<Logotipo> <Nome da empresa> Normal

Manual SGSI

Organização:

Departamento
:

Seção: Folha: 1de 17

Conteúdo
1. Escopo ...............................................................................................................................................3
2. Referências normativas .................................................................................................................4
3. Definições .........................................................................................................................................4
4. Contexto da Organização ...............................................................................................................4
4.1 Compreender a organização e seu contexto .......................................................................5
4.2 Compreender as necessidades e expectativas das partes interessadas. .......................5
4.3 Determinando o escopo do Sistema de Gestão de Segurança da Informação ..............6
4.4 Sistema de Gestão de Segurança da Informação ...............................................................7
5. Liderança ..........................................................................................................................................7
5.1 Liderança e Comprometimento .................................................................................................7
5.2 Política ......................................................................................................................................8
5.3 Funções, responsabilidades e autoridades organizacionais ...........................................9
6. Planejamento ......................................................................................................................................9
6.1 Ações para enfrentar riscos e oportunidades .........................................................................9
6.1.1 Geral ........................................................................................................................................9
6.1.2 Avaliação de Riscos de Segurança da Informação .........................................................10
6.1.3 Tratamento de Riscos de Segurança da Informação .....................................................10
6.1.4 Objetivos e planejamento de segurança da informação ...............................................11
7.Suporte ................................................................................................................................................11
7.1 Recursos .......................................................................................................................................11

Documento nº: Folha: 1de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

7.3 Conscientização ..........................................................................................................................12

7.4 Comunicação ...............................................................................................................................12
8. Informação Documentada ...........................................................................................................13
8.1 Geral ..............................................................................................................................................13
8.2 Criando e Atualizando ...............................................................................................................13
8.3 Controle de informações documentadas ................................................................................13
9. Operação ............................................................................................................................................14
9.1 Planejamento e Controle Operacional ....................................................................................14
10. Avaliação de Desempenho ............................................................................................................15
10.1 Monitoramento, medição, análise e avaliação ....................................................................15
10.2 Auditoria Interna .....................................................................................................................15
10.3 Revisão Gerencial .....................................................................................................................16
11. Melhoria ...........................................................................................................................................16
11.1 Não conformidade e ação corretiva ......................................................................................16
11.2 Melhoria contínua ....................................................................................................................16

CONTROLE DE REVISÃO DE DOCUMENTOS

Documento nº: Folha: 2de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

HISTÓRICO DE REVISÃO

Data Autor Versão Referência de alteração

REVISORES

Nome Posição Data

DISTRIBUIÇÃO

Data Distribuido por Versão Formato de distribuição

Documento nº: Folha: 3de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

1. Escopo

Esta seçã o do manual fornece uma visã o geral dos controles para gerenciamento de
segurança da informaçã o conforme especificado na ISO/IEC 27001:2013. Os controles têm
como objetivo fornecer uma estrutura para as organizaçõ es usarem ao implementar e
gerenciar um sistema de gestã o de segurança da informaçã o.

[The Time to Reply Ltd.] O Sistema de Gerenciamento de Segurança da Informaçã o (SGSI)

será um sistema abrangente e abrangente que abrange todos os aspectos da empresa. Isso
incluirá :

 Todas as funçõ es administrativas, funçõ es de TI, funçõ es de vendas e funçõ es

operacionais. Além disso, também incorporará a gestã o de registros de funcioná rios
e contratados, bem como registros comerciais de clientes.
 O SGSI também gerenciará registros operacionais de clientes, subcontratados,
funcioná rios, contratados e assuntos de interesse do cliente.
 Por ú ltimo, incluirá também todos os subcontratantes que detenham ou tratem
informaçã o relacionada com o referido.

2. referências normativas

Esta seçã o inclui as referências normativas da ISO/IEC 27001:2013. Uma referência

normativa é uma fonte de requisitos que devem ser seguidos para cumprir a norma. Os
documentos incluídos nesta seçã o sã o essenciais para a compreensã o e implementaçã o dos
requisitos da ISO/IEC 27001:2013.

3. Definições

Para compreender os requisitos da ISO27001:2017 e ISO27002:2013, é importante estar

familiarizado com as definiçõ es utilizadas nestas normas. Este documento fornece
definiçõ es para termos que sã o usados na ISO27001:2017 ou ISO27002:2013 e que nã o sã o
definidos na ISO27000:2012. Em particular, este documento define o Sistema de Gestã o de
Segurança da Informaçã o (“SGSI”) como a parte de uma organizaçã o que abrange sua
estrutura organizacional, políticas, atividades de planejamento, planos, processos e
procedimentos relacionados à segurança da informaçã o.
O SGSI também é responsá vel pela gestã o dos riscos de segurança da informaçã o e pela
implementaçã o de contramedidas para lidar com esses riscos. Além disso, o SGSI deve ser
capaz de demonstrar que atende aos requisitos da ISO27001:2017 ou ISO27002:2013.

Documento nº: Folha: 4de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

4. Contexto da Organização

4.1Compreender a organização e seu contexto

[Nome da Organizaçã o] O contexto organizacional inclui questõ es externas e internas

relevantes para o Sistema de Gestã o de Segurança da Informaçã o (SGSI). Além de ser um
requisito da norma (clá usula 4.1)
A clá usula 4 determina que uma organizaçã o defina o escopo do seu SGSI. Deve avaliar as
suas pró prias necessidades e expectativas, bem como as das partes interessadas, a fim de
determinar o alcance do SGSI. A nova clá usula de “contexto” exige uma compreensã o da
organizaçã o e das suas necessidades, bem como a identificaçã o de preocupaçõ es externas e
internas e a consideraçã o das partes interessadas e das suas necessidades.
[Nome] é o CEO da [Nome da Organizaçã o]
[Nome] é o Conselho de Administraçã o [Nome da Organizaçã o]
Com o objetivo de proteger a informaçã o, implementá mos um Sistema de Gestã o de
Segurança da Informaçã o (SGSI) que cumpre ou excede os requisitos mínimos
estabelecidos pelos nossos clientes. Nosso SGSI é adaptado especificamente à s
necessidades da sua organizaçã o e ajudará a garantir que seus dados permaneçam seguros
e protegidos.

4.2Compreender as necessidades e expectativas das partes interessadas.

Para garantir a conformidade com os requisitos do sistema de gestã o da segurança da

informaçã o, é importante trabalhar com todas as partes interessadas. Isso inclui
funcioná rios da Cognitive, subcontratados, organizaçõ es de clientes e quaisquer outras
entidades que tenham acesso aos dados do cliente e com as quais a Cognitive possa ser
obrigada a interagir durante a prestaçã o do serviço. Embora alguns requisitos legais ou
regulamentares sejam aplicá veis a todas as partes interessadas, os acordos com clientes
podem conter requisitos de segurança da informaçã o específicos do contrato ou da agência.
Portanto, é essencial que a gestã o cognitiva analise e compreenda quaisquer requisitos de
SI específicos da agência ou do contrato antes de iniciar a prestaçã o de serviços.

# Partes interessadas Interno externo Problemas

Documento nº: Folha: 5de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

Disponibilidade de recursos, estrutura organizacional, funçõ es,

1 Gerenciamento interno
responsabilidades e estratégias.

Cumprimento de compromissos, adesã o à s políticas, processos

2 Funcioná rios
3 RH
e diretrizes da organizaçã o e para garantir operaçõ es contínuas
interno e ininterruptas. Os funcioná rios precisam poder confiar em sua
organizaçã o para cumprir seus compromissos, tanto em termos
de políticas quanto de processos
Disponibilidade de recursos, competência de recursos,
interno
treinamento, verificaçã o de antecedentes, etc.,

4 Governo Externo Cumprindo os requisitos legais e regulamentares

Fornecimento de bens e serviços para permitir que a

5 Fornecedores Externo organizaçã o atenda à s necessidades do cliente. Conformidade
com os requisitos legais, estatutá rios e contratuais relevantes.

Ambiente natural e competitivo, Principais impulsos e

6 Sociedade e meio ambiente Externo tendências com impacto nos objetivos da organizaçã o, Situaçã o
política e financeira do país.

4.3Determinar o escopo do Sistema de Gestão de Segurança da Informação

É importante compreender o escopo do registro. Este documento define os limites dentro

dos quais o seu SGSI será implementado e operado. Neste caso, a localizaçã o da sede da
[Nome da Organizaçã o] será incluída no â mbito do registo. Nossa equipe trabalha
diligentemente para garantir que nossos clientes recebam soluçõ es de segurança da
informaçã o que atendam ou excedam os padrõ es do setor.
Como o trabalho de garantia de informaçõ es e avaliaçã o de riscos seguirá as partes da sua
organizaçã o que precisam ser protegidas, você provavelmente considerará a organizaçã o,
subsidiá rias, divisõ es, departamentos, produtos, serviços, locais físicos, trabalhadores
mó veis, geografias, sistemas, e processos para o seu escopo. Lembre-se de considerar as
expectativas das partes interessadas poderosas. Qual seria o impacto sobre essas partes
interessadas poderosas se você pensasse em deixar qualquer seçã o da organizaçã o fora do
escopo? Você também teria que executar sistemas diferentes e acabar confundindo seus
funcioná rios sobre o que estava dentro e o que nã o estava?
O escopo do registro para a ISO 27001-2013 abrange a localizaçã o da sede da [Nome da
Organizaçã o] e a garantia da segurança da informaçã o dentro dos limites das operaçõ es da
sede. Isto é formalmente declarado da seguinte forma: Os Sistemas de Gerenciamento de
Segurança da Informaçã o (SGSI) que se aplicam ao fornecimento e gerenciamento de força

Documento nº: Folha: 6de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

de trabalho econô mica e soluçõ es de TI para clientes federais, estaduais, locais e

comerciais.

4.4Sistema de gerenciamento de segurança da informação

De acordo com os requisitos da ISO/IEC 27001-2013, a [Nome da Organizaçã o] estabeleceu

e implementou este sistema de gestã o de segurança da informaçã o (SGSI) e estabeleceu
procedimentos para manter e melhorar continuamente o sistema. O documento mestre do
SGSI é este Plano de Gestã o de Segurança da Informaçã o, que segue o mesmo formato da
norma ISO/IEC 27001-2013. Se a resposta da [Nome da Organizaçã o] a um requisito puder
ser expressa adequadamente em formato textual breve, a resposta será incluída neste
manual. Caso contrá rio, este manual fará referência aos documentos e registros
apropriados e fornecerá informaçõ es de contato para assistência adicional.

5. Liderança

5.1 Liderança e Comprometimento

Para que uma organizaçã o tenha sucesso, a sua gestã o de topo deve estar empenhada em
fornecer uma segurança de informaçã o eficaz. Através da implementaçã o de um Sistema de
Gestã o de Segurança da Informaçã o (SGSI), a gestã o de topo tomou medidas para garantir
que a política e os objectivos de segurança da informaçã o da organizaçã o estã o alinhados
com a sua direcçã o estratégica.

 Responsabilidade pela eficá cia do sistema de gestã o.

 Verificar se as políticas e os objetivos estã o definidos e sã o compatíveis com o
contexto e a direçã o estratégica da organizaçã o.
 garantir que a integraçã o do sistema de gestã o esteja integrada nos processos da
empresa.
 Promover a utilizaçã o de uma abordagem orientada para o processo, bem como de
um pensamento baseado no risco
 garantir que recursos suficientes estejam disponíveis.
 Garantir que o sistema de gestã o produza os resultados desejados.
 As pessoas sã o engajadas, dirigidas e apoiadas para contribuir para a eficá cia do
sistema de gestã o.

Além disso, os requisitos do SGSI foram integrados nos processos da organizaçã o e os

recursos necessá rios estã o disponíveis para apoiá -los. A comunicaçã o é um componente

Documento nº: Folha: 7de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

crítico de qualquer iniciativa bem-sucedida, e a alta administraçã o garantiu que a

importâ ncia da segurança da informaçã o fosse compreendida por todos os funcioná rios.
5.2 Política

Para proteger as informaçõ es valiosas da sua empresa, é importante ter uma política
abrangente de segurança da informaçã o em vigor. Esta política deve definir

 As políticas de segurança da informaçã o devem ser criadas, autorizadas pela

administraçã o, publicadas e transmitidas aos funcioná rios e outras partes
interessadas. As políticas devem ser orientadas pelas necessidades do negó cio, bem
como por quaisquer regulamentos e legislaçã o que influenciem a empresa.
 Essas políticas sã o os controles do Anexo A, que também estã o incluídos em um
documento mestre de política de segurança da informaçã o de nível superior que
apoia as importantes declaraçõ es de segurança da organizaçã o para
compartilhamento com partes interessadas, como clientes.
 As políticas sã o também a base da segurança da informaçã o e devem ser incluídas
na programaçã o de educaçã o, formaçã o e sensibilizaçã o da A7.2.2.
 As políticas estabelecem os conceitos que todos os membros da organizaçã o, bem
como as partes interessadas essenciais, como os fornecedores, devem aderir. De
acordo com A.5.1.2 abaixo, estas políticas devem ser revistas regularmente e
alteradas conforme necessá rio.
 As políticas de segurança da informaçã o devem ser criadas, autorizadas pela
administraçã o, publicadas e transmitidas aos funcioná rios e outras partes
interessadas. As políticas devem ser orientadas pelas necessidades do negó cio, bem
como por quaisquer regulamentos e legislaçã o que influenciem a empresa.
 Essas políticas sã o os controles do Anexo A, que também estã o incluídos em um
documento mestre de política de segurança da informaçã o de nível superior que
apoia as importantes declaraçõ es de segurança da organizaçã o para
compartilhamento com partes interessadas, como clientes.
 As políticas sã o também a base da segurança da informaçã o e devem ser incluídas
na programaçã o de educaçã o, formaçã o e sensibilizaçã o da A7.2.2.

As políticas estabelecem os conceitos que todos os membros da organizaçã o, bem como as

partes interessadas essenciais, como os fornecedores, devem aderir. De acordo com A.5.1.2
abaixo, estas políticas devem ser revistas regularmente e alteradas conforme necessá rio.

Documento nº: Folha: 8de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

5.3 Funções, responsabilidades e autoridades organizacionais

Two Main Aspects

Responsibilities ensuring the Responsibilities for Monitoring the

ISMS fulfills the requirement performance of the ISMS and
of ISO 27001 reporting to top management

Para proteger as informaçõ es valiosas da sua empresa, é importante que você designe
indivíduos específicos com responsabilidade e autoridade para funçõ es relevantes à
segurança da informaçã o. Na [Nome da Organizaçã o], nossa alta administraçã o é
responsá vel por garantir que as responsabilidades e autoridades apropriadas sejam
atribuídas e comunicadas. O Gerente de Operaçõ es é atualmente designado como o
indivíduo responsá vel por:

a) garantir que o sistema de gestã o de segurança da informaçã o esteja em conformidade

com os requisitos da Norma Internacional ISO/IEC 27001:2013.

b) relató rios sobre o desempenho do sistema de gestã o da segurança da informaçã o. À

medida que a nossa empresa cresce, será disponibilizado pessoal qualificado adicional e a
administraçã o terá autoridade para atribuir essas responsabilidades e autoridades em
conformidade.

Documento nº: Folha: 9de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

6. Planejamento

6.1 Ações para abordar riscos e oportunidades

6.1.1 Geral

Ao planejar o sistema de gestã o de segurança da informaçã o, a Cognitive considera as

questõ es referidas em 4.1 e os requisitos referidos em 4.2 e determina os riscos e
oportunidades que precisam ser abordados para: a) garantir que o sistema de gestã o de
segurança da informaçã o possa alcançar o resultado pretendido (s); b) prevenir ou reduzir
efeitos indesejados; ec) alcançar a melhoria contínua.
Alguns dos riscos e oportunidades que a Cognitive considera incluem:
 O potencial de violaçõ es de dados e o impacto que elas podem ter em uma
organizaçã o
 A necessidade de proteçã o contra ameaças em evoluçã o, como ransomware
 A importâ ncia de gerenciar riscos ao longo do ciclo de vida dos ativos de informaçã o
 O valor da inteligência proativa contra ameaças na mitigaçã o de riscos

6.1.2 Avaliação de Riscos de Segurança da Informação

A Cognitive tem sido uma defensora de processos de avaliaçã o de riscos de segurança da

informaçã o que estejam em conformidade com os requisitos da norma ISO/IEC
27001:2013. Nossa abordagem é baseada no Plano de Aná lise e Tratamento de Riscos
Cognitivos, que fornece uma metodologia consistente e repetível para avaliar riscos e
implementar controles de mitigaçã o. O processo é realizado através da estrutura da nossa
estrutura de avaliaçã o de riscos e da manutençã o contínua do Plano de Avaliaçã o de Riscos.
Evitar o Risco optando por nã o iniciar ou continuar a açã o que causa o Risco, ou excluindo a
fonte do Risco (por exemplo, fechando um portal de comércio eletrô nico );
Para perseguir uma oportunidade de negó cio (por exemplo, criar um portal de comércio
eletró nico), é necessá rio assumir um risco maior ou aumentar o risco.
Alterar a probabilidade (por exemplo, reduzindo vulnerabilidades), o resultado (por
exemplo, diversificando os ativos), ou ambos.
Partilhar o Risco com terceiros através de seguros, subcontrataçã o ou financiamento de
risco; e Retençã o do Risco com base nos Critérios de Aceitaçã o do Risco ou tomando uma

Documento nº: Folha: 10de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

decisã o informada (por exemplo, mantendo o portal de comércio eletrô nico predominante
porque ele é).
6.1.3 Tratamento de Riscos de Segurança da Informação

A gestã o de riscos de sistemas de informaçã o pode ser um método crucial para todas as
organizaçõ es. O recurso psicoló gico Declaraçã o de pertinência e, portanto, o arranjo de
Aná lise e Tratamento de Riscos oferecem detalhes sobre os controles que a unidade de á rea
aplica para gerenciar riscos de sistemas de informaçã o. cada unidade de á rea de
documentos é revisada no mínimo anualmente pelos proprietá rios de risco selecionados
para garantir que a unidade de á rea de riscos conhecidos ainda seja aplicá vel à
organizaçã o, para garantir que os controles aplicados ainda sejam adequados e eficazes e
para sugerir açõ es para impulsionar os controles aplicados atualmente. Ao ter um método
adequado in situ para gerenciamento de riscos de sistemas de informaçã o, uma empresa
garantirá que está tomando as medidas obrigató rias para proteger suas informaçõ es e suas
operaçõ es.

6.1.4 Objetivos e planejamento de segurança da informação

Para gerenciar e medir com eficá cia a postura de segurança da informaçã o da organizaçã o,
é necessá rio estabelecer objetivos, mediçõ es e relató rios. O Repositó rio de Métricas de
Segurança da Informaçã o (ISMR) define esses itens e atribui responsabilidade pela sua
implementaçã o. Isto permite uma mediçã o consistente da segurança da informaçã o em
funçõ es e níveis relevantes em toda a organizaçã o.

O objetivo principal é estabelecer uma estrutura de gestã o que proporcione visibilidade ao

progresso e à eficá cia do programa de segurança da informaçã o da organizaçã o. Isto é
conseguido através do estabelecimento de objetivos, mediçõ es, metodologias de mediçã o e
prazos para cada processo no SGSI. Uma vez definidos, esses dados podem ser usados para
acompanhar o progresso e medir o sucesso.

7.Suporte

7.1 Recursos

A Liderança Executiva da [Nome da Organizaçã o] está totalmente comprometida com o

estabelecimento, implementaçã o, operaçã o, monitoramento, revisã o, manutençã o e
melhoria do SGSI. Sã o dedicados recursos suficientes para permitir um programa de SI
eficiente e proativo. O Management Review Board (MRB) garante que todas as partes
interessadas permaneçam informadas. Além disso, o MRB confirma e monitoriza a
coordenaçã o proativa de atividades entre departamentos com responsabilidades

Documento nº: Folha: 11de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

sobrepostas pela segurança da informaçã o, incluindo, entre outros, o Departamento de

Conformidade e É tica; Departamento de Recursos Humanos; Departamento de Tecnologia
da Informaçã o; Departamento de marketing; e Departamento de Operaçõ es.
O MRB analisa e aprova todas as políticas e procedimentos de segurança da informaçã o,
bem como o sistema de gestã o para o desempenho geral do SGSI. O MRB reú ne-se
trimestralmente ou numa base ad hoc para analisar o progresso relacionado com:
 Gerenciamento de incidentes.
 Avaliaçã o e mitigaçã o de riscos.
 Conformidade com Regulamentos/Legislaçã o.
7.2 Competência
A [Nome da Organizaçã o] está empenhada em garantir que todo o pessoal com
responsabilidades atribuídas no Sistema de Gestã o de Segurança da Informaçã o (SGSI) seja
competente para executar as tarefas necessá rias. Isso inclui fornecer o treinamento
necessá rio e garantir que os funcioná rios tenham as habilidades, competências e
certificaçõ es adequadas. Nosso abrangente programa de treinamento ajuda a garantir que
nosso pessoal esteja bem equipado para lidar com qualquer situaçã o. Além disso, nosso
departamento de RH mantém registros do treinamento dos funcioná rios para que
possamos acompanhar o progresso e identificar quaisquer á reas onde treinamento
adicional possa ser necessá rio.
7.3 Conscientização

Para proteger a confidencialidade, integridade e disponibilidade das informaçõ es da sua

empresa, você precisa ter um Sistema de Gerenciamento de Segurança da Informaçã o
(SGSI) instalado. Um SGSI é uma estrutura que permite identificar e gerenciar os riscos de
segurança de suas informaçõ es. Nesta postagem do blog, discutiremos os fundamentos da
segurança da informaçã o e apresentaremos o Plano SGSI. Também explicaremos como o
pessoal é informado sobre suas responsabilidades de segurança da informaçã o e quais
mudanças podem ser necessá rias no Plano SGSI.

O Plano SGSI fornece uma estrutura para gerenciar seus riscos de segurança da informaçã o.
Você deverá identificar e documentar os controles implementados para proteger os ativos
de informaçã o da sua empresa, bem como quaisquer medidas adicionais que possam
precisar ser implementadas para lidar com os riscos identificados.

7.4 Comunicação

Interno versus externo

Documento nº: Folha: 12de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

Comunicação Interna - Plano de Comunicaçã o Interna. O Plano de Comunicaçã o Interna é utilizado

pela alta administraçã o para comunicar seus objetivos e compromisso com a segurança da
informaçã o. A Política de Segurança da Informaçã o, a organizaçã o de segurança com funçõ es e
deveres essenciais, o plano de Sensibilizaçã o e os requisitos gerais e especializados para resposta a
incidentes sã o apenas alguns exemplos.
O plano de comunicaçã o interna, por outro lado, nã o deve ser unilateral. Os canais (por exemplo,
telefone e e-mail) também devem ser conhecidos e utilizados para comunicar “de baixo para cima”
dos usuá rios à gestã o sobre ocorrências ou novas vulnerabilidades.
Comunicação Externa – A maioria dos exemplos apresentados acima sã o para um plano de
comunicaçã o interna, mas também podem ser usados para um plano de comunicaçã o externa.
Talvez você precise interagir com o mundo exterior, incluindo agências reguladoras, autoridades
pú blicas, acionistas, clientes e parceiros, para anunciar ocorrências positivas (sucessos) ou
negativas (falhas) (incidentes, acidentes e crises). Você também precisará de um Plano de
Comunicaçã o aqui, respondendo à s mesmas perguntas de antes.
No entanto, você terá que ser mais cauteloso nesta circunstâ ncia porque nã o deseja divulgar ou
disseminar informaçõ es críticas que possam agravar sua posiçã o.

Para garantir que seu sistema de gerenciamento de segurança da informaçã o (SGSI) seja
mantido de maneira compatível e eficaz, o Gerente de Operaçõ es da [Nome da Organizaçã o]
assume a funçã o crítica de representar o conselho de revisã o gerencial (MRB). O MRB é
responsá vel por supervisionar o processo de avaliaçã o de riscos organizacionais, bem
como garantir que todos os funcioná rios e outras partes interessadas sejam mantidos
atualizados sobre alteraçõ es ou atualizaçõ es no SGSI. Além disso, quaisquer alteraçõ es ou
atualizaçõ es na documentaçã o relativa ao SGSI serã o publicadas em nosso sistema de
controle de documentos (DCS) e disponibilizadas à s partes afetadas.
8. Informações documentadas

8.1 Geral

[Nome da Organizaçã o] implementou um sistema de gestã o de segurança da informaçã o

(SGSI) que atende aos requisitos da Norma Internacional ISO/IEC 27001:2013. O SGSI foi
projetado para proteger a confidencialidade, integridade e disponibilidade dos dados de
nossos clientes. Parte deste esforço inclui a manutençã o de documentaçã o apropriada para
o SGSI.

A primeira parte da documentaçã o do SGSI [Nome da Organizaçã o] sã o as informaçõ es

documentadas exigidas pela norma ISO/IEC 27001:2013. Isto inclui as políticas e
procedimentos que apoiam o nosso Sistema de Gestã o de Segurança da Informaçã o (SGSI).
Todos os nossos documentos impressos sã o có pias nã o controladas, o que significa que
podem nã o ser precisos ou atualizados.

Documento nº: Folha: 13de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

8.2 Criando e Atualizando

O papel do proprietá rio do processo no controle de documentos é importante. Eles sã o

responsá veis pela criaçã o, revisã o e atualizaçã o da documentaçã o do sistema. Esse
processo é controlado por meio do Procedimento de Controle de Documentos, que define
as diretrizes de como esse processo deve ser realizado. Nesta postagem do blog,
discutiremos a funçã o do proprietá rio do processo com mais detalhes e descreveremos os
procedimentos que ele deve seguir para garantir que a documentaçã o do sistema seja
precisa e atualizada.
O proprietá rio do processo é responsá vel pela criaçã o da documentaçã o do sistema, que
inclui:
- O dono do processo do departamento de controle de documentos é responsá vel por
registrar todo o conhecimento organizacional gerado a partir dos projetos e operaçõ es e
cobrindo os requisitos do SGSI.

8.3 Controle de informações documentadas

Informaçõ es documentadas necessá rias ao sistema de gerenciamento de segurança de

dados e por este
O normal internacional é controlado através do Procedimento de gerenciamento de
documentos e, portanto, da Listagem Mestre DCS para
garantir:
a) está disponível e é apropriado para ser usado onde e quando for necessá rio; e
b) esteja adequadamente protegido (por exemplo, contra perda de confidencialidade, uso
indevido ou perda de integridade).
O Procedimento de gerenciamento de documentos fornece orientaçã o e orientaçã o para:
c) distribuiçã o, acesso, recuperaçã o e uso.
d) armazenamento e preservaçã o, bem como a preservaçã o da legibilidade.
e) gerenciamento de mudanças (por exemplo, controle de versã o); e
f) retençã o e disposiçã o.
Informaçõ es documentadas de origem externa, determinadas pela organizaçã o como
necessá rias para

Documento nº: Folha: 14de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

o planejamento e operaçã o do sistema de gerenciamento de segurança de dados, é

conhecido como
apropriado e controlado conjuntamente por meio do Procedimento de gerenciamento de
documentos.

9. Operação

9.1 Planejamento e Controle Operacional

[ Nome da organizaçã o] Sistema de gerenciamento de segurança da informaçã o (CISMS) é

um termo usado nos negó cios para descrever os vá rios métodos e procedimentos usados
para proteger as informaçõ es da empresa contra acesso, uso, divulgaçã o, alteraçã o ou
destruiçã o nã o autorizados. O CISMS está sob a direçã o do CEO, com o Management Review
Board (MRB) fornecendo orientaçã o e supervisã o. O sistema inclui processos
automatizados e manuais, bem como recursos como pessoal, segurança física e tecnologia.
Auditorias internas e revisõ es gerenciais sã o realizadas regularmente para garantir que o
sistema seja eficaz e que as alteraçõ es (controladas por meio do Gerenciamento de
Mudanças) nã o introduzam novos riscos. Quando os processos sã o terceirizados, a empresa
realiza atividades de gestã o de fornecedores para garantir que nossos fornecedores
também tenham sistemas de segurança eficazes.

Documento de referência:
 Clá usula 8.1 da ISO 27001
 Clá usula 8.2
 Clá usula 8.3 Planejamento e controle operacional

10. Avaliação de desempenho

10.1 Monitoramento, medição, análise e avaliação

O Gerente de Operaçõ es e o Conselho de Revisã o Gerencial avaliaram o desempenho e a

eficá cia do SGSI por meio da revisã o gerencial dos resultados da auditoria de métodos
internos, e também da variedade e aná lise de mediçõ es de métodos específicos. Os
registros de auditoria interna foram mantidos no RCS, e medidas específicas do processo

Documento nº: Folha: 15de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

foram registradas e relatadas no Repositó rio de Métricas. Os proprietá rios dos processos
eram responsá veis por coletar e relatar mediçõ es específicas do processo.

Os resultados da auditoria interna de processos e a coleta de mediçõ es específicas de

processos sã o coletados, revisados e relatados anualmente pelo Conselho de Revisã o
Gerencial. As auditorias internas foram realizadas a cada dois anos, em média, para
processos que nã o eram considerados essenciais para o negó cio ou que tinham um
histó rico de baixo desempenho (por exemplo, Gerente de SGSI).
10.2 Auditoria Interna

Para garantir que sua empresa esteja seguindo os requisitos ISO para auditoria interna, é
importante realizar auditorias internas programadas. Esta postagem do blog orientará você
no processo de realizaçã o de uma auditoria interna de acordo com os requisitos da ISO.
Também discutiremos os formulá rios e a documentaçã o usados durante o processo de
auditoria. Ter um processo repetível e documentado para auditorias internas ajudará a
garantir que sua empresa esteja em conformidade com os padrõ es ISO!

O primeiro passo na conduçã o de uma auditoria interna é desenvolver um plano. O plano

deve incluir o seguinte:
- Escopo e objetivos da auditoria
-Cronograma de auditoria
-Lista de auditores
-Lista de documentos a serem revisados
Uma vez desenvolvido o plano, o pró ximo passo é selecionar auditores qualificados.
10.3 Revisão Gerencial

Eles fornecem um fó rum para a administraçã o avaliar o progresso em relaçã o aos

objetivos, discutir questõ es e problemas e tomar decisõ es que garantirã o que a organizaçã o
atinja suas metas. Este documento fornece uma descriçã o detalhada do processo de
realizaçã o de revisõ es gerenciais trimestrais, incluindo o que incluir nas agendas e atas das
reuniõ es.
As revisõ es gerenciais sã o normalmente realizadas trimestralmente, seguindo o
cronograma descrito no documento formal do processo de gestã o da organizaçã o. A agenda
de cada reuniã o é preparada antecipadamente, utilizando um modelo padrã o. As atas das

Documento nº: Folha: 16de 17

Nº de revisão: Data de emissão: xx-xxx-xx
 Manual SGSI

reuniõ es sã o inseridas diretamente no modelo e depois retidas no sistema de

gerenciamento de registros (RCS) da organizaçã o.

11. Melhoria

11.1 Não conformidade e ação corretiva

Quando uma nã o conformidade é identificada em um sistema de gestã o de segurança da

informaçã o (SGSI), a empresa deve tomar as medidas adequadas para manter a eficá cia do
SGSI. Isto é feito através da implementaçã o de açõ es corretivas, que sã o mudanças formais
gerenciadas por meio de processos de gerenciamento de mudanças e rastreadas por meio
de um formulá rio de Solicitaçã o de Mudança sinalizado como “Açã o Corretiva”. A atividade
de mudança é inserida diretamente no formulá rio e mantida em registros no sistema
corporativo de gerenciamento de mudanças (CCMS).
O processo de açã o corretiva começa com a identificaçã o de uma nã o conformidade. Uma
vez identificada a nã o conformidade, ela deve ser avaliada para determinar o impacto no
SGSI e as açõ es corretivas necessá rias. A avaliaçã o deve incluir uma revisã o do risco
associado à nã o conformidade, bem como uma avaliaçã o de quaisquer impactos potenciais
11.2 Melhoria contínua

A Cognitive está totalmente comprometida com a melhoria contínua do nosso sistema de

gestã o de segurança da informaçã o (SGSI). O SGSI é constantemente monitorado e
quaisquer á reas que possam ser melhoradas sã o identificadas e investigadas. Isso nos
permite fazer alteraçõ es no gerenciamento de mudanças e melhorar nossa segurança geral
da informaçã o.

Documento nº: Folha: 17de 17

Nº de revisão: Data de emissão: xx-xxx-xx