top of page

[Série ISO/IEC 27001] - (Requisito 4.3) - Determinando o escopo do SGSI - Parte 05

Foto do escritor: vitormaleitevitormaleite
23 de fev.2 min de leitura

Após passarmos pelos requisitos 5.1, 4.1 e 4.2, agora é hora de falarmos sobre o Requisito 4.3 "Determinando o escopo do SGSI":


O requisito diz que a:

"organização deve determinar os limites e a aplicabilidade do sistema de gestão da segurança da informação para estabelecer o seu escopo".

Mas o que isso significa?


Que para determinarmos o escopo, precisamos considerar as questões internas e externas, as necessidades e expectativas das partes interessadas, ou seja, todas as interfaces e dependências entre as atividades desempenhadas pela organização e aquelas que são desempenhadas por outras organizações.


Como obrigatoriedade do requisito, o escopo deve estar disponível como informação documentada. Portanto, para que o escopo fique adequadamente documentado, precisamos fazer um consolidado de tudo que já vimos em um único documento.


Nós vamos pegar um template como base que está dividido em 5 seções.

  1. Introdução

  2. Contexto da Organização

    • 2.1 Atividades

    • 2.2 Unidades Organizacionais

    • 2.3 Serviços

    • 2.4 Produtos

    • 2.5 Principais Parceiros

    • 2.6 Fornecedores

    • 2.7 Objetivos e Políticas

  3. Questões Internas e Externas

    • 3.1 Questões Internas

    • 3.2 Questões Externas

    • 3.3 Apetite ao Risco

  4. Partes interessadas e seus requisitos

    • 4.1 Partes interessadas

    • 4.2 Requisitos

  5. Propósito e escopo do SGSI

    • 5.1 Propósito

    • 5.2 Potencial de um incidente de segurança da informação

    • 5.3 Objetivos de segurança da informação

    • 5.4 Escopo do SGSI


    Todas as seções e/ou subseções destacadas anteriormente foram abordadas no Requisito 4.1 e  Requisito 4.2. Portanto, bastaria documentar cada parte na sua seção/subseção correspondente.


    Mesmo estando em inglês, dá para entender como o documento ficaria estruturado, naveguem com calma pelas imagens para visualizar:







Temos ainda algumas seções que não foram destacadas anteriormente, eis os motivos:


  • Subseção 2.4 Produtos: desde do início da nossa série, deixamos claro que a nossa agência de turismo fictícia, está ofertando um serviço e não um produto e portanto, essa subseção poderia ser desconsiderada;

  • Subseção 2.7 Objetivos e Políticas: teremos um artigo nessa série direcionada somente a falar de objetivos e políticas por isso neste momento não dei destaque;

  • Subseção 3.3 Apetite ao Risco: como a ISO não é prescritiva, na minha opinião eu deixaria essa parte na metodologia de avaliação de riscos que nós ainda iremos abordar, mas claro, fica a seu critério.


Agora em relação a Seção 5 Propósito e escopo do SGSI, acredito que ela poderia ser deslocada para o inicio do documento, junto a Introdução. Afinal, todo documento está relacionado ao escopo e ela ficaria no começo para introduzir as demais seções. Pedindo ajuda ao nosso amigo chatgpt, ficaria mais ou menos assim:

Sendo assim, ao final, teríamos o nosso escopo documentado. E pode ter certeza que esse é um dos documentos mais importantes do nosso SGSI. Um Auditor, por exemplo, seja em uma Auditoria Interna e principalmente na de Certificação vai solicitar esse documento. Serve quase como guia para eles.


No próximo artigo seguiremos para o Requisito 5.2 Política. =)


 
 
 

Comments

© 2018 - 2025

bottom of page