Fórum de discussão

Exemplo: defini quatro processos para trabalhar visando certificar 27001 neles; então terei quatro politicas de SGSI ou uma geral que atenda os quatro processos, e quando incrementar outros processos então deverei rever as politicas de cada um?

At.,

Marcos

você deve apenas revisar a política de SGSI para verificar se ela atende aos requisitos do item 4.2.1 – Estabelecer o SGSI. Basta uma única política que cubra todo os processos do escopo do seu SGSI que será controlado e auditado. Se você considerar que cada processo é muito diferente e tem políticas conflitantes, ai você pode fazer uma política de SGSI para cada processo, mas creio que isto não ocorrerá, porque as políticas sempre são genéricas, se aplicam a todos os processos.

você não precisa ter um documento para Politica do SGSI e outro para Politica da Segurança da Informação. As duas politicas podem ser incoporadas em um documento só. A ISO 27001 não distingui os documentos, ela diz apenas que a Politica do SGSI é um documento maior que faz parte da Política da Segurança Informação.

A sua dúvida é se cria uma politica para cada processo ou um só, eu recomendo que crie uma só. As politicas de segurança são genéricas, amplas, se aplicam a toda a organização. Ter documentos de política separados só vai gerar confusão, duplicação de esforços e dificuldade de manutenção.