The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Como obter a certificação ISO 27001?

Você está implementando a ISO 27001 há muito tempo, investiu bastante em conhecimento, consultoria e implementação de diversos controles. Agora receberá a visita do auditor de um organismo de certificação. Você irá passar na certificação?

Esse tipo de ansiedade é normal. Você nunca sabe se o seu SGSI (sistema de gestão da segurança da informação) tem tudo o que o organismo de certificação exige. Mas o que exatamente o auditor estará procurando?

Primeiro, o auditor irá realizar a Fase 1 da auditoria, também chamada de “Revisão da documentação”. Nesta auditoria, o auditor irá observar o escopo documentado, a política e os objetivos do SGSI, a descrição da metodologia da avaliação de riscos, o Relatório de avaliação de riscos, a Declaração de aplicabilidade, o Plano de tratamento de riscos, os procedimentos de controle de documentos, as ações corretivas e preventivas e a auditoria interna. Você também terá de documentar alguns dos controles do Anexo A (somente se forem aplicáveis na Declaração de Aplicabilidade): inventário dos ativos (A.7.1.1), uso aceitável dos ativos (A.7.1.3), papéis e responsabilidades dos funcionários, fornecedores e terceiros (A.8.1.1), termos e condições de contratação (A.8.1.3), procedimentos de operação das instalações de processamento de informação (A.10.1.1), política de controle de acesso (A.11.1.1) e identificação da legislação vigente (A.15.1.1). Além disso, você precisará dos registros de pelo menos uma auditoria interna e da análise crítica da gestão.

Se algum desses elementos estiver faltando, significa que você não está pronto para a Fase 2 da auditoria. É claro que você poderia ter muitos outros documentos, se achar necessário; a lista acima é o requisito mínimo.

A Fase 2 da auditoria também é chamada de “Auditoria principal” e, geralmente, ocorre algumas semanas depois da Fase 1. Nesta auditoria, o foco não será a documentação. O auditor analisará se a organização está realmente fazendo o que a sua documentação e a ISO 27001 dizem que deve ser feito. Ou seja, ele irá verificar se o seu SGSI foi colocado em prática na sua organização, ou se é apenas mais um papel. O auditor irá verificar isso por meio de observação, de entrevistas com seus funcionários, mas, principalmente, pela análise de seus registros. Os registros obrigatórios incluem formação, treinamento, competências, experiência e qualificações (5.2.2), auditoria interna (6), análise crítica da gestão (7.1) e ações corretivas (8.2) e preventivas (8.3). Porém, o auditor espera encontrar muitos outros registros como resultado da realização de seus procedimentos.

Tome muito cuidado aqui, qualquer auditor experiente irá perceber imediatamente se alguma parte do seu SGSI for artificial e tiver sido preparada apenas para fins de auditoria.

OK, você sabia de tudo isso, mas ainda assim aconteceu: o auditor encontrou uma inconformidade grave e disse que o certificado ISO 27001 não será emitido. Isso é o fim do mundo?

Certamente não. O processo continua da seguinte maneira: o auditor irá apresentar os resultados (incluindo a inconformidade grave) no relatório da auditoria e lhe dará um prazo para que a inconformidade seja resolvida (normalmente 90 dias). Sua função é tomar as medidas corretivas necessárias, mas tenha cuidado, essa ação deve resolver a causa da inconformidade, caso contrário, o auditor poderá não aceitar o que você fez. Quando tiver certeza de que a ação correta foi tomada, você deve notificar o auditor e enviar-lhe a evidência do que foi feito. Na maioria dos casos, se você tiver feito o seu trabalho cuidadosamente, o auditor aceitará sua ação corretiva e ativará o processo de emissão do certificado.

Pronto! Demorou, mas agora você é um feliz proprietário do certificado ISO/IEC 27001. (Tenha cuidado, porém, o certificado é válido por três anos apenas e pode ser suspenso durante esse período, se o organismo de certificação identificar outra inconformidade grave durante as visitas de fiscalização.)

Para garantir que todas as suas não-conformidades sejam resolvidas e ações corretivas sejam tomadas, use o Conformio compliance software.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera is Exemplar Global Certified TPECS Provider for the IS, QM, EM, TL and AU Competency Units.
  • ITIL® is a registered trade mark of AXELOS Limited. Used under licence of AXELOS Limited. All rights reserved.
  • DNV GL Business Assurance is one of the leading providers of accredited management systems certification.