{"id":4400,"date":"2015-03-17T13:52:44","date_gmt":"2015-03-17T13:52:44","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/03\/17\/como-implementar-a-iso-27001-e-iso-20000-juntas\/"},"modified":"2022-12-29T09:06:22","modified_gmt":"2022-12-29T09:06:22","slug":"como-implementar-a-iso-27001-e-iso-20000-juntas","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2015\/03\/17\/como-implementar-a-iso-27001-e-iso-20000-juntas\/","title":{"rendered":"Como implementar a ISO 27001 e ISO 20000 juntas"},"content":{"rendered":"<p>Todos os sistemas de gest\u00e3o baseados em normas ISO possuem uma coisa em comum: o conhecido ciclo de Deming ou PDCA (Plan, Do, Check e Act), o que pode fazer a integra\u00e7\u00e3o de v\u00e1rias normas ISO em uma organiza\u00e7\u00e3o mais f\u00e1cil: <a href=\"https:\/\/staging.advisera.com\/9001academy\/what-is-iso-9001\/\" target=\"_blank\" rel=\"noopener\">ISO 9001<\/a>, <a href=\"https:\/\/staging.advisera.com\/14001academy\/what-is-iso-14001\/\" target=\"_blank\" rel=\"noopener\">ISO 14001<\/a>, <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>, <a href=\"https:\/\/staging.advisera.com\/20000academy\/what-is-iso-20000\/\" target=\"_blank\" rel=\"noopener\">ISO 20000<\/a>, <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-22301\/\" target=\"_blank\" rel=\"noopener\">ISO 22301<\/a>, etc. Conhe\u00e7o organiza\u00e7\u00f5es que que possuem a ISO 27001, mas precisam ter mais foco em gest\u00e3o de servi\u00e7os de TI, assim implementam a ISO 20000. E vice versa \u2013 conhe\u00e7o organiza\u00e7\u00f5es que possuem a ISO 20000, mas precisam ter mais foco em seguran\u00e7a da informa\u00e7\u00e3o e implementam a ISO 27001.<\/p>\n<p>No caso da ISO 27001 e ISO 20000, esta integra\u00e7\u00e3o pode ir al\u00e9m do PDCA, como veremos a seguir \u2013 existem controles de seguran\u00e7a no Anexo A da ISO 27001 que podem ser gerenciados como um processo na ISO 20000.<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Elementos de gest\u00e3o similares na ISO 27001 e ISO 20000<\/h2>\n<p>Primeiro vamos relembrar quais pontos da ISO 27001\/ISO 20000, relacionados ao PDCA, podem ser integrados no momento da implementa\u00e7\u00e3o da ISO 27001 e ISO 20000 (o sistema resultante integra ambos as normas, e \u00e9 chamado de \u201csistema integrado\u201d ou \u201csistema de gest\u00e3o integrado\u201d):<\/p>\n<ul>\n<li><strong>Pol\u00edtica<\/strong>: Define regras internas para a gest\u00e3o do sistema integrado.<\/li>\n<li><strong>Defini\u00e7\u00e3o de objetivos<\/strong>: Define os objetivos a serem atingidos com a implementa\u00e7\u00e3o do sistema integrado. Isto tamb\u00e9m envolve a defini\u00e7\u00e3o de alguns indicadores para medir se os objetivos foram atingidos.<\/li>\n<li><strong>Defini\u00e7\u00e3o de pap\u00e9is e responsabilidades<\/strong>: Define pap\u00e9is e responsabilidades pela gest\u00e3o do sistema integrado. Geralmente define a pessoa respons\u00e1vel pelo sistema integrado. Tamb\u00e9m define um Comit\u00ea integrado com a gest\u00e3o s\u00eanior como a principal participante.<\/li>\n<li><strong>Conscientiza\u00e7\u00e3o<\/strong>: Todo o pessoal afetado pelo escopo do sistema de gest\u00e3o integrado deve ser adequadamente educado em seguran\u00e7a da informa\u00e7\u00e3o e gest\u00e3o de servi\u00e7os.<\/li>\n<li><strong>Comunica\u00e7\u00f5es<\/strong>: Comunica\u00e7\u00e3o interna e externa relacionada ao sistema de gest\u00e3o integrado deve ser conduzida por meio de orienta\u00e7\u00f5es estabelecidas (geralmente definidas como protocolos de comunica\u00e7\u00e3o).<\/li>\n<li><strong>Controle de documentos e registros<\/strong>: Voc\u00ea tem que definir orienta\u00e7\u00f5es para a gest\u00e3o de toda documenta\u00e7\u00e3o e registros do sistema integrado.<\/li>\n<li><strong>Gest\u00e3o de m\u00e9tricas<\/strong>: No caso da ISO 27001, voc\u00ea ter\u00e1 que estabelecer m\u00e9tricas para medir a efic\u00e1cia dos controles de seguran\u00e7a, enquanto que no caso da ISO 20000 voc\u00ea deve estabelecer m\u00e9tricas para medir a efic\u00e1cia dos processos.<\/li>\n<li><strong>Auditoria interna<\/strong>: Voc\u00ea tem que conduzir a realiza\u00e7\u00e3o de uma auditoria interna para detectar poss\u00edveis n\u00e3o conformidades no sistema integrado, e determinar o n\u00edvel de implementa\u00e7\u00e3o considerando as normas de refer\u00eancia.<\/li>\n<li><strong>An\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o<\/strong>: A alta dire\u00e7\u00e3o da organiza\u00e7\u00e3o tem que analisar criticamente uma s\u00e9rie de pontos de entrada para o sistema de gest\u00e3o integrado. Como resultado da an\u00e1lise cr\u00edtica, eles t\u00eam que gerar algumas conclus\u00f5es ou resultados.<\/li>\n<li><strong>A\u00e7\u00f5es corretivas\/preventivas e melhoria cont\u00ednua<\/strong>: A gest\u00e3o do sistema integrado pode desenvolver a\u00e7\u00f5es corretivas e preventivas para a tratativa de n\u00e3o conformidades detectadas (geralmente detectadas em auditorias, an\u00e1lises cr\u00edticas, etc.). No caso da ISO 27001, n\u00e3o h\u00e1 refer\u00eancia a a\u00e7\u00f5es preventivas, o que talvez ocorra na pr\u00f3xima vers\u00e3o da ISO 20000. (Algo similar est\u00e1 ocorrendo com o restante das normas ISO, dadas as mudan\u00e7as que est\u00e3o sendo feitas em um n\u00edvel geral para maior integra\u00e7\u00e3o entre todas as normas ISO.)<\/li>\n<\/ul>\n<p>Para a integra\u00e7\u00e3o da ISO 27001 e ISO 20000, para cada um dos \u00faltimos marcadores voc\u00ea precisa desenvolver um documento \u00fanico que cobrir\u00e1 tanto o SGSI (sistema de gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o) e o SGS (sistema de gest\u00e3o de servi\u00e7o), separando aqueles aspectos que s\u00e3o espec\u00edficos para a seguran\u00e7a daqueles relacionados a gest\u00e3o de servi\u00e7o.<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Integra\u00e7\u00e3o dos controles de seguran\u00e7a da ISO 27001 com a ISO 20000<\/h2>\n<p>Com rela\u00e7\u00e3o aos controles de seguran\u00e7a do Anexo A da ISO 27001, que podemos integrar com os processos da ISO 20000, podemos identificar os seguintes:<\/p>\n<ul>\n<li><strong>A.12.1.2 Gest\u00e3o de mudan\u00e7a<\/strong>: Relacionado com o processo de gest\u00e3o de mudan\u00e7a. Obviamente, o processo da ISO 20000 (cl\u00e1usula 9.2) cobre muito mais.<\/li>\n<li><strong>A.12.1.3 Gest\u00e3o de capacidade<\/strong>: Relacionado ao processo de gest\u00e3o da capacidade. Neste caso, o processo da ISO 20000 (cl\u00e1usula 6.5) tamb\u00e9m abrange muito mais.<\/li>\n<li><strong>A.15 Relacionamento na cadeia de suprimento<\/strong>: Relacionado aos processos de gest\u00e3o de fornecedores e gest\u00e3o do n\u00edvel de servi\u00e7o. Tamb\u00e9m, neste caso, os processos da ISO 20000 (clausula 7.2) incluem muito mais.<\/li>\n<li><strong>A.16 Gest\u00e3o de incidentes de seguran\u00e7a da informa\u00e7\u00e3o<\/strong>: Relacionado ao processo de gest\u00e3o de incidentes e solicita\u00e7\u00f5es de servi\u00e7o e ao processo de gest\u00e3o de problemas. A ISO 27001 foca em incidentes de seguran\u00e7a da informa\u00e7\u00e3o, enquanto o processo da ISO 20000 (cl\u00e1usula 6.6) \u00e9 sobre qualquer tipo de incidente\/problema. A ISO 20000, em seu processo de gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o, tamb\u00e9m faz refer\u00eancia a incidentes de seguran\u00e7a, e novamente neste caso a ISO 20000 cobre mais coisas.<\/li>\n<li><strong>A.17 Aspectos de seguran\u00e7a da informa\u00e7\u00e3o na gest\u00e3o da continuidade do neg\u00f3cio<\/strong>: Relacionado ao processo de gest\u00e3o da continuidade e disponibilidade do servi\u00e7o. Neste caso, novamente, a ISO 20000 (cl\u00e1usula 6.3) \u00e9 mais completa, uma vez que ela n\u00e3o se refere apenas a continuidade, mas tamb\u00e9m faz refer\u00eancia a disponibilidade. A \u00fanica diferen\u00e7a \u00e9 que a ISO 27001 se refere ao neg\u00f3cio, enquanto que a ISO 20000 se refere ao servi\u00e7o.<\/li>\n<\/ul>\n<p>A recomenda\u00e7\u00e3o aqui \u00e9 ter um \u00fanico documento que cubra tanto o SGSI quanto o SGS para cada processo, usando a ISO 20000 como refer\u00eancia, porque esta norma cobre muito mais coisas.<\/p>\n<p>Com rela\u00e7\u00e3o ao processo de seguran\u00e7a da informa\u00e7\u00e3o que define quais controles ser\u00e3o selecionados, a ISO 27001 obviamente cobre muito mais para a gest\u00e3o de riscos e controles de seguran\u00e7a, assim recomendamos que a use como refer\u00eancia.<\/p>\n<h2 style=\"padding-top: 10px;padding-bottom: 10px\">Diferen\u00e7as entre a ISO 27001 e ISO 20000<\/h2>\n<p>Existem controles no anexo da ISO 27001 que n\u00e3o encontramos nos processos da ISO 20000, como por exemplo:<\/p>\n<ul>\n<li>A.9 Controle de Acesso<\/li>\n<li>A.10 Criptografia<\/li>\n<li>A.11 Seguran\u00e7a f\u00edsica e do ambiente<\/li>\n<li>A.12 Seguran\u00e7a das opera\u00e7\u00f5es<\/li>\n<li>A.13 Seguran\u00e7a nas comunica\u00e7\u00f5es<\/li>\n<li>A.14 Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistemas de informa\u00e7\u00e3o<\/li>\n<\/ul>\n<p>Estes dom\u00ednios de controle s\u00e3o espec\u00edficos da seguran\u00e7a da informa\u00e7\u00e3o, e possivelmente mais t\u00e9cnicos do que o resto, e assim n\u00e3o s\u00e3o tratados diretamente na gest\u00e3o de servi\u00e7os da ISO 20000. Mas, voc\u00ea precisa implement\u00e1-los para o sistema integrado usando, obviamente, a ISO 27001 como refer\u00eancia.<\/p>\n<p>Assim, vemos que ambas as normas s\u00e3o muito compat\u00edveis e podem ser integradas perfeitamente, e no caso obteremos um sistema de gest\u00e3o integrado que prover\u00e1 qualidade e seguran\u00e7a para nossos processos e servi\u00e7os de neg\u00f3cio, e com isso deixando nosso clientes mais satisfeitos.<\/p>\n<p><em>Clique aqui para fazer o download gratuito da <\/em><a href=\"\/27001academy\/pt-br\/downloads-gratuitos\/\" target=\"_blank\" rel=\"noopener\">ISO 27001 vs ISO 20000 Matrix<\/a> <em>que apresentar\u00e1 a voc\u00ea uma vis\u00e3o geral cl\u00e1usula por cl\u00e1usula das similaridades e diferen\u00e7as entre estas duas normas.<\/em><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Todos os sistemas de gest\u00e3o baseados em normas ISO possuem uma coisa em comum: o conhecido ciclo de Deming ou PDCA (Plan, Do, Check e Act), o que pode fazer a integra\u00e7\u00e3o de v\u00e1rias normas ISO em uma organiza\u00e7\u00e3o mais f\u00e1cil: ISO 9001, ISO 14001, ISO 27001, ISO 20000, ISO 22301, etc. Conhe\u00e7o organiza\u00e7\u00f5es que &#8230;<\/p>\n","protected":false},"author":35,"featured_media":4401,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4400","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4400","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/35"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4400"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4400\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4401"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}