• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Avaliação de risco vs. Auditoria interna na ISO 27001 e ISO 22301

    Frequentemente vejo pessoas procurando por listas de verificação para a ISO 27001 ou ISO 22301 para realizar a auditoria interna; contudo, elas esperam que estas listas os ajudem com, por exemplo, quais informações a organização tem, quem tem acesso a elas, como elas são protegidas, quão confidencial elas são, etc.

    O problema é – estas coisas não são parte de uma auditoria interna; são parte da avaliação de riscos.

    O propósito da avaliação de riscos

    O propósito da avaliação de riscos é encontrar quais problemas podem acontecer as suas informações e/ou operações – isto é, o que pode por em risco a confidencialidade, integridade e disponibilidade de sua informação, ou o que pode ameaçar a continuidade de suas operações.

    Como parte da avaliação de riscos você tem que fazer o seguinte:

    • Identificar todos os riscos relacionados a sua informação
    • Identificar os proprietários dos riscos
    • Avaliar o impacto e a probabilidade dos riscos
    • Determinar o nível dos riscos
    • Decidir se o risco precisa ser tratado ou não

    A avaliação de risco é parte do processo de gestão de riscos, e é a parte crucial da implementação da ISO 27001 e ISO 22301 – veja este artigo pata um explanação: A lógica básica da ISO 27001: Como a segurança da informação funciona?

    Consequentemente, a avaliação de risco precisa ser feita no início do projeto da ISO 27001, enquanto que a auditoria interna é feita somente após a implementação ter sido concluída. Veja também: Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301.

    Como a auditoria interna é diferente?

    A auditoria interna, por outro lado, nada mais é do que fazer uma lista de todas a regras e requisitos e identificar se estas regras e requisitos estão sendo atendidos.

    Tipicamente, regras e requisitos são os seguintes:

    Ao realizar uma auditoria interna, você precisa verificar se cada uma de todas as regras e requisitos estão sendo atendidos, em todo o escopo do seu sistema de gestão de segurança da informação ou sistema de gestão de continuidade de negócio.

    Isto é feito por meio do uso de várias técnicas:

    • Exame de todos os documentos e registros
    • Entrevistas com empregados
    • Observações pessoais (e.g., caminhando pelas instalações)

    Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

    As principais diferenças entre as duas

    Então, eu diria que uma das principais diferenças é o mentalidade: avaliação de risco tem em mente coisas (potenciais) que poderiam ocorrer no futuro, enquanto que a auditoria interna lida com como as coisas foram feitas no passado.

    A segunda maior diferença é que a auditoria interna foca na conformidade com várias regras e requisitos, enquanto que a avaliação de risco nada mais é do que uma análise que provê uma base para a definição de certas regras.

    A terceira diferença é que a avaliação de risco é feita antes de você iniciar a aplicação de controles de segurança, enquanto que a auditoria interna é realizada uma vez que estes já tenham sido implementados.

    Não estou dizendo que uma é mais importante do que a outra – elas são ambas cruciais para a construção de sua segurança da informação e/ou continuidade de negócio. Contudo, elas tem uma coisa em comum: ambas são frequentemente negligenciadas em organizações porque são percebidas apenas como um exercício burocrático; mas isto é um tópico para um outro post deste blog…

    Clique aqui para ver uma amostra da Checklist de auditoria interna para ver quão diferente ela é da Tabela de avaliação de riscos.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan:
    Tag: #ISO 27001