{"id":9892,"date":"2016-06-22T09:37:59","date_gmt":"2016-06-22T09:37:59","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=9892"},"modified":"2022-12-29T08:26:22","modified_gmt":"2022-12-29T08:26:22","slug":"como-documentar-papeis-e-responsabilidades-de-acordo-com-a-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2016\/06\/22\/como-documentar-papeis-e-responsabilidades-de-acordo-com-a-iso-27001\/","title":{"rendered":"Como documentar pap\u00e9is e responsabilidades de acordo com a ISO 27001"},"content":{"rendered":"<p>Profissionais de seguran\u00e7a da informa\u00e7\u00e3o que s\u00e3o novos na\u00a0<a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0frequentemente tendem a pensar que esta norma requer uma defini\u00e7\u00e3o muito centralizada e muito detalhada de pap\u00e9is e responsabilidades. Na verdade, isto n\u00e3o \u00e9 verdade.<\/p>\n<p>Por favor n\u00e3o me entenda errado: definir e comunicar pap\u00e9is e responsabilidades \u00e9 importante, porque \u00e9 assim que todos os empregados da organiza\u00e7\u00e3o saber\u00e3o o que \u00e9 esperado deles, qual \u00e9 o impacto deles na seguran\u00e7a da informa\u00e7\u00e3o e como eles podem contribuir. Mas, a ISO 27001 permite que voc\u00ea fa\u00e7a isso de uma forma que \u00e9 natural para o seu neg\u00f3cio, e que n\u00e3o introduz esfor\u00e7o adicional \u2013 vejamos como\u2026<\/p>\n<h2>O que a ISO 27001 requer?<\/h2>\n<p>A cl\u00e1usula 5.3 diz que a alta dire\u00e7\u00e3o deveria designer responsabilidades e autoridades de alto n\u00edvel para dois aspectos principais:<\/p>\n<ul>\n<li>Primeiro s\u00e3o as responsabilidades por assegurar que o SGSI atende aos requisitos da ISO 27001.<\/li>\n<li>E segundo s\u00e3o as responsabilidades pelo monitoramento do desempenho do SGSI e reporte para alta dire\u00e7\u00e3o.<\/li>\n<\/ul>\n<p>As responsabilidades pela implementa\u00e7\u00e3o dos controles deveriam ser documentadas atrav\u00e9s do plano de tratamento de riscos, veja este artigo para detalhes: <a href=\"\/27001academy\/pt-br\/knowledgebase\/plano-de-tratamento-de-risco-e-processo-de-tratamento-de-risco-qual-e-a-diferenca\/\">Plano de Tratamento de Risco e processo de tratamento de risco \u2013 Qual \u00e9 a diferen\u00e7a?<\/a><\/p>\n<p>Al\u00e9m disso, a ISO 27001 menciona responsabilidades em v\u00e1rios locais (e.g. controles e subse\u00e7\u00f5es A.6.1.1, A.7.1.2, A.7.3.1, A.9.3, A.12.1, A.16.1.1, A.18.2.2) contudo ela n\u00e3o define como estas responsabilidades deveriam ser documentadas \u2013 isto basicamente significa que voc\u00ea tem liberdade para defini-las de qualquer forma que voc\u00ea entenda como apropriada.<\/p>\n<h2>Op\u00e7\u00f5es para responsabilidades de alto n\u00edvel<\/h2>\n<p>As responsabilidade e autoridades de alto n\u00edvel podem ser dadas a uma ou mais pessoas na organiza\u00e7\u00e3o, dependendo de como for mais apropriado. Por exemplo, para organiza\u00e7\u00f5es de pequeno porte com um SGSI simples, \u00e9 l\u00f3gico designer uma pessoa para ser respons\u00e1vel pela implementa\u00e7\u00e3o de todos os requisitos da ISO 27001 e pelo reporte do desempenho do SGSI para a alta dire\u00e7\u00e3o. Este \u00e9 geralmente o CISO; veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/blog\/2016\/06\/22\/como-documentar-papeis-e-responsabilidades-de-acordo-com-a-iso-27001\/\">Qual \u00e9 o trabalho do Diretor de Seguran\u00e7a da Informa\u00e7\u00e3o (Chief Information Security Officer \u2013 CISO) na ISO 27001?<\/a><\/p>\n<p>Para organiza\u00e7\u00f5es de maior porte com um SGSI mais complexo, pode ser mais pr\u00e1tico ter uma pessoa respons\u00e1vel pela implementa\u00e7\u00e3o dos requisitos e outra pelo reporte. Outra opini\u00e3o seria ter uma pessoa para assegurar a implementa\u00e7\u00e3o dos requisitos e reporte para um segmento do SGSI, por exemplo seguran\u00e7a do RH, e outra pessoa pela gest\u00e3o de incidentes, etc.<\/p>\n<h2>Onde documentar pap\u00e9is e responsabilidades<\/h2>\n<p>Voc\u00ea pode documentar os pap\u00e9is e responsabilidades gerais de seguran\u00e7a da informa\u00e7\u00e3o nas descri\u00e7\u00f5es de cargos, ou como parte do organograma, ou na Pol\u00edtica de Seguran\u00e7a da Informa\u00e7\u00e3o.<\/p>\n<p>Claro que voc\u00ea deveria documentar pap\u00e9is e responsabilidades espec\u00edficas mais detalhadas em v\u00e1rias pol\u00edticas, procedimentos, planos, e outros documentos que voc\u00ea desenvolver\u00e1 como parte da implementa\u00e7\u00e3o da ISO 27001.<\/p>\n<p>Assim, na pr\u00e1tica, em n\u00edveis organizacionais mais baixos, pap\u00e9is e responsabilidades de seguran\u00e7a ser\u00e3o designadas como tarefas regulares \u2013 e.g., a pol\u00edtica de backup definir\u00e1 o in\u00edcio do backup em uma determinada hora do dia. Estas tarefas deveriam ser dadas a pessoas que j\u00e1 est\u00e3o provavelmente fazendo-as, s\u00f3 que agora estes pap\u00e9is e responsabilidades ser\u00e3o mais formais. O monitoramento e reporte deveria ser feito tamb\u00e9m atrav\u00e9s de canais regulares \u2013 tipicamente, o superior diretor de empregados espec\u00edficos est\u00e1 respons\u00e1vel por monitor\u00e1-los, e reportar sobre os seus resultados.<\/p>\n<p>Em outras palavras, n\u00e3o h\u00e1 necessidade de ter um documento que definiria de forma central todos os pap\u00e9is e responsabilidades em detalhes. Tal documento n\u00e3o seria pr\u00e1tico por conta da redund\u00e2ncia \u2013 no momento em que alguma mudan\u00e7a ocorresse em algum papel ou responsabilidade em um procedimento em particular, voc\u00ea teria que mudar isso tamb\u00e9m neste documento central. Mais cedo ou mais tarde, uma discrep\u00e2ncia ocorreria, e acredite em mim \u2013 tal situa\u00e7\u00e3o \u00e9 um grande problema ao se lidar com a documenta\u00e7\u00e3o.<\/p>\n<h2>A documenta\u00e7\u00e3o do SGSI deveria server a voc\u00ea, e n\u00e3o o contr\u00e1rio<\/h2>\n<p>Assim, para concluir: criar documentos apenas para o prop\u00f3sito de mostr\u00e1-los para o auditor de certifica\u00e7\u00e3o n\u00e3o faz sentido \u2013 voc\u00ea deveria estar criando documentos para ajud\u00e1-lo a fazer o seu trabalho.<\/p>\n<p>Em outras palavras, a documenta\u00e7\u00e3o da ISO 27001 deveria ser a sua ferramenta para melhorar suas atividades de seguran\u00e7a \u2013 assim, quando voc\u00ea define pap\u00e9is e responsabilidades voc\u00ea deveria escrev\u00ea-las de uma forma que seja f\u00e1cil de entender, e escrev\u00ea-las em um local que seja l\u00f3gico para encontrar.<\/p>\n<p><em>Este artigo \u00e9 um trecho do novo livro<\/em>\u00a0\u00a0<strong>Secure &amp; Simple:<\/strong> <strong>A Small-Business Guide to Implementing ISO 27001 On Your Own<\/strong>.\u00a0<span id=\"hs-cta-wrapper-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-wrapper\"><span id=\"hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-node hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\"><a href=\"https:\/\/cta-redirect.hubspot.com\/cta\/redirect\/1983423\/93545c06-4e4f-456b-81bf-42b4639a38aa\" target=\"_blank\" rel=\"noopener\">Clique aqui para ver o que est\u00e1 incluso no livro \u2026 <\/a><\/span><\/span><br \/>\n<!-- end HubSpot Call-to-Action Code --><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Profissionais de seguran\u00e7a da informa\u00e7\u00e3o que s\u00e3o novos na\u00a0ISO 27001\u00a0frequentemente tendem a pensar que esta norma requer uma defini\u00e7\u00e3o muito centralizada e muito detalhada de pap\u00e9is e responsabilidades. Na verdade, isto n\u00e3o \u00e9 verdade. Por favor n\u00e3o me entenda errado: definir e comunicar pap\u00e9is e responsabilidades \u00e9 importante, porque \u00e9 assim que todos os empregados &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-9892","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9892","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=9892"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/9892\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=9892"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=9892"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=9892"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}