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Voc\u00ea provavelmente j\u00e1 sabia que o primeiro passo para a implementa\u00e7\u00e3o da ISO 27001 \u00e9 a defini\u00e7\u00e3o do escopo. O que voc\u00ea provavelmente n\u00e3o sabia \u00e9 que esta etapa, apesar de parecer simples \u00e0 primeira vista, \u00e0s vezes pode causar uma por\u00e7\u00e3o de problemas. Ou seja, muitas empresas est\u00e3o tentando diminuir os custos de sua &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4814","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4814","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4814"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4814\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4814"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4814"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4814"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}