março 17, 2015
Todos os sistemas de gestão baseados em normas ISO possuem uma coisa em comum: o conhecido ciclo de Deming ou PDCA (Plan, Do, Check e Act), o que pode fazer a integração de várias normas ISO em uma organização mais fácil: ISO 9001, ISO 14001, ISO 27001, ISO 20000, ISO 22301, etc. Conheço organizações que que possuem a ISO 27001, mas precisam ter mais foco em gestão de serviços de TI, assim implementam a ISO 20000. E vice versa – conheço organizações que possuem a ISO 20000, mas precisam ter mais foco em segurança da informação e implementam a ISO 27001.
No caso da ISO 27001 e ISO 20000, esta integração pode ir além do PDCA, como veremos a seguir – existem controles de segurança no Anexo A da ISO 27001 que podem ser gerenciados como um processo na ISO 20000.
Elementos de gestão similares na ISO 27001 e ISO 20000
Primeiro vamos relembrar quais pontos da ISO 27001/ISO 20000, relacionados ao PDCA, podem ser integrados no momento da implementação da ISO 27001 e ISO 20000 (o sistema resultante integra ambos as normas, e é chamado de “sistema integrado” ou “sistema de gestão integrado”):
- Política: Define regras internas para a gestão do sistema integrado.
- Definição de objetivos: Define os objetivos a serem atingidos com a implementação do sistema integrado. Isto também envolve a definição de alguns indicadores para medir se os objetivos foram atingidos.
- Definição de papéis e responsabilidades: Define papéis e responsabilidades pela gestão do sistema integrado. Geralmente define a pessoa responsável pelo sistema integrado. Também define um Comitê integrado com a gestão sênior como a principal participante.
- Conscientização: Todo o pessoal afetado pelo escopo do sistema de gestão integrado deve ser adequadamente educado em segurança da informação e gestão de serviços.
- Comunicações: Comunicação interna e externa relacionada ao sistema de gestão integrado deve ser conduzida por meio de orientações estabelecidas (geralmente definidas como protocolos de comunicação).
- Controle de documentos e registros: Você tem que definir orientações para a gestão de toda documentação e registros do sistema integrado.
- Gestão de métricas: No caso da ISO 27001, você terá que estabelecer métricas para medir a eficácia dos controles de segurança, enquanto que no caso da ISO 20000 você deve estabelecer métricas para medir a eficácia dos processos.
- Auditoria interna: Você tem que conduzir a realização de uma auditoria interna para detectar possíveis não conformidades no sistema integrado, e determinar o nível de implementação considerando as normas de referência.
- Análise crítica pela direção: A alta direção da organização tem que analisar criticamente uma série de pontos de entrada para o sistema de gestão integrado. Como resultado da análise crítica, eles têm que gerar algumas conclusões ou resultados.
- Ações corretivas/preventivas e melhoria contínua: A gestão do sistema integrado pode desenvolver ações corretivas e preventivas para a tratativa de não conformidades detectadas (geralmente detectadas em auditorias, análises críticas, etc.). No caso da ISO 27001, não há referência a ações preventivas, o que talvez ocorra na próxima versão da ISO 20000. (Algo similar está ocorrendo com o restante das normas ISO, dadas as mudanças que estão sendo feitas em um nível geral para maior integração entre todas as normas ISO.)
Para a integração da ISO 27001 e ISO 20000, para cada um dos últimos marcadores você precisa desenvolver um documento único que cobrirá tanto o SGSI (sistema de gestão de segurança da informação) e o SGS (sistema de gestão de serviço), separando aqueles aspectos que são específicos para a segurança daqueles relacionados a gestão de serviço.
Integração dos controles de segurança da ISO 27001 com a ISO 20000
Com relação aos controles de segurança do Anexo A da ISO 27001, que podemos integrar com os processos da ISO 20000, podemos identificar os seguintes:
- A.12.1.2 Gestão de mudança: Relacionado com o processo de gestão de mudança. Obviamente, o processo da ISO 20000 (cláusula 9.2) cobre muito mais.
- A.12.1.3 Gestão de capacidade: Relacionado ao processo de gestão da capacidade. Neste caso, o processo da ISO 20000 (cláusula 6.5) também abrange muito mais.
- A.15 Relacionamento na cadeia de suprimento: Relacionado aos processos de gestão de fornecedores e gestão do nível de serviço. Também, neste caso, os processos da ISO 20000 (clausula 7.2) incluem muito mais.
- A.16 Gestão de incidentes de segurança da informação: Relacionado ao processo de gestão de incidentes e solicitações de serviço e ao processo de gestão de problemas. A ISO 27001 foca em incidentes de segurança da informação, enquanto o processo da ISO 20000 (cláusula 6.6) é sobre qualquer tipo de incidente/problema. A ISO 20000, em seu processo de gestão da segurança da informação, também faz referência a incidentes de segurança, e novamente neste caso a ISO 20000 cobre mais coisas.
- A.17 Aspectos de segurança da informação na gestão da continuidade do negócio: Relacionado ao processo de gestão da continuidade e disponibilidade do serviço. Neste caso, novamente, a ISO 20000 (cláusula 6.3) é mais completa, uma vez que ela não se refere apenas a continuidade, mas também faz referência a disponibilidade. A única diferença é que a ISO 27001 se refere ao negócio, enquanto que a ISO 20000 se refere ao serviço.
A recomendação aqui é ter um único documento que cubra tanto o SGSI quanto o SGS para cada processo, usando a ISO 20000 como referência, porque esta norma cobre muito mais coisas.
Com relação ao processo de segurança da informação que define quais controles serão selecionados, a ISO 27001 obviamente cobre muito mais para a gestão de riscos e controles de segurança, assim recomendamos que a use como referência.
Diferenças entre a ISO 27001 e ISO 20000
Existem controles no anexo da ISO 27001 que não encontramos nos processos da ISO 20000, como por exemplo:
- A.9 Controle de Acesso
- A.10 Criptografia
- A.11 Segurança física e do ambiente
- A.12 Segurança das operações
- A.13 Segurança nas comunicações
- A.14 Aquisição, desenvolvimento e manutenção de sistemas de informação
Estes domínios de controle são específicos da segurança da informação, e possivelmente mais técnicos do que o resto, e assim não são tratados diretamente na gestão de serviços da ISO 20000. Mas, você precisa implementá-los para o sistema integrado usando, obviamente, a ISO 27001 como referência.
Assim, vemos que ambas as normas são muito compatíveis e podem ser integradas perfeitamente, e no caso obteremos um sistema de gestão integrado que proverá qualidade e segurança para nossos processos e serviços de negócio, e com isso deixando nosso clientes mais satisfeitos.
Clique aqui para fazer o download gratuito da ISO 27001 vs ISO 20000 Matrix que apresentará a você uma visão geral cláusula por cláusula das similaridades e diferenças entre estas duas normas.
Nós agradecemos a Rhand Leal pela tradução para o português.