Como obter a certificação ISO 27001?

Você está implementando a ISO 27001 há muito tempo, investiu bastante em conhecimento, consultoria e implementação de diversos controles. Agora receberá a visita do auditor de um organismo de certificação. Você irá passar na certificação?

Esse tipo de ansiedade é normal. Você nunca sabe se o seu SGSI (sistema de gestão da segurança da informação) tem tudo o que o organismo de certificação exige. Mas o que exatamente o auditor estará procurando?

Primeiro, o auditor irá realizar a Fase 1 da auditoria, também chamada de “Revisão da documentação”. Nesta auditoria, o auditor irá observar o escopo documentado, a política e os objetivos do SGSI, a descrição da metodologia da avaliação de riscos, o Relatório de avaliação de riscos, a Declaração de aplicabilidade, o Plano de tratamento de riscos, os procedimentos de controle de documentos, as ações corretivas e preventivas e a auditoria interna. Você também terá de documentar alguns dos controles do Anexo A (somente se forem aplicáveis na Declaração de Aplicabilidade): inventário dos ativos (A.7.1.1), uso aceitável dos ativos (A.7.1.3), papéis e responsabilidades dos funcionários, fornecedores e terceiros (A.8.1.1), termos e condições de contratação (A.8.1.3), procedimentos de operação das instalações de processamento de informação (A.10.1.1), política de controle de acesso (A.11.1.1) e identificação da legislação vigente (A.15.1.1). Além disso, você precisará dos registros de pelo menos uma auditoria interna e da análise crítica da gestão.

Se algum desses elementos estiver faltando, significa que você não está pronto para a Fase 2 da auditoria. É claro que você poderia ter muitos outros documentos, se achar necessário; a lista acima é o requisito mínimo.

A Fase 2 da auditoria também é chamada de “Auditoria principal” e, geralmente, ocorre algumas semanas depois da Fase 1. Nesta auditoria, o foco não será a documentação. O auditor analisará se a organização está realmente fazendo o que a sua documentação e a ISO 27001 dizem que deve ser feito. Ou seja, ele irá verificar se o seu SGSI foi colocado em prática na sua organização, ou se é apenas mais um papel. O auditor irá verificar isso por meio de observação, de entrevistas com seus funcionários, mas, principalmente, pela análise de seus registros. Os registros obrigatórios incluem formação, treinamento, competências, experiência e qualificações (5.2.2), auditoria interna (6), análise crítica da gestão (7.1) e ações corretivas (8.2) e preventivas (8.3). Porém, o auditor espera encontrar muitos outros registros como resultado da realização de seus procedimentos.

Tome muito cuidado aqui, qualquer auditor experiente irá perceber imediatamente se alguma parte do seu SGSI for artificial e tiver sido preparada apenas para fins de auditoria.

OK, você sabia de tudo isso, mas ainda assim aconteceu: o auditor encontrou uma inconformidade grave e disse que o certificado ISO 27001 não será emitido. Isso é o fim do mundo?

Certamente não. O processo continua da seguinte maneira: o auditor irá apresentar os resultados (incluindo a inconformidade grave) no relatório da auditoria e lhe dará um prazo para que a inconformidade seja resolvida (normalmente 90 dias). Sua função é tomar as medidas corretivas necessárias, mas tenha cuidado, essa ação deve resolver a causa da inconformidade, caso contrário, o auditor poderá não aceitar o que você fez. Quando tiver certeza de que a ação correta foi tomada, você deve notificar o auditor e enviar-lhe a evidência do que foi feito. Na maioria dos casos, se você tiver feito o seu trabalho cuidadosamente, o auditor aceitará sua ação corretiva e ativará o processo de emissão do certificado.

Pronto! Demorou, mas agora você é um feliz proprietário do certificado ISO/IEC 27001. (Tenha cuidado, porém, o certificado é válido por três anos apenas e pode ser suspenso durante esse período, se o organismo de certificação identificar outra inconformidade grave durante as visitas de fiscalização.)

Para garantir que todas as suas não-conformidades sejam resolvidas e ações corretivas sejam tomadas, use o Conformio compliance software.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan:
Tag: #ISO 27001