Usando a ISO 9001 para implementar a ISO 27001

Você já implementou a ISO 9001? Você já ouviu falar que a ISO 27001 pode ser uma boa ideia? Mas como algo que tem a ver com qualidade pode ajudar a implementar a segurança da informação?

É possível, mais do que você imagina… A ISO 9001 especifica como os sistemas de gestão da qualidade (SGQ) devem ser, enquanto a ISO/IEC 27001 especifica os sistemas de gestão da segurança da informação (SGSI). Portanto, a parte de “sistemas de gestão” é a mesma. E o que isso significa de verdade?

A filosofia dos sistemas de gestão surgiu a partir da teoria desenvolvida por W. Edwards Deming, durante a segunda metade do século 20 e baseia-se no ciclo Planeje-Faça-Verifique-Aja. Basicamente, esse ciclo consiste no seguinte: na fase “Planeje” você precisa planejar o que deseja alcançar com o sistema de gestão; na fase “Faça”, você implementa esse sistema; na fase “Verifique”, você monitora constantemente se conseguiu alcançar o que planejou; e na fase “Aja”, você faz melhorias, ou seja, preenche as lacunas entre o que você planejou e o que alcançou.

Embora esse ciclo tenha sido elaborado para a gestão da qualidade, ele foi aceito como base para todos os outros sistemas de gestão: segurança da informação (ISO/IEC 27001), ambiente (ISO 14001), continuidade de negócios (BS 25999-2) etc. Isso significa que alguns dos elementos que você implementou para o sistema de gestão da qualidade, de acordo com a ISO 9001, também podem ser usados para o sistema de gestão da segurança da informação, aqui está a lista:

  • Gestão de documentos – o processo utilizado para gestão de documentos no SGQ pode ser usado para a mesma finalidade no SGSI, com apenas pequenos ajustes
  • Auditoria interna – o mesmo procedimento pode ser utilizado tanto para SGQ quanto para SGSI, embora a auditoria interna em si, normalmente, seja feita por pessoas diferentes, uma vez que não é muito provável que uma pessoa tenha conhecimento suficientemente profundo sobre segurança da informação e qualidade
  • Ações corretivas e preventivas – o procedimento utilizado para SGQ pode ser usado para o mesmo fim no SGSI, embora seja provável que pessoas diferentes resolvam as questões relacionadas a SGQ ou SGSI
  • Gestão de recursos humanos – o mesmo ciclo de planejamento de RH, treinamento e avaliação é utilizado para ambos os sistemas de gestão. Naturalmente, a diferença está no perfil de habilidades e conhecimentos necessários
  • Análise crítica da gestão – os princípios da análise crítica da gestão são os mesmos para ambos os sistemas de gestão. Embora não seja recomendável realizar as duas avaliações paralelamente, a gerência já estará tão acostumada a tomar decisões sobre SGQ, que eles terão uma melhor compreensão sobre como tomar decisões no contexto do SGSI
  • Definição dos objetivos empresariais e acompanhamento de sua realização – o mesmo mecanismo está previsto em ambas as normas, assim, a gerência estará acostumada a esse tipo de planejamento sistemático

Portanto, se você já implementou a ISO 9001, terá um trabalho mais fácil ao implementar a ISO 27001 (e vice-versa). É possível economizar até 30% do tempo. Além disso, você terá auditorias de certificação mais baratas, pois os organismos de certificação oferecem as chamadas “auditorias integradas”, o que significa que eles analisarão tanto a ISO 9001 quanto a ISO 27001 na mesma auditoria, cobrando uma taxa menor em relação a auditorias separadas.

Se o seu SGQ estiver funcionando bem, seu projeto SGSI irá se desenvolver tranquilamente. A gerência terá uma melhor compreensão dos possíveis benefícios para os negócios, enquanto todas as unidades organizacionais estarão acostumadas à necessidade de definir procedimentos, responsabilidades e documentações precisos.

Ter um SGQ de fato fornece uma base muito boa para a segurança da informação. Se você já tem a ISO 9001, pense seriamente sobre a norma ISO 27001.

Este webinar gratuito também irá ajudá-lo: ISO 27001 implementation: How to make it easier using ISO 9001.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan: