Você já implementou a ISO 9001? Você já ouviu falar que a ISO 27001 pode ser uma boa ideia? Mas como algo que tem a ver com qualidade pode ajudar a implementar a segurança da informação?
É possível, mais do que você imagina… A ISO 9001 especifica como os sistemas de gestão da qualidade (SGQ) devem ser, enquanto a ISO/IEC 27001 especifica os sistemas de gestão da segurança da informação (SGSI). Portanto, a parte de “sistemas de gestão” é a mesma. E o que isso significa de verdade?
A filosofia dos sistemas de gestão surgiu a partir da teoria desenvolvida por W. Edwards Deming, durante a segunda metade do século 20 e baseia-se no ciclo Planeje-Faça-Verifique-Aja. Basicamente, esse ciclo consiste no seguinte: na fase “Planeje” você precisa planejar o que deseja alcançar com o sistema de gestão; na fase “Faça”, você implementa esse sistema; na fase “Verifique”, você monitora constantemente se conseguiu alcançar o que planejou; e na fase “Aja”, você faz melhorias, ou seja, preenche as lacunas entre o que você planejou e o que alcançou.
Embora esse ciclo tenha sido elaborado para a gestão da qualidade, ele foi aceito como base para todos os outros sistemas de gestão: segurança da informação (ISO/IEC 27001), ambiente (ISO 14001), continuidade de negócios (BS 25999-2) etc. Isso significa que alguns dos elementos que você implementou para o sistema de gestão da qualidade, de acordo com a ISO 9001, também podem ser usados para o sistema de gestão da segurança da informação, aqui está a lista:
- Gestão de documentos – o processo utilizado para gestão de documentos no SGQ pode ser usado para a mesma finalidade no SGSI, com apenas pequenos ajustes
- Auditoria interna – o mesmo procedimento pode ser utilizado tanto para SGQ quanto para SGSI, embora a auditoria interna em si, normalmente, seja feita por pessoas diferentes, uma vez que não é muito provável que uma pessoa tenha conhecimento suficientemente profundo sobre segurança da informação e qualidade
- Ações corretivas e preventivas – o procedimento utilizado para SGQ pode ser usado para o mesmo fim no SGSI, embora seja provável que pessoas diferentes resolvam as questões relacionadas a SGQ ou SGSI
- Gestão de recursos humanos – o mesmo ciclo de planejamento de RH, treinamento e avaliação é utilizado para ambos os sistemas de gestão. Naturalmente, a diferença está no perfil de habilidades e conhecimentos necessários
- Análise crítica da gestão – os princípios da análise crítica da gestão são os mesmos para ambos os sistemas de gestão. Embora não seja recomendável realizar as duas avaliações paralelamente, a gerência já estará tão acostumada a tomar decisões sobre SGQ, que eles terão uma melhor compreensão sobre como tomar decisões no contexto do SGSI
- Definição dos objetivos empresariais e acompanhamento de sua realização – o mesmo mecanismo está previsto em ambas as normas, assim, a gerência estará acostumada a esse tipo de planejamento sistemático
Portanto, se você já implementou a ISO 9001, terá um trabalho mais fácil ao implementar a ISO 27001 (e vice-versa). É possível economizar até 30% do tempo. Além disso, você terá auditorias de certificação mais baratas, pois os organismos de certificação oferecem as chamadas “auditorias integradas”, o que significa que eles analisarão tanto a ISO 9001 quanto a ISO 27001 na mesma auditoria, cobrando uma taxa menor em relação a auditorias separadas.
Se o seu SGQ estiver funcionando bem, seu projeto SGSI irá se desenvolver tranquilamente. A gerência terá uma melhor compreensão dos possíveis benefícios para os negócios, enquanto todas as unidades organizacionais estarão acostumadas à necessidade de definir procedimentos, responsabilidades e documentações precisos.
Ter um SGQ de fato fornece uma base muito boa para a segurança da informação. Se você já tem a ISO 9001, pense seriamente sobre a norma ISO 27001.
Este webinar gratuito também irá ajudá-lo: ISO 27001 implementation: How to make it easier using ISO 9001.