4.3.3 Controle de registros
Registros devem ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da
operação eficaz do SGSI. Eles devem ser protegidos e controlados. O SGSI deve levar em consideração
quaisquer requisitos legais ou regulamentares pertinentes e obrigações contratuais. Os registros devem
permanecer legíveis, prontamente identificáveis e recuperáveis. Os controles necessários para a identificação,
armazenamento, proteção, recuperação, tempo de retenção e disposição de registros devem ser documentados e
implementados.
Devem ser mantidos registros do desempenho do processo como definido em 4.2 e de todas as ocorrências de
incidentes de segurança da informação significativos relacionados ao SGSI.
EXEMPLO
Exemplos de registros são: livros de visitantes, relatórios de auditoria e formulários de autorização de acesso
preenchidos.
Texto retirado da norma.