• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Usando a ISO 9001 para implementar a ISO 27001

    Você já implementou a ISO 9001? Você já ouviu falar que a ISO 27001 pode ser uma boa ideia? Mas como algo que tem a ver com qualidade pode ajudar a implementar a segurança da informação?

    É possível, mais do que você imagina… A ISO 9001 especifica como os sistemas de gestão da qualidade (SGQ) devem ser, enquanto a ISO/IEC 27001 especifica os sistemas de gestão da segurança da informação (SGSI). Portanto, a parte de “sistemas de gestão” é a mesma. E o que isso significa de verdade?

    A filosofia dos sistemas de gestão surgiu a partir da teoria desenvolvida por W. Edwards Deming, durante a segunda metade do século 20 e baseia-se no ciclo Planeje-Faça-Verifique-Aja. Basicamente, esse ciclo consiste no seguinte: na fase “Planeje” você precisa planejar o que deseja alcançar com o sistema de gestão; na fase “Faça”, você implementa esse sistema; na fase “Verifique”, você monitora constantemente se conseguiu alcançar o que planejou; e na fase “Aja”, você faz melhorias, ou seja, preenche as lacunas entre o que você planejou e o que alcançou.

    Embora esse ciclo tenha sido elaborado para a gestão da qualidade, ele foi aceito como base para todos os outros sistemas de gestão: segurança da informação (ISO/IEC 27001), ambiente (ISO 14001), continuidade de negócios (BS 25999-2) etc. Isso significa que alguns dos elementos que você implementou para o sistema de gestão da qualidade, de acordo com a ISO 9001, também podem ser usados para o sistema de gestão da segurança da informação, aqui está a lista:

    • Gestão de documentos – o processo utilizado para gestão de documentos no SGQ pode ser usado para a mesma finalidade no SGSI, com apenas pequenos ajustes
    • Auditoria interna – o mesmo procedimento pode ser utilizado tanto para SGQ quanto para SGSI, embora a auditoria interna em si, normalmente, seja feita por pessoas diferentes, uma vez que não é muito provável que uma pessoa tenha conhecimento suficientemente profundo sobre segurança da informação e qualidade
    • Ações corretivas e preventivas – o procedimento utilizado para SGQ pode ser usado para o mesmo fim no SGSI, embora seja provável que pessoas diferentes resolvam as questões relacionadas a SGQ ou SGSI
    • Gestão de recursos humanos – o mesmo ciclo de planejamento de RH, treinamento e avaliação é utilizado para ambos os sistemas de gestão. Naturalmente, a diferença está no perfil de habilidades e conhecimentos necessários
    • Análise crítica da gestão – os princípios da análise crítica da gestão são os mesmos para ambos os sistemas de gestão. Embora não seja recomendável realizar as duas avaliações paralelamente, a gerência já estará tão acostumada a tomar decisões sobre SGQ, que eles terão uma melhor compreensão sobre como tomar decisões no contexto do SGSI
    • Definição dos objetivos empresariais e acompanhamento de sua realização – o mesmo mecanismo está previsto em ambas as normas, assim, a gerência estará acostumada a esse tipo de planejamento sistemático

    Portanto, se você já implementou a ISO 9001, terá um trabalho mais fácil ao implementar a ISO 27001 (e vice-versa). É possível economizar até 30% do tempo. Além disso, você terá auditorias de certificação mais baratas, pois os organismos de certificação oferecem as chamadas “auditorias integradas”, o que significa que eles analisarão tanto a ISO 9001 quanto a ISO 27001 na mesma auditoria, cobrando uma taxa menor em relação a auditorias separadas.

    Se o seu SGQ estiver funcionando bem, seu projeto SGSI irá se desenvolver tranquilamente. A gerência terá uma melhor compreensão dos possíveis benefícios para os negócios, enquanto todas as unidades organizacionais estarão acostumadas à necessidade de definir procedimentos, responsabilidades e documentações precisos.

    Ter um SGQ de fato fornece uma base muito boa para a segurança da informação. Se você já tem a ISO 9001, pense seriamente sobre a norma ISO 27001.

    Este webinar gratuito também irá ajudá-lo: ISO 27001 implementation: How to make it easier using ISO 9001.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.