Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

Como implementar a ISO 27001 e ISO 20000 juntas

Todos os sistemas de gestão baseados em normas ISO possuem uma coisa em comum: o conhecido ciclo de Deming ou PDCA (Plan, Do, Check e Act), o que pode fazer a integração de várias normas ISO em uma organização mais fácil: ISO 9001, ISO 14001, ISO 27001, ISO 20000, ISO 22301, etc. Conheço organizações que que possuem a ISO 27001, mas precisam ter mais foco em gestão de serviços de TI, assim implementam a ISO 20000. E vice versa – conheço organizações que possuem a ISO 20000, mas precisam ter mais foco em segurança da informação e implementam a ISO 27001.

No caso da ISO 27001 e ISO 20000, esta integração pode ir além do PDCA, como veremos a seguir – existem controles de segurança no Anexo A da ISO 27001 que podem ser gerenciados como um processo na ISO 20000.

Elementos de gestão similares na ISO 27001 e ISO 20000

Primeiro vamos relembrar quais pontos da ISO 27001/ISO 20000, relacionados ao PDCA, podem ser integrados no momento da implementação da ISO 27001 e ISO 20000 (o sistema resultante integra ambos as normas, e é chamado de “sistema integrado” ou “sistema de gestão integrado”):

  • Política: Define regras internas para a gestão do sistema integrado.
  • Definição de objetivos: Define os objetivos a serem atingidos com a implementação do sistema integrado. Isto também envolve a definição de alguns indicadores para medir se os objetivos foram atingidos.
  • Definição de papéis e responsabilidades: Define papéis e responsabilidades pela gestão do sistema integrado. Geralmente define a pessoa responsável pelo sistema integrado. Também define um Comitê integrado com a gestão sênior como a principal participante.
  • Conscientização: Todo o pessoal afetado pelo escopo do sistema de gestão integrado deve ser adequadamente educado em segurança da informação e gestão de serviços.
  • Comunicações: Comunicação interna e externa relacionada ao sistema de gestão integrado deve ser conduzida por meio de orientações estabelecidas (geralmente definidas como protocolos de comunicação).
  • Controle de documentos e registros: Você tem que definir orientações para a gestão de toda documentação e registros do sistema integrado.
  • Gestão de métricas: No caso da ISO 27001, você terá que estabelecer métricas para medir a eficácia dos controles de segurança, enquanto que no caso da ISO 20000 você deve estabelecer métricas para medir a eficácia dos processos.
  • Auditoria interna: Você tem que conduzir a realização de uma auditoria interna para detectar possíveis não conformidades no sistema integrado, e determinar o nível de implementação considerando as normas de referência.
  • Análise crítica pela direção: A alta direção da organização tem que analisar criticamente uma série de pontos de entrada para o sistema de gestão integrado. Como resultado da análise crítica, eles têm que gerar algumas conclusões ou resultados.
  • Ações corretivas/preventivas e melhoria contínua: A gestão do sistema integrado pode desenvolver ações corretivas e preventivas para a tratativa de não conformidades detectadas (geralmente detectadas em auditorias, análises críticas, etc.). No caso da ISO 27001, não há referência a ações preventivas, o que talvez ocorra na próxima versão da ISO 20000. (Algo similar está ocorrendo com o restante das normas ISO, dadas as mudanças que estão sendo feitas em um nível geral para maior integração entre todas as normas ISO.)

Para a integração da ISO 27001 e ISO 20000, para cada um dos últimos marcadores você precisa desenvolver um documento único que cobrirá tanto o SGSI (sistema de gestão de segurança da informação) e o SGS (sistema de gestão de serviço), separando aqueles aspectos que são específicos para a segurança daqueles relacionados a gestão de serviço.

Integração dos controles de segurança da ISO 27001 com a ISO 20000

Com relação aos controles de segurança do Anexo A da ISO 27001, que podemos integrar com os processos da ISO 20000, podemos identificar os seguintes:

  • A.12.1.2 Gestão de mudança: Relacionado com o processo de gestão de mudança. Obviamente, o processo da ISO 20000 (cláusula 9.2) cobre muito mais.
  • A.12.1.3 Gestão de capacidade: Relacionado ao processo de gestão da capacidade. Neste caso, o processo da ISO 20000 (cláusula 6.5) também abrange muito mais.
  • A.15 Relacionamento na cadeia de suprimento: Relacionado aos processos de gestão de fornecedores e gestão do nível de serviço. Também, neste caso, os processos da ISO 20000 (clausula 7.2) incluem muito mais.
  • A.16 Gestão de incidentes de segurança da informação: Relacionado ao processo de gestão de incidentes e solicitações de serviço e ao processo de gestão de problemas. A ISO 27001 foca em incidentes de segurança da informação, enquanto o processo da ISO 20000 (cláusula 6.6) é sobre qualquer tipo de incidente/problema. A ISO 20000, em seu processo de gestão da segurança da informação, também faz referência a incidentes de segurança, e novamente neste caso a ISO 20000 cobre mais coisas.
  • A.17 Aspectos de segurança da informação na gestão da continuidade do negócio: Relacionado ao processo de gestão da continuidade e disponibilidade do serviço. Neste caso, novamente, a ISO 20000 (cláusula 6.3) é mais completa, uma vez que ela não se refere apenas a continuidade, mas também faz referência a disponibilidade. A única diferença é que a ISO 27001 se refere ao negócio, enquanto que a ISO 20000 se refere ao serviço.

A recomendação aqui é ter um único documento que cubra tanto o SGSI quanto o SGS para cada processo, usando a ISO 20000 como referência, porque esta norma cobre muito mais coisas.

Com relação ao processo de segurança da informação que define quais controles serão selecionados, a ISO 27001 obviamente cobre muito mais para a gestão de riscos e controles de segurança, assim recomendamos que a use como referência.

Diferenças entre a ISO 27001 e ISO 20000

Existem controles no anexo da ISO 27001 que não encontramos nos processos da ISO 20000, como por exemplo:

  • A.9 Controle de Acesso
  • A.10 Criptografia
  • A.11 Segurança física e do ambiente
  • A.12 Segurança das operações
  • A.13 Segurança nas comunicações
  • A.14 Aquisição, desenvolvimento e manutenção de sistemas de informação

Estes domínios de controle são específicos da segurança da informação, e possivelmente mais técnicos do que o resto, e assim não são tratados diretamente na gestão de serviços da ISO 20000. Mas, você precisa implementá-los para o sistema integrado usando, obviamente, a ISO 27001 como referência.

Assim, vemos que ambas as normas são muito compatíveis e podem ser integradas perfeitamente, e no caso obteremos um sistema de gestão integrado que proverá qualidade e segurança para nossos processos e serviços de negócio, e com isso deixando nosso clientes mais satisfeitos.

Clique aqui para fazer o download gratuito da ISO 27001 vs ISO 20000 Matrix que apresentará a você uma visão geral cláusula por cláusula das similaridades e diferenças entre estas duas normas.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Antonio Jose Segovia
Autor
Antonio Jose Segovia
Antonio Jose Segovia is an IT Engineer, and he has many professional certifications in the IT sector. He is also ISO 27001 IRCA and Lead Auditor qualified by BUREAU VERITAS in ISO 27001, ISO 20000, ISO 22301, ISO 27018, GDPR, and TISAX, as well as being an expert in information security, an ethical hacker, and a university professor in an online Master of Information Security program. With more than 10 years of experience in the IT sector, he has visited companies of all kinds in Spain, Portugal, Italy, France, United Kingdom, USA, Chile, Peru, and Costa Rica.
Tag: #ISO 27001