Ir para o conteúdo
ISO 27001

A estrutura da norma ISO 27001

·
7 minutos de leitura
RH de um lado, IT do outro?
Gira dispositivos, licenças e segurança a partir de um único lugar. Sincronizado com as entradas e saídas da tua equipa. Descubra o Factorial IT
Escrito por

Quem abre a ISO 27001 pela primeira vez fica surpreendido. O documento não começa com uma lista de medidas de segurança. Começa com uma introdução, segue com uma secção de definições e só depois surgem os requisitos. Para cúmulo, esses requisitos estão numerados de 4 a 10, como se alguém tivesse arrancado as primeiras páginas.

Não falta nada. A norma está construída assim de propósito, e perceber a sua arquitetura é a forma mais rápida de deixar de a ver como um calhamaço e começar a usá-la como um mapa.

Neste artigo percorremos a norma do princípio ao fim. O que contém cada parte, quais são obrigatórias, quais são orientativas e porque é que a numeração começa onde começa.

O que é a ISO 27001 e porque é que a sua estrutura importa?

A ISO 27001 é a norma internacional que descreve como montar e manter um sistema de gestão da segurança da informação, ou SGSI. Se procura o detalhe sobre para que serve, a que empresas se aplica e que benefícios traz, está tudo no nosso guia completo sobre a ISO 27001.

Aqui concentramo-nos na sua arquitetura, e essa arquitetura assenta em dois blocos que funcionam de maneira muito diferente:

  • O primeiro são as cláusulas. São os requisitos. Dizem o que a organização tem de fazer, sem margem para discussão, para se poder certificar. Um auditor chega, lê-as e verifica uma a uma se as cumpre.
  • O segundo é o Anexo A. É um catálogo de controlos de segurança. Não é obrigado a aplicá-los todos. É obrigado a olhar para todos, decidir quais precisa em função dos seus riscos e justificar por escrito aqueles que descarta.

Esta separação entre o que é obrigatório e o que é selecionável é a chave de toda a norma. Quem confunde os dois blocos acaba por acreditar que certificar-se é implementar noventa e três medidas de segurança, mas a realidade é outra.

Porque é que a ISO 27001 começa na cláusula 4?

Porque as primeiras cláusulas existem, mas não são auditáveis.

Por trás disto está uma decisão da ISO. Para que as suas normas de sistemas de gestão deixassem de ser escritas cada uma por si, a organização criou um modelo interno chamado Anexo SL. Não é uma norma que se compre nem que se certifique. É o molde que os comités técnicos seguem quando redigem qualquer norma de gestão, e é daí que saem o índice comum de dez cláusulas, os requisitos partilhados e um vocabulário único para palavras como risco ou não conformidade.

Cada comité acrescenta depois o que lhe é próprio por cima dessa base. Na ISO 27001, a parte específica é tudo o que diz respeito à segurança da informação, à apreciação dos riscos e ao Anexo A. Por isso, se a sua empresa já é certificada ISO 9001, as cláusulas de liderança, suporte e avaliação do desempenho vão soar-lhe familiares. Estão redigidas quase da mesma maneira.

Uma nota de vocabulário. Esta estrutura comum chamou-se durante anos High Level Structure, ou HLS. Desde a revisão de 2021 o seu nome oficial é estrutura harmonizada, e vai encontrar os dois termos usados como sinónimos. A versão de 2022 da ISO 27001 já a incorpora.

Cláusulas 0 a 3 da ISO 27001: a parte introdutória

Estas quatro cláusulas ocupam poucas páginas e nenhum auditor lhe vai pedir evidências sobre elas. Ainda assim, saltá-las é um erro, porque contêm as regras do jogo:

  • Cláusula 0, introdução: explica para que serve a norma e o que se espera de uma organização que a adota. É aqui que aparece a ideia de que o SGSI tem de estar integrado nos processos da empresa e não ser um apêndice que vive numa pasta partilhada. É uma declaração de intenções, não um requisito.
  • Cláusula 1, âmbito da norma: não confundir com o âmbito do seu SGSI, que é outra coisa e aparece na cláusula 4. Esta cláusula diz a que tipo de organizações se aplica a ISO 27001, e a resposta é a todas. Qualquer dimensão, qualquer setor. Deixa também claro que as cláusulas 4 a 10 não são negociáveis se quiser certificar-se.
  • Cláusula 2, referências normativas: remete para a ISO 27000, um documento gratuito que reúne o vocabulário comum a toda a família 27000. Se a dada altura tiver dúvidas sobre o significado exato de um termo, é ali que está.
  • Cláusula 3, termos e definições: fixa o significado das palavras que a norma usa. Parece uma formalidade, mas não é. Palavras como risco, controlo, informação documentada ou parte interessada têm um sentido preciso dentro da norma que nem sempre coincide com o uso corrente. Muitas discussões estéreis num projeto de implementação resolvem-se abrindo esta cláusula.

Cláusulas 4 a 10 da ISO 27001: os requisitos certificáveis

Aqui está a norma a sério. Estas sete cláusulas são o que um auditor verifica, e a ordem por que aparecem não é casual. Contam uma história que vai desde perceber a sua organização até melhorá-la de forma contínua.

  • Cláusula 4, contexto da organização: o ponto de partida. Tem de identificar que fatores internos e externos afetam a sua segurança da informação, quem são as partes interessadas e o que esperam de si. Clientes, colaboradores, reguladores, fornecedores. Com isso define o âmbito do seu SGSI, ou seja, que processos, que instalações e que sistemas ficam dentro.
  • Cláusula 5, liderança: a gestão tem de se envolver a sério. Não basta assinar um documento. Exige-se aqui que a gestão de topo aprove uma política de segurança da informação, atribua responsabilidades claras e disponibilize os recursos necessários.
  • Cláusula 6, planeamento: o coração da norma. Aqui define como identifica e avalia os seus riscos de segurança, quais aceita, quais trata e que controlos aplica. Daí saem dois documentos, o plano de tratamento de riscos e a Declaração de Aplicabilidade, onde justifica controlo a controlo porque o aplica ou porque não.
  • Cláusula 7, suporte: tudo o que é preciso para que o sistema funcione. Pessoas com a competência adequada, formação, sensibilização dos colaboradores, canais de comunicação internos e externos, e controlo da documentação.
  • Cláusula 8, operação: pôr em prática o que foi planeado. Executa os processos, aplica o plano de tratamento de riscos e repete a apreciação de riscos periodicamente ou sempre que as circunstâncias mudem. Obriga-o também a controlar os processos que subcontrata, porque externalizar um serviço não externaliza a sua responsabilidade.
  • Cláusula 9, avaliação do desempenho: verificar se o sistema funciona. Assenta em três pilares, a monitorização e medição dos indicadores que definiu, a auditoria interna realizada por alguém objetivo, e a revisão pela gestão, uma reunião formal e documentada em que a gestão de topo analisa os resultados e toma decisões.
  • Cláusula 10, melhoria: fechar o ciclo. Quando alguma coisa corre mal, e mais tarde ou mais cedo vai correr, é preciso registar a não conformidade, corrigi-la, perceber porque aconteceu e atuar sobre a causa para que não se repita.

O Anexo A e os 93 controlos de segurança

O Anexo A é a lista de compras. Noventa e três controlos de segurança que a norma põe em cima da mesa para que escolha aqueles de que precisa.

É aqui que mais gente se engana, por isso convém ser direto. Não tem de implementar os noventa e três. Tem de os passar todos em revista, confrontá-los com os riscos identificados na cláusula 6, aplicar os que fazem sentido e justificar por escrito os que descarta. Essa justificação é a Declaração de Aplicabilidade.

Um exemplo. Se a sua empresa não desenvolve software, os controlos de desenvolvimento seguro não se lhe aplicam e é isso que escreve. Se não tem escritório físico porque toda a equipa trabalha à distância, alguns controlos físicos caem por terra. O auditor não espera que os tenha todos. Espera que as suas decisões sejam coerentes com os seus riscos.

Até à versão de 2013 os controlos eram cento e catorze e estavam repartidos por catorze secções. A revisão de 2022 reagrupou-os, eliminou sobreposições, introduziu onze controlos novos ligados à cloud, à informação sobre ameaças e à segurança no desenvolvimento, e reduziu-os a noventa e três, organizados em quatro grandes famílias.

  • Controlos organizacionais: são trinta e sete e formam a família mais numerosa. Cobrem políticas, papéis e responsabilidades, gestão de fornecedores, classificação da informação, resposta a incidentes e continuidade de negócio. É a parte mais de gestão e menos de tecnologia.
  • Controlos relativos às pessoas: são oito. Vão desde a verificação de antecedentes antes da contratação até aos acordos de confidencialidade, passando pela formação em segurança, o processo disciplinar e o que acontece quando alguém sai da empresa. O fator humano concentrado num único bloco.
  • Controlos físicos: são catorze. Perímetros de segurança, controlo de acessos às instalações, proteção contra ameaças ambientais, segurança da cablagem, política de secretária limpa e ecrã bloqueado, e abate seguro de equipamentos e suportes.
  • Controlos tecnológicos: são trinta e quatro. Aquilo que a maioria das pessoas imagina quando ouve falar de segurança da informação. Gestão de identidades, autenticação, cifragem, cópias de segurança, registo e monitorização, proteção contra software malicioso, gestão de vulnerabilidades e segurança no desenvolvimento de software.

A versão de 2022 acrescentou ainda uma camada útil. Cada controlo traz associados cinco atributos que permitem filtrá-lo e classificá-lo. Tipo de controlo, propriedade de segurança protegida, conceito de cibersegurança, capacidade operacional e domínio de segurança.

Relação entre o Anexo A e a ISO 27002

Ao ler o Anexo A vai reparar que cada controlo se despacha em duas ou três linhas. Diz-lhe o que é preciso alcançar, não como o alcançar. É propositado, porque o Anexo A é um índice de referência, não um manual.

As instruções estão na ISO 27002, uma norma distinta que se compra à parte e não se certifica. Contém os mesmos noventa e três controlos com a mesma numeração, mas dedica várias páginas a cada um a explicar a sua finalidade e como implementá-lo. Em resumo, a ISO 27001 diz o que fazer e certifica-o, a ISO 27002 explica como e ninguém o vai auditar contra ela. Se quiser o detalhe, comparamos as duas normas neste artigo.

O fluxo de trabalho é simples. Identifica os seus riscos na cláusula 6, percorre o Anexo A para selecionar os controlos que respondem a esses riscos, documenta a seleção na Declaração de Aplicabilidade e abre a ISO 27002 nesse mesmo número para implementar cada um.

Com isto tem o mapa completo. Quatro cláusulas introdutórias que fixam o vocabulário, sete cláusulas certificáveis que contam o ciclo de vida do sistema, um catálogo de noventa e três controlos de onde escolhe o que precisa e uma norma irmã que lhe explica como aplicá-los.