• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Avaliação de risco vs. Auditoria interna na ISO 27001 e ISO 22301

    Frequentemente vejo pessoas procurando por listas de verificação para a ISO 27001 ou ISO 22301 para realizar a auditoria interna; contudo, elas esperam que estas listas os ajudem com, por exemplo, quais informações a organização tem, quem tem acesso a elas, como elas são protegidas, quão confidencial elas são, etc.

    O problema é – estas coisas não são parte de uma auditoria interna; são parte da avaliação de riscos.

    O propósito da avaliação de riscos

    O propósito da avaliação de riscos é encontrar quais problemas podem acontecer as suas informações e/ou operações – isto é, o que pode por em risco a confidencialidade, integridade e disponibilidade de sua informação, ou o que pode ameaçar a continuidade de suas operações.

    Como parte da avaliação de riscos você tem que fazer o seguinte:

    • Identificar todos os riscos relacionados a sua informação
    • Identificar os proprietários dos riscos
    • Avaliar o impacto e a probabilidade dos riscos
    • Determinar o nível dos riscos
    • Decidir se o risco precisa ser tratado ou não

    A avaliação de risco é parte do processo de gestão de riscos, e é a parte crucial da implementação da ISO 27001 e ISO 22301 – veja este artigo pata um explanação: A lógica básica da ISO 27001: Como a segurança da informação funciona?

    Consequentemente, a avaliação de risco precisa ser feita no início do projeto da ISO 27001, enquanto que a auditoria interna é feita somente após a implementação ter sido concluída. Veja também: Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301.

    Como a auditoria interna é diferente?

    A auditoria interna, por outro lado, nada mais é do que fazer uma lista de todas a regras e requisitos e identificar se estas regras e requisitos estão sendo atendidos.

    Tipicamente, regras e requisitos são os seguintes:

    Ao realizar uma auditoria interna, você precisa verificar se cada uma de todas as regras e requisitos estão sendo atendidos, em todo o escopo do seu sistema de gestão de segurança da informação ou sistema de gestão de continuidade de negócio.

    Isto é feito por meio do uso de várias técnicas:

    • Exame de todos os documentos e registros
    • Entrevistas com empregados
    • Observações pessoais (e.g., caminhando pelas instalações)

    Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

    As principais diferenças entre as duas

    Então, eu diria que uma das principais diferenças é o mentalidade: avaliação de risco tem em mente coisas (potenciais) que poderiam ocorrer no futuro, enquanto que a auditoria interna lida com como as coisas foram feitas no passado.

    A segunda maior diferença é que a auditoria interna foca na conformidade com várias regras e requisitos, enquanto que a avaliação de risco nada mais é do que uma análise que provê uma base para a definição de certas regras.

    A terceira diferença é que a avaliação de risco é feita antes de você iniciar a aplicação de controles de segurança, enquanto que a auditoria interna é realizada uma vez que estes já tenham sido implementados.

    Não estou dizendo que uma é mais importante do que a outra – elas são ambas cruciais para a construção de sua segurança da informação e/ou continuidade de negócio. Contudo, elas tem uma coisa em comum: ambas são frequentemente negligenciadas em organizações porque são percebidas apenas como um exercício burocrático; mas isto é um tópico para um outro post deste blog…

    Clique aqui para ver uma amostra da Checklist de auditoria interna para ver quão diferente ela é da Tabela de avaliação de riscos.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001