3 estratégias para implementar qualquer norma ISO

Se você está considerando a implementação da ISO 27001, ISO 9001, ISO 14001, ISO 20000, ou qualquer outra norma de gestão ISO, você provavelmente está sobrecarregado com várias abordagens sobre como iniciar e terminar tal projeto com sucesso.

Na minha opinião, existem três opções básicas para se implementar estar normas: (1) fazer tudo usando apenas seus próprios empregados, (2) usar um consultor, ou (3) (algo como um meio termo) implementar a norma com uma abordagem Faça Você Mesmo – mas tomando vantagem de conhecimento externo.

Mas nem todas estas abordagens são aplicáveis para todos – eis uma explanação de cada uma destas opções, e quem pode se beneficiar mais delas.

1) Implementando a norma usando seus próprios empregados

Isto é quando você decide implementar a norma sem nenhuma ajuda externa, usando apenas o conhecimento e a capacidade de seus próprios empregados. Nesta opção, seus empregados estão fazendo todas as análises, realizando todas as entrevistas, escrevendo a documentação, etc.

Prós. Esta é provavelmente a opção mais barata porque você não está pagando por um serviço extra; você também não está permitindo a ninguém de fora aprender sobre seus processos ou documentação internas; finalmente, escrever sua própria documentação aumenta o comprometimento de seus empregados em relação às mudanças requeridas.

Contras. Esta é provavelmente a opção mais lenta porque você está fazendo tudo por conta própria; se os seus empregados não são experientes ou habilidosos o bastante, isto pode se provar ser a opção mais cara devido aos erros que eles podem cometer.

Aqui você encontrará cursos online gratuitos para aprender sobre a ISO 27001, ISO 9001 e ISO 14001.

2) Usando um consultor

Nesta opção você contrata um especialista de fora (geralmente um consultor local) quem tenha experiência com a implementação da norma – esta pessoa então realiza a análise de sua organização, faz as entrevistas, escreve a documentação e tudo o mais – basicamente, ele está implementando toda a norma em seu nome.

Prós. Esta é definitivamente a forma mais rápida para se implementar a norma – se você contrata um bom consultor, ele ou ela terá muita experiência, e saberá como organizar o projeto para termina-lo rapidamente; esta também é a melhor forma se os seus empregados não têm tempo para se dedicar a este projeto.

Contras. Consultores obviamente custam dinheiro, então esta é a opção mais cara; adicionalmente, você está dando acesso a quase todos os segredos da sua organização (e.g., como a organização é organizada, seus principais processos e vantagens competitivas chave, quem são as pessoas mais importantes, etc.) para uma pessoa externa; finalmente, quando alguém de fora está escrevendo a documentação, os empregados podem sentir que estas políticas e procedimentos são impostos para eles, e frequentemente eles procuram formas de não cumpri-los.

Este artigo talvez possa ajudá-lo também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

3) Implementando a norma com uma abordagem Faça Você Mesmo e usando conhecimento externo

Esta opção tornou-se muito popular nos últimos anos, e é basicamente algo entre as duas primeiras opções. Isto é onde seus empregados estão fazendo toda a implementação, mas eles obtêm o conhecimento, documentação e apoio completos de uma parte externa. (Por favor note que é nisto o que nós na 27001Academy somos especializados).

Prós. Esta opção não é tão cara como consultores, e ainda assim você obtém todo o conhecimento e suporte necessário; adicionalmente, você não precisa abrir suas informações confidenciais para ninguém de fora da organização. E também, uma vez que seus empregados estão escrevendo a documentação, o comprometimento deles para seguir as novas regras provavelmente será muito mais alto.

Contras. Seus empregados ainda precisarão aprender sobre a implementação, assim esta não é a forma mais rápida de se implementar a norma; também, esta opção não resolve o problema se seus empregados estão completamente sobrecarregados com outros projetos e não tem absolutamente nenhum tempo para algo novo.

Veja também este artigo: Quando usar ferramentas para a ISO 27001/ISO 22301 e quando evitá-las.

Então, qual opção escolher?

Você deveria implementar a norma usando seus próprios empregados se você tem empregados que já possuem experiência na implementação, se você tem algum dado muito confidencial, e se seu orçamento é muito baixo.

Por outro lado, se você está compressa, e não está receoso de que algum segredo da organização possa ser exposto, então você deveria usar um consultor. Claro que você precisará de um bom orçamento para esta opção.

Finalmente, escolha a opção de implementação Faça Você Mesmo se você quer que seus empregados aprendam como ela é feita, se você não está com muita pressa, e se seu gerente de projeto pode dedicar um par de horas por dia para este projeto. E, claro, se o seu orçamento não é muito alto.

Confira o Conformio compliance software para ajudá-lo a concluir a implementação do padrão ISO.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conecte-se com Dejan: