{"id":9311,"date":"2016-05-31T11:47:45","date_gmt":"2016-05-31T11:47:45","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9311"},"modified":"2022-07-17T15:43:22","modified_gmt":"2022-07-17T15:43:22","slug":"o-que-voce-deveria-escrever-em-sua-politica-de-seguranca-da-informacao-de-acordo-com-a-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/05\/31\/o-que-voce-deveria-escrever-em-sua-politica-de-seguranca-da-informacao-de-acordo-com-a-iso-27001\/","title":{"rendered":"O que voc\u00ea deveria escrever em sua Pol\u00edtica de Seguran\u00e7a da informa\u00e7\u00e3o de acordo com a ISO 27001?"},"content":{"rendered":"<p>O conte\u00fado da Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o \u00e9 certamente um dos maiores mitos relacionados a <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a> \u2013 muito frequentemente o prop\u00f3sito deste documento \u00e9 mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua seguran\u00e7a neste documento.<\/p>\n<p>Bem, isto n\u00e3o \u00e9 o que a ISO 27001 requer. Assim, vejamos sobre o que tudo isso se trata. (Veja tamb\u00e9m: <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2011\/01\/24\/os-5-maiores-mitos-sobre-a-iso-27001\/\">Os 5 maiores mitos sobre a ISO 27001<\/a>)<\/p>\n<h2><strong>O prop\u00f3sito da Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o<\/strong><\/h2>\n<p>Em muitos casos, os executivos n\u00e3o t\u00eam ideia de como a seguran\u00e7a da informa\u00e7\u00e3o pode ajudar suas organiza\u00e7\u00f5es, assim o principal prop\u00f3sito da <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/politica-do-sistema-de-gestao-da-seguranca-da-informacao\/\" target=\"_blank\" rel=\"noopener\">pol\u00edtica<\/a>\u00a0\u00e9 que a alta administra\u00e7\u00e3o defina o que ela quer obter com a seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n<p>O Segundo prop\u00f3sito \u00e9 criar um documento que os executivos v\u00e3o achar f\u00e1cil de entender, e com o qual eles ser\u00e3o capazes de controlar tudo o que est\u00e1 acontecendo dentro do SGSI \u2013 eles n\u00e3o precisam saber dos detalhes da, digamos, avalia\u00e7\u00e3o de riscos, mas eles precisam saber quem \u00e9 o respons\u00e1vel pelo SGSI, e o que esperar dele.<\/p>\n<h2><strong>O que a Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o deveria conter?<\/strong><\/h2>\n<p>A ISO 27001 n\u00e3o diz muita coisa sobre a pol\u00edtica, mas ela diz o seguinte:<\/p>\n<ul>\n<li>A pol\u00edtica precisa estar adaptada a organiza\u00e7\u00e3o \u2013 isto significa que voc\u00ea n\u00e3o pode simplesmente copiar a pol\u00edtica de uma grande empresa de manufatura e us\u00e1-la em sua pequena companhia de TI.<\/li>\n<li>Ela precisa definir a estrutura para estabelecer os objetivos de seguran\u00e7a da informa\u00e7\u00e3o \u2013 basicamente, a pol\u00edtica precisa definir como os objetivos s\u00e3o propostos, como eles s\u00e3o aprovados, e como s\u00e3o revisados. Veja tamb\u00e9m: <a href=\"https:\/\/staging.advisera.com\/27001academy\/blog\/2012\/04\/10\/iso-27001-control-objectives-why-are-they-important\/\">ISO 27001 control objectives \u2013 Why are they important?<\/a><\/li>\n<li>A pol\u00edtica deve mostrar o comprometimento da alta administra\u00e7\u00e3o em atender aos requisitos de todas as partes interessadas, e para continuamente melhorar o SGSI \u2013 isto \u00e9 normalmente feito atrav\u00e9s de um tipo de declara\u00e7\u00e3o dentro da pol\u00edtica.<\/li>\n<li>A pol\u00edtica deve ser comunicada dentro da organiza\u00e7\u00e3o, mas tamb\u00e9m \u2013 onde apropriado \u2013 para partes interessadas; a melhor pr\u00e1tica \u00e9 definir quem \u00e9 respons\u00e1vel por tal comunica\u00e7\u00e3o, e ent\u00e3o esta pessoa \u00e9 respons\u00e1vel por fazer isso continuamente.<\/li>\n<li>A pol\u00edtica deve ser regularmente revisada \u2013 um propriet\u00e1rio de uma pol\u00edtica deveria ser definido, e esta pessoa \u00e9 respons\u00e1vel por manter a pol\u00edtica atualizada.<\/li>\n<\/ul>\n<p>Assim, como voc\u00ea pode ver, a pol\u00edtica n\u00e3o tem que ser um documento muito extenso. E n\u00e3o, voc\u00ea n\u00e3o precisa incluir todas as regras de seguran\u00e7a neste documento \u2013 para este prop\u00f3sito voc\u00ea escrever\u00e1 pol\u00edticas detalhadas tais como <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/politica-de-controle-de-acesso\/\" target=\"_blank\" rel=\"noopener\">Pol\u00edtica de controle de acesso<\/a>, <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/politica-de-gestao-de-informacoes-classificadas\/\" target=\"_blank\" rel=\"noopener\">Pol\u00edtica de classifica\u00e7\u00e3o da informa\u00e7\u00e3o<\/a>, <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/politica-de-uso-aceitavel-de-ativos\/\" target=\"_blank\" rel=\"noopener\">Pol\u00edtica de uso aceit\u00e1vel<\/a>, etc. Veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/blog\/2014\/11\/04\/como-estruturar-os-documentos-para-os-controles-anexo-da-iso-27001\/\">Como estruturar os documentos para os controles do Anexo A da ISO 27001<\/a>.<\/p>\n<h2><strong>O que voc\u00ea tamb\u00e9m pode incluir<\/strong><\/h2>\n<p>Embora n\u00e3o seja mandat\u00f3rio, se voc\u00ea \u00e9 uma organiza\u00e7\u00e3o pequena voc\u00ea tamb\u00e9m pode incluir o seguinte (para organiza\u00e7\u00f5es maiores, estes assuntos s\u00e3o geralmente documentos separadamente):<\/p>\n<ul>\n<li><strong>O escopo do SGSI<\/strong> \u2013 desta forma o <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/documento-sobre-o-escopo-do-sgsi\/\" target=\"_blank\" rel=\"noopener\">escopo<\/a>\u00a0n\u00e3o tem que existir como um documento separado.<\/li>\n<li><strong>Responsabilidades<\/strong> para partes chave do SGSI \u2013 e.g., quem \u00e9 respons\u00e1vel pelas opera\u00e7\u00f5es e coordena\u00e7\u00e3o do dia a dia, quem \u00e9 respons\u00e1vel no n\u00edvel executivo, quem \u00e9 respons\u00e1vel pela avalia\u00e7\u00e3o de riscos, por incidentes, por auditorias internas, etc.<\/li>\n<li><strong>Medi\u00e7\u00e3o<\/strong> \u2013 quem medir\u00e1 se os objetivos de seguran\u00e7a da informa\u00e7\u00e3o foram atingidos, para quem os resultados precisam ser reportados, com que frequ\u00eancia, etc. (Veja tamb\u00e9m: <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2015\/06\/10\/como-realizar-monitoramento-e-medicao-na-iso-27001\/\">Como realizar monitoramento e medi\u00e7\u00e3o na ISO 27001<\/a>)<\/li>\n<\/ul>\n<p>Em algumas grandes organiza\u00e7\u00f5es tenho visto a Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o integrada com a Pol\u00edtica de Gest\u00e3o de Riscos Corporativos. Embora isto n\u00e3o esteja errado, eu entendo que \u00e9 melhor manter estas pol\u00edticas como documentos separados \u2013 o foco permanece muito mais claro.<\/p>\n<h2><strong>Entradas que s\u00e3o necess\u00e1rias<\/strong><\/h2>\n<p>Existem algumas entradas que voc\u00ea tem que levar em conta ao escrever a pol\u00edtica:<\/p>\n<ul>\n<li>As inten\u00e7\u00f5es da alta administra\u00e7\u00e3o com a seguran\u00e7a da informa\u00e7\u00e3o \u2013 a melhor coisa seria agendar uma entrevista como o seu CEO e passar por todos os elementos da pol\u00edtica; voc\u00ea pode enviar a ele um e-mail alguns dias antes da reuni\u00e3o, para que ele tenha tempo de pensar sobre isso.<\/li>\n<li>Requisitos de legisla\u00e7\u00e3o e contratuais \u2013 sua pol\u00edtica deveria refletir estas.<\/li>\n<li>Sistemas existentes para definir objetivos \u2013 se tais sistemas existem, voc\u00ea deveria fazer refer\u00eancia a eles.<\/li>\n<\/ul>\n<h2><strong>Comece a olhar para esta pol\u00edtica de uma forma diferente<\/strong><\/h2>\n<p>Assim o ponto \u00e9 \u2013 a Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o deveria na verdade server como um elo principal entre sua alta administra\u00e7\u00e3o e suas atividades de seguran\u00e7a da informa\u00e7\u00e3o, especialmente porque a ISO 27001 requer que a gest\u00e3o assegure que o SGSI e seus objetivos s\u00e3o compat\u00edveis com o direcionamento estrat\u00e9gico da organiza\u00e7\u00e3o (cl\u00e1usula 5.2 da ISO 27001). A pol\u00edtica \u00e9 provavelmente a melhor forma de fazer isso.<\/p>\n<p>Assim, voc\u00ea deveria manter esta pol\u00edtica curta e compreens\u00edvel para a sua alta dire\u00e7\u00e3o. E por favor n\u00e3o escreva documentos extensos de 80 p\u00e1ginas tentando explicar todas as regras de seguran\u00e7a da informa\u00e7\u00e3o \u2013 esta \u00e9 a melhor forma de criar um documento que ningu\u00e9m nunca vai ler.<\/p>\n<p><em>Este artigo \u00e9 um trecho do novo livro<\/em>\u00a0\u00a0<strong>Secure &amp; Simple:<\/strong> <strong>A Small-Business Guide to Implementing ISO 27001 On Your Own<\/strong>.\u00a0<span id=\"hs-cta-wrapper-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-wrapper\"><span id=\"hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-node hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\"><a href=\"https:\/\/cta-redirect.hubspot.com\/cta\/redirect\/1983423\/93545c06-4e4f-456b-81bf-42b4639a38aa\" target=\"_blank\" rel=\"noopener\">Clique aqui para ver quais outros t\u00f3picos s\u00e3o abordados\u2026<\/a><\/span><\/span><br \/>\n<!-- end HubSpot Call-to-Action Code --><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>O conte\u00fado da Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o \u00e9 certamente um dos maiores mitos relacionados a ISO 27001 \u2013 muito frequentemente o prop\u00f3sito deste documento \u00e9 mal-entendido, e em muitos casos as pessoas tendem a pensar que elas precisam escrever tudo sobre a sua seguran\u00e7a neste documento. Bem, isto n\u00e3o \u00e9 o que a ISO &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-9311","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=9311"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9311\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=9311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=9311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=9311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}