Kit de documentação premium da ISO e ISO 22301

Transcrição

1 Kit de documentação premium da ISO e ISO Nota: a documentação deve ser implementada preferencialmente na ordem listada neste documento. A ordem da implementação da documentação relacionada ao Anexo A está definida Pla de tratamento de riscos. A documentação sobre gestão de continuidade de negócios (item 8 do ) é implementada na ordem listada neste documento. rma 0. Procedimento de documentação e controle de registros ISO/IEC 7.5 ISO 7.5 BS 3.4.2, Pla do projeto 2. Procedimento para identificação de requisitos 2.1 Lista de obrigações legais, regulamentares, contratuais e outras 3. Documento sobre o escopo do SGSI 4. Política da segurança da informação 5. Metodologia de avaliação e tratamento de riscos 5.1. Anexo 1 - Tabela de avaliação de riscos ISO/IEC 4.2, A.11.1 ISO 4.2 ISO/IEC 4.2, A.11.1 ISO 4.2 ISO/IEC 4.3 ISO/IEC 5.2, 5.3 ISO/IEC 6.1.2, 6.1.3, 2, 3BS ISO/IEC 6.1.2, 2 BS ver 3.1, Página 1 de 10

2 rma 5.2. Anexo 2 - Tabela de tratamento de riscos 5.3. Anexo 3 - Relatório de avaliação de riscos 6. Declaração de aplicabilidade 7. Pla de tratamento de riscos ISO/IEC 6.1.3, 3 BS ISO/IEC 2, 3 ISO/IEC d) ISO/IEC 6.1.3, 6.2, 3 BS (Anexo A - controles) A.6 Política de traga seu próprio dispositivo (BYOD) ISO/IEC A.6.2.1, A.6.2.2, A A.6 Política de dispositivo móvel e trabalho remoto ISO/IEC A.6.2 A A.7 Declaracao de confidencialidade ISO/IEC A.7.1.2, A , A A.7 Declaração de aceitação da Documentação do Sistema de gestão da segurança da informação ISO/IEC A A.8 Inventário de ativos ISO/IEC A.1.1, A.1.2 ver 3.1, Página 2 de 10

3 rma A.8 Política de uso aceitável ISO/IEC A.6.2.1, A.6.2.2, A.1.2, A.1.3, A.1.4, A.9.3.1, A , A , A , A , A , A , A , A , A , A.11.2 A.8 Política de classificação da informação ISO/IEC A.2.1, A.2.2, A.2.3, A.3.1, A.3.3, A.9.4.1, A A.9 Política de controle de acesso ISO/IEC A.9.1.1, A.9.1.2, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.5, A.9.2.6, A.9.3.1, A.9.4.1, A A.9 Política de senhas (Nota: pode ser parte da Política de controle de acesso) ISO/IEC A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A A.10 Política para o uso de controles criptográficos ISO/IEC A , A , A.11.5 ver 3.1, Página 3 de 10

4 rma A.11 Política de mesa limpa e tela limpa (Nota: pode ser parte da Política de uso aceitável) ISO/IEC A , A A.11 Política de descarte e destruição (Nota: pode ser parte da Procedimentos operacionais para a TI) ISO/IEC A.3.2, A A.11 Procedimentos para trabalho em áreas seguras ISO/IEC A A.12 Procedimentos operacionais para a teclogia da informação e comunicação ISO/IEC A.3.2, A , A , A , A , A , A , A , A , A , A , A A.12 Política de gestão de mudanças (Nota: pode ser parte da Procedimentos operacionais para a TI) ISO/IEC A , A ver 3.1, Página 4 de 10

5 rma A.12 Política de cópias de segurança (Nota: pode ser parte da Procedimentos operacionais para a TI) ISO/IEC A A.13 Política de trânsfencia de informações (Nota: pode ser parte da Procedimentos operacionais para a TI) ISO/IEC A , A A.14 Política de desenvolvimento seguro ISO/IEC A , A , A , A , A , A , A , A , A , A A.14.1 A.15 Especificação dos requisitos do sistema de informação Política de segurança do fornecedor ISO/IEC A ISO/IEC A.7.1.1, A.7.1.2, A.7.2.2, A.1.4, A , A , A , A , A , A ver 3.1, Página 5 de 10

6 rma A.15.1 de segurança para fornecedores e parceiros ISO/IEC A.7.1.2, A , A , A A.16 Procedimento de gestão de incidentes ISO/IEC A.7.2.3, A , A.6.1.2, A , A , A , A , A A.16.1 Anexo - Registro de incidentes ISO/IEC A Política de continuidade de negócios ISO 4.1, 4.3, 5.3, 6.2, BS 3.2.1, 3.2.2, ISO/IEC Metodologia de análise de impacto s negócios ISO 2.1, 2.2 BS ISO/IEC Questionário de análise de impacto s negócios ISO 2.1, 2.2 BS ISO/IEC Estratégia de continuidade de negócios ISO 3, 4.2 BS 4.2 ISO/IEC.1.1,.2.1 Anexo 1 - Lista de ISO 2.2 ver 3.1, Página 6 de 10

7 rma 3.1. atividades BS ISO/IEC Anexo 2 - Prioridades de recuperação das atividades Anexo 3 - Objetivos de tempo de recuperação para atividades Anexo 4 - Exemplos de cenários de incidentes disruptivos Anexo 5 - Pla de preparação para a continuidade de negócios Anexo 6 - Estratégia de recuperação de atividade Pla de continuidade de negócios Anexo 1 - Pla de resposta a incidentes ISO 2.2 BS ISO/IEC.1.1 ISO 2.2 BS ISO/IEC.1.1 ISO 5 BS ISO/IEC.1.1 ISO 6.2 BS ISO 3 BS 4.2 ISO/IEC.1.1,.2.1 ISO 4 BS 4.3 ISO/IEC.1.2 ISO 4.3, 4.4 BS ISO/IEC.1.2 ver 3.1, Página 7 de 10

8 rma 4.2. Anexo 2 - Registro de incidentes ISO 4.3 BS ISO/IEC Anexo 3 - Lista de sites de continuidade de negócios ISO 4.4 BS ISO/IEC Anexo 4 - Pla de transporte ISO 3.2 BS ISO/IEC Anexo 5 - Principais contatos ISO 4.3 BS ISO/IEC Anexo 6 - Pla de recuperação de atividade ISO 4.5 BS ISO/IEC Pla de exercícios e testes ISO 5 BS ISO/IEC Anexo - Formulário - Relatório de exercício e testes ISO 5 BS ISO/IEC Pla de revisão e manutenção do SGCN ISO BS ISO/IEC.1.3 ver 3.1, Página 8 de 10

9 rma 5.4. Formulário de revisão de pós-incidentes ISO BS ISO/IEC.1.3, A Pla de treinamento e conscientização 10. Procedimento de auditoria interna Anexo 1 - Programa de auditoria interna anual Anexo 2 - Relatório de auditoria interna Anexo 3 Checklist de Auditoria Interna para o ISO e ISO 11. Minutas de revisão da gestão 12. Procedimento para ações corretivas Anexo - Formulário de ação corretiva ISO 7.2, 7.3 BS 3.2.4, 3.3 ISO/IEC 7.2, 7.3 ISO/IEC 9.2 ISO 9.2 BS 5.1 ISO/IEC 9.2 ISO 9.2 BS 5.1 ISO/IEC 9.2 ISO 9.2 BS 5.1 ISO/IEC 9.2 ISO 9.2 ISO/IEC 9.3 ISO 9.3 BS 5.2 ISO/IEC 10.1 ISO 10.1 BS 6.1 ISO/IEC 10.1 ISO 10.1 BS 6.1 ver 3.1, Página 9 de 10

10 Os documentos listados são obrigatórios somente se os controles correspondentes estiverem identificados conforme aplicável na Declaração de aplicabilidade Para aprender como completar estes documentos, consulte: 1) Tutoriais em vídeo 2) Webinars ver 3.1, Página 10 de 10