DESCONTO DE PRIMAVERA
Ganhe 30% de desconto em kits de documentos, exames de cursos e livros.
Oferta por tempo limitado – termina em 26 de maio de 2022
Use o código promocional:
SPRING30
  • (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como se prepara para uma auditoria interna da ISO 27001

    Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário.

    Assim, vejamos o que você tem que preparar para tornar este trabalho mais eficiente. E, este trabalho é realmente uma perda de tempo?

    Que tipo de auditor interno você deveria empregar?

    Existem algumas formas de se realizar uma auditoria interna:

    1. Empregar um auditor interno de tempo integral. Isto é adequado apenas para organizações de grande porte que teriam trabalho suficiente para este tipo de auditor (alguns tipos de organização – ex.: bancos – são obrigados por lei a ter tais funções).
    2. Empregar auditores internos de tempo parcial. Esta é a situação mais comum – as organizações usam seus próprios empregados para realizar auditorias internas, que fazem isso quando requerido (ex.: duas vezes ao ano) juntamente com seu trabalho regular. Uma coisa importante a se prestar atenção: de forma a se evitar qualquer conflito de interesses (auditores não podem auditor seu próprio trabalho), deveriam existir ao menos dois auditores internos de forma que um possa auditar o trabalho regular do outro. Veja também: Qualificações para um auditor interno da ISO 27001.
    3. Empregar um auditor interno de for a da organização. Embora esta não seja uma pessoa empregada da organização, ela ainda é considerada um auditor interno porque a auditoria é realizada pela própria organização, de acordo com suas próprias regras. Geralmente, isto é feito por uma pessoa que possui conhecimento nesta área (consultor independente ou similar). Veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

    Opções a considerar

    Dependendo se você já implementou a ISO 9001 (ou alguma outra norma de gestão ISO), e de qual perfil de auditor interno você tem, você tem algumas opções listadas abaixo. Você deveria também estudar a legislação, porque alguns setores (ex.: financeiro) tem regras especiais com relação a auditorias internas .

    • Realizar uma auditoria ou uma série de auditorias durante o ano. Se você é uma organização de pequeno porte, uma única auditoria durante o período de um ano será o suficiente; contudo, se você é uma organização de grande porte, você pode querer se planejar para realizar uma auditoria em um departamento em janeiro, em outro departamento em fevereiro, etc.
    • Usar as mesmas regras e auditor para outras normas. Se você já implementou a ISO 9001, você pode de fato usar o mesmo procedimento de auditoria interna – você não precisa criar um novo documento apenas para a ISSO 27001. Adicionalmente, o mesmo auditor pode realizar auditorias internas para todos estes sistemas ao mesmo tempo – se tal pessoa tem conhecimento de todas estas normas, e um conhecimento médio sobre TI, ele ou ela será perfeitamente capaz de fazer a chamada auditoria interna integrada, assim economizando tempo para todos.
    • Escrever um procedimento de auditoria interna e uma lista de verificação, ou não. Um procedimento escrito que definiria como a auditoria interna é realizada não é obrigatório; contudo, é certamente recomendado. Normalmente, os empregados não estão muito familiarizados com auditorias internas,assim é uma boa coisa ter algumas regras básicas por escrito – a menos, é claro, que auditoria seja uma coisa que você faça diariamente. É o mesmo com a lista de verificação de auditoria interna – não é obrigatório, mas é certamente útil para iniciantes. Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

    Documentação requerida

    Você deveria ter os seguintes documentos com relação a sua auditoria interna :

    • Procedimento de auditoria interna (não obrigatório) – este procedimento define as regras básicas para realizar a auditoria: como selecionar os auditores, como as auditorias são planejadas, os elementos da condução da auditoria, as atividades de acompanhamento (follow-up), e como reportar as auditorias.
    • Programa de auditoria interna (obrigatório) – este é onde as auditorias são planejadas no nível anual, incluindo seus critérios e escopo.
    • Checklist de auditoria interna (não obrigatório) – esta é uma lista de verificação que ajuda o auditor interno a não esquecer algo durante a auditoria interna.
    • Relatório de auditoria interna (obrigatório) – este é onde o auditor interno reportará as não conformidades e outras descobertas.

    O papel da alta administração

    A alta administração também se envolve nas auditorias internas – desde a aprovação do procedimento e indicação do auditor interno, até a aceitação do programa de auditoria e leitura do relatório de auditoria interna. Estas atividades não deveriam ser delegadas para níveis inferiores da hierarquia, porque isto poderia colocar o auditor em um conflito de interesses, a além disso, algumas informações importantes podem não encontrar seu caminho até a alta administração.

    E, mais importante de tudo, a alta administração deveria tomar uma decisão consciente de que eles aceitarão e apoiarão a auditoria interna como algo que é útil para o negócio.

    O propósito da auditoria interna

    À primeira vista, a auditoria interna provavelmente se parece com uma sobrecarga onerosa. Contudo, auditorias internas podem possibilitar a você descobrir problemas (i.e., não conformidades) que de outra forma permaneceriam escondidas e assim impactariam negativamente seu negócio. Sejamos realistas – é da natureza humana cometer erros, assim é impossível ter um sistema sem erros; contudo, é possível ter um sistema que melhora a si mesmo e aprende com seus erros.

    Auditorias internas são uma parte crucial de tal sistema – elas serão aquelas a dizer a você se o seu sistema realmente funciona ou não.

    Este artigo é um trecho do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui para ver quais outros tópicos são abordados…

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: