• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    O Ciclo PDCA foi removido das novas normas ISO?

    Ultimamente eu tenho recebido (muitas) questões perguntando, “Por que a nova revisão da ISO 27001 retirou o ciclo PDCA?” E, em uma primeira vista, você pode ser induzido a isso porque a norma realmente não menciona o ciclo Planejar-Fazer-Verificar-Agir (Plan-Do-Check-Act) explicitamente; mas você deveria ler a norma com um pouco mais de cuidado…

    Anexo SL das Diretivas da ISO/IEC

    Vamos começar do princípio – a ISO (International Organization for Standardization) publicou as Diretivas ISO/IEC onde elas descrevem no Anexo SL como as normas de gestão deveriam ser estruturadas. Esta é a estrutura requerida, por cláusulas:

    0 Introdução

    1 Escopo

    2 Referências normativas

    3 Termos e definições

    4 Contexto da organização

    5 Liderança

    6 Planejamento

    7 Apoio

    8 Operação

    9 Avaliação do desempenho

    10 Melhoria

    Assim, todas as novas normas publicadas, tal como a ISO 27001:2013 e a ISO 22301:2012, possuem esta estrutura. E todas as novas revisões da ISO 9001, ISO 14001 e outras terão esta mesma estrutura.

    A intenção da ISO com este Anexo SL foi, certamente, alinhar todas as normas de gestão de forma a torná-las mais compatíveis e habilitar a integração dos sistemas de gestão de uma forma mais fácil e conveniente.

    O que é o ciclo PDCA?

    Para aqueles de vocês que não conhecem o ciclo PDCA, ele é basicamente um conceito desenvolvido a quase 60 anos por um famoso consultor e guru da gestão da qualidade chamado William Edwards Deming. Essencialmente, o ciclo trata de:

    • Antes e você começar a implementar qualquer coisa, você deveria saber exatamente o que você precisa, e exatamente o que você quer atingir (objetivos) – esta é a fase de planejar (Plan phase).
    • Uma vez que você sabe o que quer atingir, você pode começar a implementar sua segurança da informação, continuidade de negócio, procedimentos de qualidade ou o que quer que seja o foco da norma ISO que você está abordando – está e a fase de fazer (Do phase).
    • Contudo, o esforço não para aqui – você quer ter certeza de que atingiu aquilo para que se planejou, então você precisa monitorar seu sistema e medir se você atingiu seus objetivos – esta é a fase de verificar (Check phase).
    • Finalmente, se e quando você perceber que o que você atingiu não é aquilo para o que se planejou, você precisa cobrir a lacuna – está é chamada fase de agir (Act phase).

    Ou, utilizando um exemplo – quando eu compro um carro, tenho uma ideia de quanto ele deveria custar, qual deveria ser a cor, o consumo máximo de combustível, etc. (fase de planejar); então começo a dirigi-lo (fase de fazer), e percebo que o consumo de combustível é muito maior do que o esperado (fase de verificar) – então eu tenho, basicamente, 2 opções: dirigir de forma mais econômica para poupar combustível, ou mudar a meta de consumo (fase de agir).

    E, embora este conceito tenha sido desenvolvido para a gestão da qualidade, cedo se percebeu que ele pode ser aplicado para qualquer tipo de gestão, incluindo gestão da segurança da informação ou gesto da continuidade do negócio.

    Assim, hoje este conceito é tão dominante no pensamento de gestão que ele está praticamente em todo lugar – em cada norma de gestão ISO, em cada estrutura de gestão, em cada teoria. Ele se tornou tão importante que é impossível evitá-lo.

    Então,o ciclo PDCA realmente desapareceu das normas ISO?

    Não, não desapareceu. Ele está muito mais incorporado na ISO 27001, ISO 22301 e todas as outras normas, apenas agora o ciclo não é explicitamente apresentado na introdução da norma como era o caso nas versões mais antigas.

    Aqui está como você pode reconhecer o ciclo PDCA na estrutura das normas ISO:

    • As cláusulas 4 (Contexto da organização), 5 (Liderança), 6 (Planejamento), e 7 (Apoio) não são nada mais do que a fase de planejar
    • A cláusula 8 (Operações) trata da fase de fazer
    • A cláusula 9 (Avaliação do desempenho) é, certamente, a fase de verificar, e
    • A cláusula 10 (Melhoria) é a fase de agir

    Como você pode ver, o ciclo PDCA não foi excluído das novas normas ISO; pelo contrário, ele é tão importante que o Anexo SL requer que todas as normas ISO estruturem suas cláusulas principais em torno do ciclo PDCA.

    Assim, não se preocupe, o ciclo PDCA ainda ficará por perto por um longo tempo.

    Para saber mais sobre o ciclo PDCA na ISO 27001, ISO 9001 e ISO 14001, confira estes cursos de treinamento on-line gratuitos.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: