26/11/22, 10:38 ISO 27001: Como demonstrar a provisão de recursos

DESCONTO BLACK FRIDAY

IMPLEMENTE APRENDA SUPORTE GRATUITO SOBRE

Ganhe(0)
30% de desconto em kits de documentos, exames de
cursos e livros.
Oferta por tempo limitado – termina em 28 de novembro de 2022

Use o código promocional:

30OFFBLACK

Outras normas distribuído por (0) Português

Blog ISO 27001 e ISO 22301

Como demonstrar a provisão de recursos na ISO

27001
Rhand Leal  abril 17, 2017

   

A disponibilidade de recursos é um ponto crítico em qualquer empreendimento. Você

pode ter as melhores ideias e as melhores intenções, mas se você não tem recursos você
está condenado ao fracasso.

Assim, pode parecer estranho que a ISO 27001, a norma ISO líder para a implementação de
sistemas de gestão de segurança da informação, dedique em sua cláusula de recursos
apenas duas linhas, totalizando 23 palavras, para lidar com um assunto tão crítico.

Mas, as aparências podem enganar. Na verdade, os requisitos de provisão de recursos estão

espalhados por toda a norma, e este artigo mostrará onde procurar e o que fazer para
garantir que esses recursos estejam disponíveis para ajudar o seu SGSI a proteger as
informações sob responsabilidade de sua organização.

A cláusula de recursos da ISO 27001 e exemplos

https://advisera.com/27001academy/pt-br/blog/2017/04/17/como-demonstrar-a-provisao-de-recursos-na-iso-27001/ 1/9
26/11/22, 10:38 ISO 27001: Como demonstrar a provisão de recursos

No que diz respeito aos recursos, a cláusula 7.1 da ISO 27001 exige a definição e a provisão
do que é necessário para um ciclo de vida do SGSI, desde sua implementação até sua
melhoria contínua. Mas,APRENDA
IMPLEMENTE o que é necessário? Uma vezGRATUITO
SUPORTE que esta norma faz uso da
SOBRE
abordagem de processo, você pode pensar recursos em termos de:
(0)
Capital: Não há segurança gratuita; investimentos precisarão ser feitos.

Instalações: O ambiente físico de uma organização precisa estar preparado para

oferecer níveis de segurança proporcionais aos riscos aos quais uma organização está
exposta.

Equipamentos: O apoio de equipamentos pode prover melhor capacidade de defesa,

detecção e reação, melhorando os níveis de segurança.

Pessoas: Enquanto a segurança para a maioria dos funcionários de uma organização

será uma ferramenta para atingir seus objetivos de negócios, você precisará considerar
pessoas para assumir as responsabilidades para cuidar dessa ferramenta. Observe que
isso é diferente da cláusula 7.2 (competência), porque essa está relacionada aos níveis
de habilidade, educação ou experiência requerida para a segurança adequada, e não o
número de pessoas necessárias.

Com estes exemplos em mente, agora estamos preparados para identificar onde na norma
os recursos são requeridos.

Papéis, responsabilidades e autoridades organizacionais

Através da cláusula 5.3 uma organização designa formalmente pessoas que terão que
pensar, planejar e agir para assegurar que a segurança da informação esteja
implementada como requerido e esteja atingindo os resultados esperados (ex.: CISO,
administrador de sistema, etc.). Para mais informações, veja: Como documentar papéis e
responsabilidades de acordo com a ISO 27001 e Qual é o trabalho do Diretor de
Segurança da Informação (Chief Information Security Officer – CISO) na ISO 27001?

Planos de tratamento de riscos

A cláusula 6.1.3 e) requer que para os riscos considerados inaceitáveis, planos de
tratamento sejam formulados, basicamente definindo quais controles de segurança você
precisa implementar, quem é responsável por eles, quais são os prazos, e quais recursos são
necessários. E, enquanto controles tais como mesa limpa e tela limpa se apoiarão
principalmente na definição de uma política e em esforços de treinamento, controles
envolvendo controle de acesso e backup também irão requerer equipamentos e
instalações. Para mais informações, veja: Plano de Tratamento de Risco e processo de
tratamento de risco – Qual é a diferença?

Planos para atingir os objetivos de segurança da informação

https://advisera.com/27001academy/pt-br/blog/2017/04/17/como-demonstrar-a-provisao-de-recursos-na-iso-27001/ 2/9
26/11/22, 10:38 ISO 27001: Como demonstrar a provisão de recursos
Planos para atingir os objetivos de segurança da informação
Enquanto os planos mencionados na seção anterior cobrem especificamente como trazer
os riscos a níveis aceitáveis, os planos para atingir os objetivos de segurança da informação
IMPLEMENTE APRENDA SUPORTE GRATUITO SOBRE
definidos na cláusula 6.2 também definem a provisão de recursos requeridos pelo SGSI
para atender(0)
aos requisitos de segurança da informação (ex.: cláusulas contratuais), bem
como apoiar outras decisões organizacionais incorporadas na política de segurança da
informação (ex.: objetivo estratégico de negócio para competir em um novo mercado).
Para mais informações, veja: ISO 27001 control objectives – Why are they important?

Recursos para a avaliação do desempenho

As cláusulas 9.1 e 9.2 requerem que recursos sejam definidos para a medição,
monitoramento, análise e avaliação da eficácia dos controles, assim como para a realização
de auditorias para a verificação imparcial da implementação e manutenção do SGSI em
conformidade com os requisitos da norma e da organização: Como realizar
monitoramento e medição na ISO 27001 e Como se prepara para uma auditoria interna
da ISO 27001.

Tratamento de não conformidades, ações corretivas e

oportunidades de melhoria
E, finalmente, se ocorre diferente do esperado, ou pode ser feito mais rápido, mais barato
ou com mais valor agregado ao negócio, as cláusulas 10.1 e 10.2 requerem que os recursos
sejam identificados e fornecidos para que os problemas sejam resolvidos e coisas ruins não
ocorreram novamente – ou para que as oportunidades possam ser aproveitadas,
melhorando os resultados do negócio. Para mais informações, veja: Uso prático das ações
corretivas para a ISO 27001 e ISO 22301.

Visão geral do planejamento de recursos

Como você viu, o planejamento de recursos é executado em muitas fases do ciclo de vida
do SGSI, para diferentes propósitos, em momentos diferentes e, provavelmente, por
pessoas diferentes, por isso é importante que você possa acompanhar todos esses planos
para garantir que os recursos não sejam sub ou super alocados.

Existem pelo menos três métodos que você deve considerar:

1. Todos os planos individuais estão disponíveis para a pessoa responsável por manter o
controle do uso de recursos.

2. A informação sobre os recursos do plano é compilada num único plano geral de

recursos.

3. A informação sobre os recursos do plano é compilada em planos de recursos

separados considerando cada tipo de recurso
https://advisera.com/27001academy/pt-br/blog/2017/04/17/como-demonstrar-a-provisao-de-recursos-na-iso-27001/ 3/9
26/11/22, 10:38 ISO 27001: Como demonstrar a provisão de recursos
separados, considerando cada tipo de recurso.

A decisão sobre qual solução seria melhor dependerá do volume de planos que você terá
que lidar e das necessidades organizacionais de informações de alocação de recursos.
IMPLEMENTE APRENDA SUPORTE GRATUITO SOBRE
Planeje seus
(0) recursos para uma jornada segura
At first sight, ISO 27001 seems to not provide sufficient information about the resources
required to implement, operate, maintain, and improve an Information Security
Management System, but this is only an impression. As we presented in this article, this
standard presents how resources to protect information should be considered during all

phases of the ISMS life cycle – and, by knowing where to look, you can be prepared to
ensure that your ISMS is fully prepared to fulfill its objectives and improve business results.

Os recursos não são infinitos, então as decisões sobre eles são sempre trocas entre o que
você espera ganhar e o que você espera perder. O problema é que na maioria dos casos, as
organizações não têm todas as informações de que necessitam sobre os recursos a serem
gastos para alcançar os resultados pretendidos, e podem acabar ganhando a batalha,
apenas para perder a guerra.

À primeira vista, a ISO 27001 parece não fornecer informações suficientes sobre os recursos
necessários para implementar, operar, manter e melhorar um Sistema de Gerenciamento
de Segurança da Informação, mas isso é apenas uma impressão. Conforme apresentado
neste artigo, esta norma apresenta como os recursos para proteger a informação devem
ser considerados durante todas as fases do ciclo de vida do SGSI – e, ao saber onde
procurar, você pode estar preparado para garantir que seu SGSI esteja totalmente
preparado para cumprir seus objetivos e melhorar os resultados do negócio.

Use este treinamento online gratuito ISO 27001:2013 Foundations Course para aprender
mais sobre requisitos de recursos, e etapas na implementação.

AUTOR

Rhand Leal
Rhand Leal has more than 15 years of experience in information security, and for six
years he continuously maintained а certified Information Security Management
System based on ISO 27001.

https://advisera.com/27001academy/pt-br/blog/2017/04/17/como-demonstrar-a-provisao-de-recursos-na-iso-27001/ 4/9