{"id":4440,"date":"2014-12-10T17:29:11","date_gmt":"2014-12-10T17:29:11","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/12\/10\/avaliacao-de-risco-vs-auditoria-interna-na-iso-27001-e-iso-22301\/"},"modified":"2022-07-17T15:57:05","modified_gmt":"2022-07-17T15:57:05","slug":"avaliacao-de-risco-vs-auditoria-interna-na-iso-27001-e-iso-22301","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/12\/10\/avaliacao-de-risco-vs-auditoria-interna-na-iso-27001-e-iso-22301\/","title":{"rendered":"Avalia\u00e7\u00e3o de risco vs. Auditoria interna na ISO 27001 e ISO 22301"},"content":{"rendered":"<p>Frequentemente vejo pessoas procurando por listas de verifica\u00e7\u00e3o para a <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0ou <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-22301\/\" target=\"_blank\" rel=\"noopener\">ISO 22301<\/a>\u00a0para realizar a auditoria interna; contudo, elas esperam que estas listas os ajudem com, por exemplo, quais informa\u00e7\u00f5es a organiza\u00e7\u00e3o tem, quem tem acesso a elas, como elas s\u00e3o protegidas, qu\u00e3o confidencial elas s\u00e3o, etc.<\/p>\n<p>O problema \u00e9 \u2013 estas coisas n\u00e3o s\u00e3o parte de uma auditoria interna; s\u00e3o parte da avalia\u00e7\u00e3o de riscos.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">O prop\u00f3sito da avalia\u00e7\u00e3o de riscos<\/h2>\n<p>O prop\u00f3sito da avalia\u00e7\u00e3o de riscos \u00e9 encontrar quais problemas podem acontecer as suas informa\u00e7\u00f5es e\/ou opera\u00e7\u00f5es \u2013 isto \u00e9, o que pode por em risco a confidencialidade, integridade e disponibilidade de sua informa\u00e7\u00e3o, ou o que pode amea\u00e7ar a continuidade de suas opera\u00e7\u00f5es.<\/p>\n<p>Como parte da avalia\u00e7\u00e3o de riscos voc\u00ea tem que fazer o seguinte:<\/p>\n<ul>\n<li>Identificar todos os riscos relacionados a sua informa\u00e7\u00e3o<\/li>\n<li>Identificar os propriet\u00e1rios dos riscos<\/li>\n<li>Avaliar o impacto e a probabilidade dos riscos<\/li>\n<li>Determinar o n\u00edvel dos riscos<\/li>\n<li>Decidir se o risco precisa ser tratado ou n\u00e3o<\/li>\n<\/ul>\n<p>A avalia\u00e7\u00e3o de risco \u00e9 parte do processo de gest\u00e3o de riscos, e \u00e9 a parte crucial da implementa\u00e7\u00e3o da ISO 27001 e ISO 22301 \u2013 veja este artigo pata um explana\u00e7\u00e3o: <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/knowledgebase\/a-logica-basica-da-iso-27001-como-a-seguranca-da-informacao-funciona\/\" target=\"_blank\" rel=\"noopener\">A l\u00f3gica b\u00e1sica da ISO 27001: Como a seguran\u00e7a da informa\u00e7\u00e3o funciona?<\/a><\/p>\n<p>Consequentemente, a avalia\u00e7\u00e3o de risco precisa ser feita no in\u00edcio do projeto da ISO 27001, enquanto que a auditoria interna \u00e9 feita somente ap\u00f3s a implementa\u00e7\u00e3o ter sido conclu\u00edda. Veja tamb\u00e9m: <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/04\/30\/como-organizar-a-avaliacao-de-riscos-inicial-de-acordo-com-a-iso-27001-e-iso-22301\/\" target=\"_blank\" rel=\"noopener\">Como organizar a avalia\u00e7\u00e3o de riscos inicial de acordo com a ISO 27001 e ISO 22301<\/a>.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Como a auditoria interna \u00e9 diferente?<\/h2>\n<p>A auditoria interna, por outro lado, nada mais \u00e9 do que fazer uma lista de todas a regras e requisitos e identificar se estas regras e requisitos est\u00e3o sendo atendidos.<\/p>\n<p>Tipicamente, regras e requisitos s\u00e3o os seguintes:<\/p>\n<ul>\n<li>Requisitos da ISO 27001, ISO 22301 (ou qualquer outra norma ISO)<\/li>\n<li>Requisitos de partes interessadas (veja: <a href=\"\/27001academy\/pt-br\/knowledgebase\/como-identificar-partes-interessadas-de-acordo-com-a-iso-27001-e-iso-22301\/\" target=\"_blank\" rel=\"noopener\">Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301<\/a>)<\/li>\n<li>Regras definidas pelas pr\u00f3prias pol\u00edticas e procedimentos da organiza\u00e7\u00e3o<\/li>\n<\/ul>\n<p>Ao realizar uma auditoria interna, voc\u00ea precisa verificar se cada uma de todas as regras e requisitos est\u00e3o sendo atendidos, em todo o escopo do seu sistema de gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o ou sistema de gest\u00e3o de continuidade de neg\u00f3cio.<\/p>\n<p>Isto \u00e9 feito por meio do uso de v\u00e1rias t\u00e9cnicas:<\/p>\n<ul>\n<li>Exame de todos os documentos e registros<\/li>\n<li>Entrevistas com empregados<\/li>\n<li>Observa\u00e7\u00f5es pessoais (e.g., caminhando pelas instala\u00e7\u00f5es)<\/li>\n<\/ul>\n<p>Veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/knowledgebase\/como-fazer-uma-lista-de-verificacao-para-auditoria-interna-da-iso-27001-iso-22301\/\" target=\"_blank\" rel=\"noopener\">Como fazer uma Lista de Verifica\u00e7\u00e3o para Auditoria Interna da ISO 27001 \/ ISO 22301<\/a>.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">As principais diferen\u00e7as entre as duas<\/h2>\n<p>Ent\u00e3o, eu diria que uma das principais diferen\u00e7as \u00e9 o mentalidade: avalia\u00e7\u00e3o de risco tem em mente coisas (potenciais) que poderiam ocorrer no futuro, enquanto que a auditoria interna lida com como as coisas foram feitas no passado.<\/p>\n<p>A segunda maior diferen\u00e7a \u00e9 que a auditoria interna foca na conformidade com v\u00e1rias regras e requisitos, enquanto que a avalia\u00e7\u00e3o de risco nada mais \u00e9 do que uma an\u00e1lise que prov\u00ea uma base para a defini\u00e7\u00e3o de certas regras.<\/p>\n<p>A terceira diferen\u00e7a \u00e9 que a avalia\u00e7\u00e3o de risco \u00e9 feita antes de voc\u00ea iniciar a aplica\u00e7\u00e3o de controles de seguran\u00e7a, enquanto que a auditoria interna \u00e9 realizada uma vez que estes j\u00e1 tenham sido implementados.<\/p>\n<p>N\u00e3o estou dizendo que uma \u00e9 mais importante do que a outra \u2013 elas s\u00e3o ambas cruciais para a constru\u00e7\u00e3o de sua seguran\u00e7a da informa\u00e7\u00e3o e\/ou continuidade de neg\u00f3cio. Contudo, elas tem uma coisa em comum: ambas s\u00e3o frequentemente negligenciadas em organiza\u00e7\u00f5es porque s\u00e3o percebidas apenas como um exerc\u00edcio burocr\u00e1tico; mas isto \u00e9 um t\u00f3pico para um outro post deste blog\u2026<\/p>\n<p><em>Clique aqui para ver uma amostra da<\/em>\u00a0<a href=\"\/27001academy\/pt-br\/documentation\/anexo-3-checklist-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">Checklist de auditoria interna<\/a>\u00a0<em>para ver qu\u00e3o diferente ela \u00e9 da\u00a0<\/em><a href=\"\/27001academy\/pt-br\/documentation\/anexo-1-tabela-de-avaliacao-de-riscos\/\" target=\"_blank\" rel=\"noopener\">Tabela de avalia\u00e7\u00e3o de riscos<\/a>.<\/p>\n<p>N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Frequentemente vejo pessoas procurando por listas de verifica\u00e7\u00e3o para a ISO 27001\u00a0ou ISO 22301\u00a0para realizar a auditoria interna; contudo, elas esperam que estas listas os ajudem com, por exemplo, quais informa\u00e7\u00f5es a organiza\u00e7\u00e3o tem, quem tem acesso a elas, como elas s\u00e3o protegidas, qu\u00e3o confidencial elas s\u00e3o, etc. O problema \u00e9 \u2013 estas coisas n\u00e3o &#8230;<\/p>\n","protected":false},"author":26,"featured_media":4441,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[],"class_list":["post-4440","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4440","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4440"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4440\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4441"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4440"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4440"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4440"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}