Definindo o nível de detalhes em documentos ISO 27001

Ao iniciar a escrita de um documento detalhando uma política ou procedimento, muitos ficam confusos em relação ao nível de detalhes a ser adotado. A norma ISO 27001 (bem como outros padrões ISO) é flexível a esse respeito, permitindo liberdade na escolha do nível de detalhes. Por outro lado, muitos profissionais de segurança da informação acreditam erroneamente que um nível maior de detalhes no documento resulta em um nível maior de segurança.

Documentos complexos requerem muito esforço para serem mantidos e pior: funcionários não gostam de ler políticas e procedimentos em grandes quantidades e/ou que são demasiadamente complexos. De modo a otimizar a documentação, antes de escrevê-la, é interessante atentar para os seguintes critérios: nível de complexidade, maturidade, frequência, importância/risco e compliance.

Quanto mais complexo determinado processo ou atividade é, mais detalhes deverão ser escritos. No entanto é importante atentar para a quantidade de detalhes e complexidade dos mesmos, resumindo-os se necessário, de modo a evitar uma documentação muito extensa, atendendo assim ao nível de complexidade e maturidade.

Se o processo é raramente realizado, então provavelmente você vai ter que explicá-lo com maior detalhe. Isso se deve ao fato dos funcionários tenderem a esquecer a forma como o processo é feito, se for realizado muito regularmente o documento deverá ser mais curto. Assim como ocorre com a frequência, quanto maior for a importância e/ou riscos do processo, mais detalhado deve ser o documento, de modo a garantir que todos entendam como realizar o mesmo, em todas as suas etapas.

Finalmente, em alguns casos você terá auditores (de órgãos reguladores e/ou de seus clientes importantes) vindo à sua empresa. Assim sendo, é preciso garantir que os mesmos tenham acesso a um documento detalhado, de acordo com as suas exigências. Nesse caso, uma política detalhada, abordando minuciosamente os processos envolvidos irá agradá-los.

Fonte: http://www.iso27001standard.com/blog/2014/09/22/detailed-iso-27001-documents/