A Declaração de Aplicabilidade é uma listagem dos controles aplicados, e dos controles não aplicados. Ou seja, é uma listagem de TODOS os controles do Anexo A da ISO 27001, mais os controles adicionais.
Devem ser colocadas justificativas pela APLICAÇÃO e pela NÃO APLICAÇÃO dos controles.
Nosso colega Ediemerson corretamente informou que devem ser feitas referencias para os riscos que estão sendo tratados, devemos indicar aonde encontra-se documentada a aplicação do controle selecionado.
Atenção: não confundir o termo APLICADO com APLICAVEL. Somente podem ser justificado o controle como NÃO APLICAVEL, se realmente não for possível aplicá-lo, como por exemplo "comércio eletrônico" para uma empresa que não realiza comércio eletrônico. A justificativa deste controle é, NÃO APLICAVEL.
NÃO APLICADOS são aqueles controles pelos quais não se optou devido a inexistência de risco que o justificassem, por serem NÃO APLICAVEIS, ou pela sobreposição de controle. Isso é muito comum!
Subscribe to:
Post Comments (Atom)
1 comment:
Grande Fábio,
Parabéns pela iniciativa do Blog. Sucessos, Jean
Post a Comment