Alguns dos documentos e registos obrigatórios da ISO 27001:2022

Documento de âmbito do SGSI

Política de Segurança da Informação
Relatório de Avaliação de Riscos
Declaração de Aplicabilidade
Relatório de Auditoria Interna

Documentos obrigatórios ISO 27001

Itens que se devem documentar para conformidade com a ISO 27001 e as maneiras mais comuns de intitular esses documentos:
O que deve ser documentado Referência ISO 27001 Geralmente documentado através de Existe Nome do documento
Âmbito de aplicação do SGSI Cláusula 4.3 Documento de âmbito do SGSI
Política de segurança da informação Cláusula 5.2 Política de Segurança da Informação
Processo de avaliação e tratamento de riscos Cláusula 6.1.2 Avaliação de Riscos e Metodologia de Tratamento
Declaração de Aplicabilidade (SOA) Cláusula 6.1.3 d) Declaração de Aplicabilidade
Plano de tratamento dos riscos Cláusulas 6.1.3, alínea e), 6.2 e 8.3 Plano de Tratamento de Riscos
Objetivos de segurança da informação Cláusula 6.2 Lista de Objetivos de Segurança
Avaliação de risco e relatório de tratamento Cláusulas 8.2 e 8.3 Avaliação de Risco e Relatório de Tratamento

Inventário de bens (ativos) Controlo A.5.9* Inventário de Ativos, ou Lista de Ativos no Registo de Riscos
Utilização aceitável dos ativos Controlo A.5.10* Política de Segurança de TI
Procedimento de resposta a incidentes Controlo A.5.26* Procedimento de Gestão de Incidentes
Requisitos estatutários, regulamentares e contratuaisControlo A.5.31* Lista de requisitos legais, regulamentares e contratuais
Procedimentos operacionais de segurança para gerenciamento
Controlo A.5.37*
de TI Procedimentos de segurança para o departamento de TI
Acordos, NDAs e especificação de responsabilidades em cada
Definição de funções e responsabilidades de segurança
Controlos A.6.2 e A.6.6* política e procedimento de segurança
Definição de configurações de segurança Controlo A.8.9* Procedimentos de segurança para o departamento de TI
Princípios seguros de engenharia de sistemas Controlo A.8.27* Política de Desenvolvimento Seguro
*Nota: Os documentos ou registos ISO 27001 exigidos pelos controlos do Anexo A só são obrigatórios se existirem riscos ou requisitos das partes interessadas que exijam a implementação desses
controlos.

Registos ISO 27001 obrigatórios

O que deve ser registado Referência ISO 27001 Normalmente registado através de Existe Nome do documento
Formação, competências, experiência e qualificaçõesCláusula 7.2 Certificados de formação e CV
Monitorização e medição dos resultados Cláusula 9.1 Relatório de Medição
Programa de auditoria interna Cláusula 9.2 Programa de Auditoria Interna
Resultados das auditorias internas Cláusula 9.2 Relatório de Auditoria Interna
Resultados da análise da gestão Cláusula 9.3 Atas de revisão da administração
Resultados das medidas corretivas Cláusula 10.2 Formulário de ação corretiva
Logs de atividades do usuário, exceções e eventos deControlo
segurançaA.8.15* Registos automáticos nos sistemas de informação

Documentos ISO 27001 não obrigatórios

Existem inúmeros documentos não obrigatórios da ISO 27001 que podem ser usados para a implementação, especialmente para os controlos de segurança do
Anexo A, mas nem todos são igualmente úteis. Considero que estes documentos não obrigatórios são os mais utilizados:
O que deve ser documentado Referência ISO 27001 Notas do auditor Existe Nome do documento
Procedimento para o controlo de documentos e registos cláusula 7.5, controlo A.5.33
Procedimento de auditoria interna Cláusula 9.2
Procedimento para medidas corretivas Cláusula 10.2
Política de Classificação de Informações controlos A.5.10, A.5.12 e A.5.13
Política de Transferência de Informação controlo A.5.14
Política de Controlo de Acesso controlo A.5.15
Política de palavra-passe controlos A.5.16, A.5.17 e A.8.5
Política de Segurança do Fornecedor controlos A.5.19, A.5.21, A.5.22 e A.5.23
Plano de recuperação de desastres controlos A.5.29, A.5.30 e A.8.14
Política de Dispositivos Móveis, Teletrabalho e Trabalho
controlos
em Casa A.6.7, A.7.8, A.7.9 e A.8.1
Procedimentos para trabalhar em áreas seguras controlos A.7.4 e A.7.6
Política de Clear Desk e Clear Screen controlo A.7.7
Política de trazer seu próprio dispositivo (BYOD) controlos A.7.8 e A.8.1
Política de Eliminação e Destruição controlos A.7.10, A.7.14 e A.8.10
Política de backup controlo A.8.13
Política de criptografia controlo A.8.24
Política de Gestão de Alterações controlo A.8.32

Como a revisão da ISO 27001 2022 impacta os documentos e registros obrigatórios?

A nova ISO 27001:2022 traz boas notícias quando o assunto é documentação:
Esta nova revisão requer menos documentos obrigatórios em comparação com a antiga revisão da ISO 27001:2013.
Embora haja 11 novos controlos de segurança na revisão de 2022, não há necessidade de escrever novos documentos por causa deles – basta incluir novas seções sobre esses controlos nos
documentos que você já escreveu para a revisão de 2013 da norma – ver a tabela abaixo.
Documentos ISO 27001 existentes onde esses controlos podem
Novos controlos de segurança na ISO 27001:2022 Referência ISO 27001 ser incluídos Existe Nome do documento
A.5.7 Informações sobre ameaças A.5.7 Procedimento de Gestão de Incidentes
A.5.23 Segurança da informação para utilização de serviços
A.5.23 de computação em nuvem Política de Segurança do Fornecedor
A.5.30 Preparação das TIC para a continuidade das atividades
A.5.30 Plano de recuperação de desastres
A.7.4 Controlo da segurança física A.7.4 Procedimentos para trabalhar em áreas seguras
A.8.9 Gestão da configuração A.8.9 Procedimentos de segurança para o departamento de TI
A.8.10 Supressão de informações A.8.10 Política de Eliminação e Destruição
A.8.11 Mascaramento de dados A.8.11 Política de Desenvolvimento Seguro
A.8.12 Prevenção de fugas de dados A.8.12 Procedimentos de segurança para o departamento de TI
A.8.16 Atividades de acompanhamento A.8.16 Procedimentos de segurança para o departamento de TI
A.8.23 Filtragem da Web A.8.23 Procedimentos de segurança para o departamento de TI
A.8.28 Codificação segura A.8.28 Política de Desenvolvimento Seguro