A importância da Declaração de aplicabilidade, também chamada de SoA, geralmente é subestimada. Como o Manual da qualidade na ISO 9001, ela é o principal documento que define como você vai implementar grande parte da sua segurança da informação.
Na verdade, a Declaração de aplicabilidade é a principal ligação entre a avaliação de riscos e o tratamento e a implementação da segurança da sua informação. Sua finalidade é definir qual dos 133 controles (medidas de segurança) sugeridos do anexo A da ISO 27001 será aplicado e a forma como serão implementados.
Por que é necessário?
Por que esse documento é necessário se você já elaborou o Relatório de avaliação de riscos, que também é obrigatório e define os controles necessários? Aqui estão os motivos:
• Antes de tudo, durante o tratamento dos riscos, você identifica os controles necessários porque identificou os riscos que precisam ser reduzidos. No entanto, na SoA você também identifica os controles que são necessários por outros motivos, ou seja, por causa da lei, dos requisitos contratuais, de outros processos, etc.
• Em segundo lugar, o Relatório de avaliação de riscos pode ser bastante demorado. Algumas organizações podem identificar milhares de riscos (às vezes, até mais), de modo que esse documento não é realmente útil para o cotidiano operacional. Por outro lado, a Declaração de aplicabilidade é pequena. Ela tem 133 linhas, cada uma representando um controle, o que torna possível apresentá-la à gestão e mantê-la atualizada.
• Em terceiro, e mais importante, a SoA deve documentar se cada controle aplicável já está implementado ou não. As boas práticas, algo observado pela maioria dos auditores, servem também para descrever a forma como cada controle aplicável é implementado, por exemplo, fazendo referência a um documento (política/processo/instrução de trabalho, etc.) ou descrevendo brevemente o procedimento ou equipamento utilizado.
Na verdade, se você busca a certificação ISO 27001, o auditor de certificação terá a sua Declaração de aplicabilidade em mãos e caminhará pela empresa verificando se você implementou os controles da forma descrita na sua SoA. Ela é o documento central para fazer a auditoria no local.
Poucas empresas percebem que escrevendo uma boa Declaração de aplicabilidade você poderia diminuir a quantidade de documentos. Por exemplo, se você deseja documentar um controle, mas a descrição do procedimento do controle é curta, você pode descrevê-lo na SoA. Portanto, você evitaria escrever outro documento.
Por que é útil?
Pela minha experiência, a maioria das empresas que implementam o sistema de gestão de segurança de acordo com a ISO 27001 gasta muito mais tempo elaborando este documento do que o previsto. O motivo é ter de pensar sobre como os controles serão implementados: Um novo equipamento vai ser comprado? Um procedimento vai ser alterado? Um funcionário será contratado? Essas decisões são muito importantes e, às vezes, caras. Por isso, espera-se que leve bastante tempo para que essas decisões sejam tomadas. O bom da SoA é que ela obriga as organizações a fazer este trabalho de forma sistemática.
Portanto, você não deve considerar este documento como um “documento que gera sobrecarga” que não tem utilidade na vida real. Pense na SoA como a declaração principal em você define o que quer fazer com a segurança da sua informação. Escrita da forma adequada, a SoA é uma visão geral perfeita do que precisa ser feito com a segurança da informação, porque precisa ser feito e como precisa ser feito.
'By 'Dejan Kosutic - 2011
CASO CLINICO 2 - REABILITAÇÃO ESTÉTICA 2
Há 12 anos
Nenhum comentário:
Não é permitido fazer novos comentários.