Checklist da Documentação Obrigatória Requerida por ISO/IEC 27001 (Revisão 2013)

1) Quais documentos e registros são requeridos?
A lista baixo mostra o conjunto mínimo de documentos e registros requeridos pelo ISO/IEC
27001 revisão 2013:
Documentos*

Número da cláusula ISO
27001:2013

Escopo do SGSI

4.3

Política e objetivos de segurança da informação

5.2, 6.2

Metodologia de avaliação de riscos e tratamento de riscos

6.1.2

Declaração de aplicabilidade

6.1.3 d)

Plano de tratamento de riscos

6.1.3 e), 6.2

Relatório de avaliação de riscos

8.2

Definição da funções e responsabilidades de segurança

A.7.1.2, A.13.2.4

Inventário de ativos

A.8.1.1

Uso aceitável dos ativos

A.8.1.3

Política de controle de acesso

A.9.1.1

Procedimentos operacionais para a gestão de TI

A.12.1.1

Princípios de engenharia de sistemas seguros

A.14.2.5

Política de segurança do fornecedor

A.15.1.1

Procedimentos de gestão de incidentes

A.16.1.5

Procedimentos de continuidade de negócios

A.17.1.2

Requisitos legais, regulatórios e contratuais

A.18.1.1

Registros*

Número da cláusula ISO
27001:2013

Registros de treinamento, conhecimentos, experiência e

7.2

qualificação

©2013 27001Academy

www.iso27001standard.com

Página 1 de 9

Resultados de monitoramento e medição

9.1

Programa de auditoria interna

9.2

Resultados de auditoria interna

9.2

Resultados da revisão de gestão

9.3

Resultados de ações corretivas

10.1

Registros de atividades de usuário, exceções e eventos

A.12.4.1, A.12.4.3

de segurança

*Os Controles do Anexo A podem ser excluídos se uma organização concluir que não há riscos e outros requisitos que iriem demandar a implementação de um controle.
Isso não significa que uma lista definitiva de documentos e registros pode ser usada durante a implementação do ISO 27001 – a norma permite que quaisquer outros documentos sejam