{"id":4392,"date":"2015-03-31T17:35:34","date_gmt":"2015-03-31T17:35:34","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/03\/31\/qualificacoes-para-um-auditor-interno-da-iso-27001\/"},"modified":"2022-07-17T15:43:30","modified_gmt":"2022-07-17T15:43:30","slug":"qualificacoes-para-um-auditor-interno-da-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2015\/03\/31\/qualificacoes-para-um-auditor-interno-da-iso-27001\/","title":{"rendered":"Qualifica\u00e7\u00f5es para um auditor interno da ISO 27001"},"content":{"rendered":"<p>Um dos requisitos da <a title=\"ISO 27001:2013\" href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001:2013<\/a> \u00e9 a realiza\u00e7\u00e3o de uma auditoria interna, como definido na Se\u00e7\u00e3o 9.2 da norma. Mas, a quest\u00e3o \u00e9: Quem pode realizar esta auditoria interna? N\u00f3s identificaremos quem nos pr\u00f3ximos t\u00f3picos.<\/p>\n<p>A norma ISO 27001:2013 n\u00e3o define requisitos que um auditor interno deve atender ao realizar uma auditoria, mas a norma requer claramente que a organiza\u00e7\u00e3o deve selecionar auditores.<\/p>\n<p>Como uma organiza\u00e7\u00e3o seleciona um auditor? Ao estabelecer requisitos. Se estes requisitos n\u00e3o s\u00e3o estabelecidos, qualquer pessoa poderia auditor um SGSI. O que aconteceria se uma pessoa sem experi\u00eancia ou treinamento relacionado a seguran\u00e7a da informa\u00e7\u00e3o auditasse um SGSI? A resposta simples e enf\u00e1tica \u00e9: O auditor n\u00e3o agregaria valor.<\/p>\n<h2>Fundamentos para ser um auditor produtivo<\/h2>\n<p>Assim, se um auditor ir\u00e1 agregar valor para uma organiza\u00e7\u00e3o ao realizar uma auditoria interna, \u00e9 muito importante e altamente recomendado que ele ou ela tenha experi\u00eancia adequada e conhecimento comprovado em seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n<ul>\n<li><strong>Qual experi\u00eancia?<\/strong> Voc\u00ea deve estar ciente de que a ISO 27001 \u00e9 relativamente nova, ent\u00e3o \u00e9 dif\u00edcil encontrar auditores internos que tenham mais de cinco anos de experi\u00eancia comprovada. Assim, neste caso, requisitos poderiam ser baseados no n\u00famero de dias gastos realizando auditorias internas da ISO 27001: por exemplo, um m\u00ednimo de 5-10 dias para ser um auditor l\u00edder. Tamb\u00e9m \u00e9 recomendado que um auditor interno tenha experi\u00eancia como consultor na implementa\u00e7\u00e3o da norma ISO 27001. Neste \u00faltimo caso, um requisito poderia ser estabelecido que eles tenham participado em no m\u00ednimo 2-3 projetos de implementa\u00e7\u00e3o.<\/li>\n<li><strong>Qual conhecimento?<\/strong> Obviamente, conhecimento sobre a ISO 27001 e seguran\u00e7a da informa\u00e7\u00e3o \u00e9 necess\u00e1rio. Este conhecimento pode ser obtido atrav\u00e9s de treinamentos e cursos. Assim, neste caso, \u00e9 altamente recomendado que o auditor complete um curso de auditor l\u00edder do SGSI, embora tamb\u00e9m seria desej\u00e1vel que eles completassem um curso de implementador de SGSI.<\/li>\n<\/ul>\n<p>Se voc\u00ea quer saber quais op\u00e7\u00f5es voc\u00ea tem para aprender mais sobre a ISO 27001, voc\u00ea pode ler este artigo: <a title=\"Como aprender sobre a ISO 27001 e a BS 25999-2\" href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2010\/12\/30\/como-aprender-sobre-a-iso-27001-e-a-bs-25999-2\/\" target=\"_blank\" rel=\"noopener noreferrer\">Como aprender sobre a ISO 27001 e a BS 25999-2<\/a>.<\/p>\n<h2>Selecionando um auditor<\/h2>\n<p>Em resumo, n\u00f3s precisamos estabelecer requisitos que nos permitam verificar que o auditor interno possui experi\u00eancia comprovada na ISO 27001, a qual \u00e9 basicamente composta do ciclo PDCA (o Ciclo de Deming: Plan, Do, Check, Act), gest\u00e3o de risco, e uma s\u00e9ria de controles de seguran\u00e7a. Existem algumas organiza\u00e7\u00f5es que estabelecem um processo de sele\u00e7\u00e3o para auditores internos, e neste caso a organiza\u00e7\u00e3o pede ao auditor em potencial para se submeter a um pequeno teste consistindo de uma s\u00e9rie de quest\u00f5es. Adicionalmente ao teste, a organiza\u00e7\u00e3o tamb\u00e9m conduz uma entrevista com o candidato para verificar a veracidade de seu hist\u00f3rico profissional (experi\u00eancia e treinamento), a apenas se o candidato atende a todos os requisitos e completa todas as etapas ele ser\u00e1 eleg\u00edvel para conduzir uma auditoria interna.<\/p>\n<h2>E &#8230; no mundo real?<\/h2>\n<p>Adicionalmente ao treinamento e experi\u00eancia, geralmente \u00e9 um diferencial para um auditor possuir uma certifica\u00e7\u00e3o (e.g., IRCA, CISA, etc.) ou ser qualificado por um organismo de certifica\u00e7\u00e3o (e.g., BSI, AENOR, Applus, SGS, Bureau Veritas, etc.). Mas, pessoalmente, n\u00e3o me preocupo muito com estas certifica\u00e7\u00f5es porque existem profissionais que s\u00e3o certificados e qualificados, mas auditam apenas uma vez ao m\u00eas, e existem profissionais que n\u00e3o s\u00e3o certificados ou qualificados que tem mais experi\u00eancia porque realizam auditorias todos os dias. Assim, a coisa importante para mim seria definir a experi\u00eancia, o treinamento e o conhecimento comprovado que o auditor interno possui.<\/p>\n<p>Assim, de acordo com a ISO 27001 voc\u00ea precise de um auditor interno, e voc\u00ea precisa estabelecer requisitos para selecionar um. Um auditor menos experiente pode realizar o trabalho, mas se voc\u00ea quer agregar valor atrav\u00e9s da auditoria interna, um auditor interno experiente \u00e9 crucial.<\/p>\n<p><em>Para se familiarizar com o treinamento do Auditor L\u00edder, veja este curso on-line gratuito:<\/em> <a title=\"ISO 27001 Lead Auditor Course\" href=\"https:\/\/staging.advisera.com\/training\/iso-27001-lead-auditor-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Lead Auditor Course<\/a>.<\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener noreferrer\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Um dos requisitos da ISO 27001:2013 \u00e9 a realiza\u00e7\u00e3o de uma auditoria interna, como definido na Se\u00e7\u00e3o 9.2 da norma. Mas, a quest\u00e3o \u00e9: Quem pode realizar esta auditoria interna? N\u00f3s identificaremos quem nos pr\u00f3ximos t\u00f3picos. A norma ISO 27001:2013 n\u00e3o define requisitos que um auditor interno deve atender ao realizar uma auditoria, mas a &#8230;<\/p>\n","protected":false},"author":35,"featured_media":4393,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4392","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4392","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4392"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4392\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4393"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4392"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4392"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4392"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}