4.3 Requisitos de documentação
4.3.1 Geral
A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às
políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.
É importante que se possa demonstrar a relação dos controles selecionados com os resultados da
análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos
do SGSI.
A documentação do SGSI deve incluir:
a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI;
b) o escopo do SGSI (ver 4.2.1a));
c) procedimentos e controles que apoiam o SGSI;
d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c));
e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g));
f) o plano de tratamento de riscos (ver 4.2.2b));
g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a
operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia
dos controles (ver 4.2.3c));
h) registros requeridos por esta Norma (ver 4.3.3); e
i) a Declaração de Aplicabilidade.
NOTA 1 Onde o termo "procedimento documentado" aparecer nesta Norma, significa que o procedimento é estabelecido,
documentado, implementado e mantido.
NOTA 2 A abrangência da documentação do SGSI pode variar de uma organização para outra devido ao:
1 - tamanho da organização e o tipo de suas atividades; e
2 - escopo e complexidade dos requisitos de segurança e o do sistema gerenciado.
NOTA 3 Documentos e registros podem estar em qualquer forma ou tipo de mídia.
fonte: ABNT NBR ISO/IEC 27001:2006 modelo para estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI)