• (0)
    ISO-27001-ISO-22301-blog

    Base de conhecimento ISO 27001 e ISO 22301

    Sua organização deve buscar a certificação ISO 27001 ou ISO 22301?

    Caso a sua organização esteja no processo de implementação da ISO 27001 ou ISO 22301, você provavelmente deve estar considerando ir em busca da certificação. E, como você já deva saber, a certificação não é obrigatória – então deve perguntar a si mesmo uma importante questão: nós realmente precisamos da certificação?

    Muitas organizações implementaram a(s) norma(s) sem partir para a certificação – exemplos óbvios são os bancos e outras instituições financeiras. Regulamentações em muitos países são tais que as organizações tem de implementar procedimentos e salvaguardas de de segurança da informação e de continuidade de negócio muito rígidas, e a maioria deles fez isso utilizando a ISO 27001 e ISO 22301. Mas, muito poucas se certificaram – elas concluíram que não havia uma justificativa de negócio para isso.

    E é exatamente isso que você precisa fazer – considerar cuidadosamente se você precisa do certificado. Aqui estão algumas razões em potencial sobre o porquê a certificação poderia ser útil:

    1) Marketing. Você pode utilizar o certificado para conseguir novos clientes (para participar, e.g., de concursos), ou para permanecer no negócio (e.g., todos os seus competidores tem o certificado).

    2) Conformidade. Em casos raros algumas regulamentações irão requerer que você implemente a ISO 27001 ou ISO 22301, mas você pode encontrar casos onde assinará contratos com clientes que o obrigarão a implementar segurança da informação ou continuidade de negócio em conformidade com estas normas. E ao invés de se submeter aos auditores de cada um dos seus clientes que queiram verificar se você esta em conformidade com o contrato, você pode ter o auditor da certificação realizando este trabalho, e então mostrar a todos o certificado.

    3) Pressão interna. Em algumas organizações, estes tipos de projetos nunca terminarão a menos que haja uma forte pressão – e.g., uma data limite definida. Então, se você acordou com o organismo de certificação uma data para a auditoria de certificação, tanto a equipe de gestão quanto os empregados terão um senso de urgência muito mais forte para a implementação.

    4) Entradas objetivas. Se você quer que sua continuidade de negócio esteja realmente em alto nível, é bom contar com pessoas com alta experiência e com quem saiba comparar você com as melhores práticas da indústria. Auditores de certificação estarão mais do que felizes em auditar alguém que esteja tentando com afinco e disponibilizarão entradas sobre onde você pode melhorar.

    Caso você não tenha se identificado em nenhuma destas situações, você provavelmente não precisa do certificado – você pode estar entre muitas das organizações que implementaram a ISO 27001 e/ou ISO 22301 porque estas entenderam que o maior valor está na metodologia que estas duas normas disponibilizam.

    Este artigo é uma passagem do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation.

    Agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.