1. Âmbito do SGSI (ISO 27001, cláusula 4.

3)
Começar processo de implementação com este documento crítico, pois delineia o
trabalho a seguir. A organização pode já ter algo documentado sobre o SGSI, mas
uma revisão é uma boa ideia. O documento deve definir claramente o seguinte:
• as informações que se pretendem proteger,
• onde é que a informação é armazenada (servidores internos,
armazenamento na nuvem, centro de dados, etc.)
• como se acede à informação (interfaces e dependências),
• quem pode aceder às informações e a que níveis
Outra peça chave para completar os requisitos do documento é identificar as
questões internas e externas que podem influenciar o seu SGSI (ISO 27001, cláusula
4.1). A avaliação de riscos a realizar fornecerá mais contexto, então pode-se rever
e ajustar âmbito após a conclusão da avaliação de riscos. Certificar-se de incluir os
papéis e responsabilidades da segurança da informação (ISO 27001, cláusula 5.3),
assim como determinar os recursos necessários (ISO 27001, cláusula 7.1) e
capacidades (ISO 27001, cláusula 7.2).
Nota #1: O âmbito pode ser um documento independente, mas a fusão do
documento com a Política de Segurança da Informação e a inclusão de referências
às partes interessadas (stakeholders) e os requisitos alinhará melhor o SGSI para a
implementação da 27001.

2. Política de Segurança da Informação (ISO 27001, 5.2) e Objetivos (ISO

27001, 6.2)
A Política de Segurança da Informação é muitas vezes um documento
incompreendido na organização e o que incluir pode ser amplo dependendo do
âmbito do SGSI. De acordo com a ISO 27001, o principal objetivo da política
InfoSec é que a alta administração defina o que deseja alcançar em relação à
segurança das informações e que o SGSI esteja alinhado com os objetivos
estratégicos da empresa. Ao criar tal documento, uma prática recomendada é
manter os objetivos claros e concisos para que sejam facilmente compreendidos
por todas as partes envolvidas.
Nota #2: Tentar não ser muito finito com os detalhes na Política de Segurança da
Informação, porque a maioria dos detalhes granulares virá na forma de outra
documentação necessária.
A ISO 27001 descreve o seguinte para o documento:
• A política deve ser específica para a organização, então, assim como na
escola, copiar o papel de outra pessoa não é uma boa ideia.
• A política deve definir o quadro para a definição dos objetivos de
segurança da informação, incluindo a forma como os objetivos são
propostos, aprovados e revistos.
• A política precisa declarar o compromisso da alta administração para
atender aos requisitos de todas as partes interessadas e o compromisso
de melhorar continuamente o SGSI.
• É necessária uma comunicação contínua da política dentro da
organização e para as partes interessadas apropriadas.
• Revisão regular da política para manter a groselha também é
necessária.
Nota #3: Atribuir um indivíduo influente na organização para ser o proprietário da
Política de Segurança da Informação com a responsabilidade de manter o
documento atualizado e comunicar continuamente essas atualizações a todas as
partes relevantes.

3. Metodologia para Avaliação e Tratamento de Riscos (ISO 27001, 6.1.2)

Basicamente, pode-se optar por usar qualquer metodologia para a avaliação de
risco, desde que seja documentada e consistente em toda a organização. Ao criar
este documento, certificar-se de que define se o método é qualitativo ou
quantitativo e cumpre os seguintes requisitos da secção 6.1.2:
1. Como identificar os riscos associados à perda de confidencialidade,
integridade e disponibilidade de informações dentro do âmbito do
sistema de gerenciamento de segurança da informação.
2. Como avaliar a probabilidade e o impacto dos riscos realizados.
3. Como calcular os riscos para garantir que avaliações repetidas de risco
de segurança da informação produzam resultados consistentes, válidos e
comparáveis.
4. Como identificar os proprietários do risco.
5. Como estabelecer os níveis de risco e critérios de aceitação de risco.
Dados esses 5 requisitos para a avaliação de risco, escolher uma metodologia pode
ser uma tarefa assustadora, a menos que se tenha experiência significativa sob um
método específico e, além disso, esse método se encaixa nos objetivos de negócios
da organização, conforme mencionado anteriormente.
A Iso27001 inclui o conceito de proprietário de activos como controlo no anexo A.
A revisão de 2013 introduz o conceito de proprietário do risco, "uma pessoa ou
entidade com a responsabilidade e autoridade para gerenciar um risco" (definido
na ISO 27000:2013 e ISO 31000). Alguns especialistas acreditam que o proprietário
do risco foi introduzido em 2013 porque os proprietários de ativos não estavam em
posições de autoridade para resolver riscos potenciais. Acreditamos que a
atribuição de proprietários de ativos e proprietários de risco cria um esforço
cooperativo para a mitigação de riscos nas organizações, potencialmente dobrando
a eficiência e a eficácia do trabalho.
Nota #4: A atribuição precisa de proprietários de risco é uma parte vital do
processo de gerenciamento de risco e, portanto, deve ser alguém investido na
prevenção dos riscos identificados (i.e. stakeholder). O proprietário/parte
interessada do risco precisa ter autoridade para garantir os recursos necessários
para executar as estratégias de mitigação de risco projetadas no tratamento do
risco.
Os proprietários de risco são especialmente importantes quando você começa a
implementação do tratamento de risco, porque eles provavelmente serão os
indivíduos que determinam os riscos aceitáveis e inaceitáveis. O tratamento de
risco é utilizado para tratar (gerir) os riscos inaceitáveis:
• Redução do risco através da implementação do controlo
• Transferir os riscos para terceiros
• Evitar o risco inteiramente parando ou alterando um processo ou
atividade comercial
• Aceitar o risco por enquanto, possivelmente porque o custo dos danos
incorridos é menor do que investir
Produzir o relatório(s) para a avaliação de risco (ISO 27001, 8.2) e o tratamento de
risco também são ingredientes-chave para cumprir os requisitos.

4. SoA - Declaração de Aplicabilidade (ISO 27001, 6.1.3 d)

Primeiro, a Norma ISO 27001 inclui o Anexo A, uma lista abrangente de 114
objetivos e controlos de segurança da informação sugeridos pela Organização
Internacional de Padronização (ISO). Utilizar os controlos do Anexo A, também
conhecidos como Padrão ISO/IEC 27002, que inclui as diretrizes de implementação
para cada controlo, é um meio comprovado de mitigação de riscos, mas você pode
querer complementar controlos adicionais de acordo com as necessidades de
negócios da organização.
A Declaração de Aplicabilidade (SoA) é o documento principal no SGSI que
identifica os controlos aplicáveis à sua empresa e por que você está
implementando ou não esses controlos para mitigação de riscos. O SoA baseia-se
nas conclusões da avaliação dos riscos e do tratamento dos riscos, em que são
atribuídos os controlos adequados a cada risco identificado na avaliação dos riscos.
O documento SoA é formado pela determinação do status de cada controlo,
juntamente com uma justificativa precisa para a inclusão (implementada ou não)
ou exclusão de cada controlo. As opções de estado de controlo são:
• Implementado - o controlo está em vigor na organização e projetado
para mitigar riscos
• Não implementado - o controlo não está em vigor, mas a organização
planeja implementar
• Não aplicável - o controlo não se encaixa na organização
O documento de Declaração de Aplicabilidade é crucial para o seu sucesso na
auditoria de certificação, porque o auditor, que espera ver em ação o que está
escrito no SoA, enquanto inspeciona visualmente as implementações de controlo
em sua organização.
Nota #5: Realizar uma análise de lacunas nos controlos do Anexo A antes de
atribuir controlos aos riscos identificados é uma estratégia eficiente para
determinar o status de cada controlo em toda a organização. Muitas vezes, você
precisará implementar um único controlo para mitigar os riscos que ameaçam
vários ativos.

5. Plano de Tratamento de Risco (ISO 27001, 6.1.3 e, 6.2)

O Plano de Tratamento de Risco é o plano de ação documentado que a organização
seguirá para
Este é o propósito do Plano de Tratamento de Risco - definir exatamente quem vai
implementar cada controlo, em que prazo, com qual orçamento, etc. Eu preferiria
chamar este documento de 'Plano de Implementação' ou 'Plano de Ação', mas
vamos manter a terminologia usada na ISO 27001.
Uma vez escrito este documento, planear preparar um resumo de suas descobertas
para aprovação da gestão, porque sem o compromisso para implementar todos os
controlos planeados, não se poderá concluir o projeto de implementação da ISO
27001.