manual de comunicaÇÃo com o clientefj.com.br/wp-content/uploads/2013/12/p.035.pdf · pmqp (mg)...
TRANSCRIPT
Data: 26/07/13 Página 1 de 25
MANUAL DE
COMUNICAÇÃO
COM O CLIENTE
NBR ISO/IEC 27001
DIRETORIA DE CERTIFICAÇÃO
FUNDAÇÃO CARLOS ALBERTO VANZOLINI
P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 2 de 25
SUMÁRIO
CAP.01 Institucional da Fundação Vanzolini
CAP.02 A Fundação Vanzolini é muito mais que um organismo de certificação
CAP.03 Atuação do departamento de certificação
CAP.04 Relacionamento, contato, e-mail, processos
CAP.05 Etapas do processo de certificação
CAP.06 Informações para elaboração da proposta
CAP.07 Equipe auditora e dimensionamento de auditoria
CAP.08 Definições: Não conformidade Maior, Não Conformidade Menor e Oportunidade de Melhoria
CAP.09 Perguntas e respostas mais freqüentes
CAP.10 Confidencialidade, imparcialidade, ausência de conflito de interesse
CAP.11 Interpretações do CB25, ISO/TC 176 e diretrizes do IAF
CAP.12 Regras para uso da marca
CAP.13 Reclamação e apelação CAP.14 Suspensão, cancelamento, redução ou aumento de escopo, inclusão ou exclusão de sites.
CAP.15 Critérios para reembolso de despesas diretas
P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 3 de 25
CAP.01 - INSTITUCIONAL DA FUNDAÇÃO VANZOLINI
APRESENTAÇÃO – QUEM SOMOS
A Fundação Vanzolini, entidade criada em 1967, mantida e gerida pelos professores do
Departamento de Engenharia de Produção da Escola Politécnica da Universidade de São
Paulo (USP), é uma instituição privada sem fins lucrativos que tem por objetivo a difusão de
conhecimentos na área de engenharia de produção e administração industrial.
Dentre as atividades desenvolvidas, aquelas dedicadas à área de qualidade têm propiciado a
formação de um corpo técnico de alto nível com estágios no exterior (Japão, Inglaterra e
Estados Unidos) sempre em sistemas de gestão, projetos para a UNIDO e cooperação com a
Universidade do Tennessee.
Ao longo desses anos, a instituição consolidou-se como um importante órgão de difusão da
engenharia de produção, tendo, inclusive, passado a ministrar cursos de especialização para a
capacitação de profissionais, em convênio com a Escola Politécnica da USP. A atuação da
Fundação Vanzolini foi além do campo da educação continuada, para também crescer em áreas
como certificação, gestão de tecnologias aplicadas à educação e projetos, nas quais tornou-se
um grande centro de referência.
VISÃO DA FUNDAÇÃO VANZOLINI
A Fundação Vanzolini tem como visão o aumento da confiança das partes interessadas nos
produtos/serviços oferecidos e o aprimoramento contínuo dos processos internos. A Fundação
Vanzolini, por meio de suas auditorias, faz uma análise crítica do sistema de gestão verificando
estas vertentes e agregando significativamente valor às organizações.
RECONHECIMENTO NACIONAL E INTERNACIONAL
Em 1990, a Fundação Vanzolini foi a primeira entidade acreditada pela Cgcre, orgão vinculado
ao Inmetro - Instituto Nacional de Metrologia, Normalização e Qualidade Industrial para a
certificação de sistemas de gestão da qualidade.
A acreditação do Cgcre do Inmetro permite à Fundação Carlos Alberto Vanzolini conceder
P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 4 de 25
certificados com validade oficial.
A Fundação Carlos Alberto Vanzolini é membro pleno da “The International Certification
Network” (IQNet) com relação a certificações baseadas nas normas ISO 9001, ISO 14001,
ISO 27001 , GoodPriv@cy e OHSAS 18001. A IQNet é uma rede internacional de entidades
certificadoras, composta pelos mais importantes órgãos certificadores de todo o mundo, que
engloba mais de 37 organismos que estão presentes em mais de 150 países com a finalidade
de assegurar aceitação internacional aos certificados emitidos pelos seus membros.
Aproximadamente 30% do número total de certificados de sistemas de gestão emitidos no
mundo foram gerados por organismos pertencentes à IQNet.
Portanto, a organização certificada pela Fundação Vanzolini, nos escopos acreditados,
recebe o certificado com reconhecimento nacional (Cgcre) e outro certificado com
abrangência internacional fornecido pela IQNet.
A Fundação Carlos Alberto Vanzolini também mantém acordos operacionais com todas as
entidades internacionais ligadas a IQNet.
As organizações e países cobertos pela IQNet estão disponibilizados no site da IQNet, a saber:
http://www.iqnet-certification.com/ dentro da área “All IQNet Partners”.
A Fundação Carlos Alberto Vanzolini é a maior certificadora genuinamente nacional.
P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 5 de 25
CAP.02 - A FUNDAÇÃO VANZOLINI É MUITO MAIS QUE UM ORGANISMO DE CERTIFICAÇÃO
Educação Continuada
Nos seus mais de 40 anos de existência, a Fundação Vanzolini vem contribuindo para o
aperfeiçoamento de milhares de profissionais, por meio da prestação de serviços e da oferta
de cursos - tanto abertos ao público quanto “in company”.
Os Cursos de Especialização, por exemplo, abordam temas da área de produção e são
compostos por disciplinas que cobrem integralmente o programa proposto. Mediante
convênio com a Escola Politécnica, o certificado de conclusão é emitido pela Universidade
de São Paulo. Todos esses cursos, oferecidos como pós-graduação latu sensu, têm sempre
carga horária mínima de 360 horas:
Administração industrial (CEAI Semanal)
Administração industrial (CEAI Sábados)
Administração de serviços (CEAS)
Gestão de projetos (CEGP)
Gestão de projetos - tecnologia da informação (CEGP-TI)
Logística empresarial (CELOG)
Engenharia de produção para a construção civil (CEPC)
Qualidade e produtividade (CEQP)
Ergonomia de sistemas de produção
MBA - Gestão de operações: produtos e serviços
Neste campo da educação, a Fundação Vanzolini mantém, portanto, a plena atualização
das temáticas abordadas, buscando um adequado equilíbrio entre teoria e prática. Há ainda
a oferta de cursos de capacitação (média duração), em que o participante aprofunda
conhecimentos em assuntos específicos e atuais da engenharia de produção.
Nos cursos de atualização, em sua grande maioria com carga horária compreendida entre
8 e 24 horas, os temas propostos têm o objetivo de proporcionar novos conhecimentos
profissionais, atendendo a necessidades bem focalizadas. Esses cursos estão agrupados
em diversas áreas, permitindo a escolha da melhor opção de atualização.
P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 6 de 25
Gestão de Tecnologias Aplicadas à Educação
A Fundação Vanzolini é referência nacional no gerenciamento de programas de alto
desempenho para desenvolver e implementar processos educacionais inovadores, mediante
incorporação de tecnologias de informação e comunicação. Esses programas, vários dos
quais premiados, operam com sucesso em sistemas estaduais e municipais de ensino e em
organizações do terceiro setor.
Projetos
São muitos os trabalhos de ponta desenvolvidos pela Fundação Vanzolini, contemplando
projetos e pesquisas. De gestão de operações a logística, passando por tecnologia da
informação, organização, qualidade, engenharia do produto e economia da produção,
nossos profissionais buscam sempre desenvolver soluções inovadoras.
CAP.03 - ATUAÇÃO DO DEPARTAMENTO DE CERTIFICAÇÃO
CERTIFICAÇÃO DE SISTEMAS
A Fundação Vanzolini é uma referência brasileira na certificação de sistemas. Realiza avaliações
da conformidade nas seguintes áreas:
Tema Norma Aplicação
Qualidade NBR ISO 9001 Todos os setores e escopos
NBR 15100 (equivalente à AS9100) Aeronáutica
ISO/TS 16949 Automobilística
Selo de tiragem Mídia Impressa
Sustentabilidade Alta qualidade ambiental Construção sustentável
NBR ISO 14001 Meio ambiente
OHSAS 18001 Segurança e saúde ocupacional
NBR 16001 Responsabilidade social
SA 8000 (em nome da IQNet) Responsabilidade social
NBR 9050 Acessibilidade
ISO 14064 Gases de efeito estufa
ISO / TS 29001 Petróleo, Petroquímica e Gás Natural
P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 7 de 25
Tema Norma Aplicação
Tecnologia da Informação
NBR ISO/IEC 27001 Segurança da informação
ISO/IEC 20000-1 Gestão dos serviços de tecnologia da informação
GoodPriv@cy Proteção e privacidade dos dados
Construção Civil SIAC - Obras / PBQP-H
Obras de: edificações / saneamento / viárias e obras de arte especiais
Qualihab (SP) Obras de edificações e gerenciamento
Programa setorial ABEF Serviços de sondagem e fundações
Pará obras (PA) Obras de: edificações / saneamento / pavimentação / eletricidade / projetos e gerenciamento
PBQP-H (DF) Obras de: edificações / saneamento / urbanização
PMQP (MG) Obras de: edificações / saneamento / viárias e obras de arte especiais
Logística e Transporte
Transqualit Farmacêutico, green, frigorificado e aéreo
SASSMAQ módulo Rodoviário e módulo Estação de Limpeza
Saúde ONA - Organização Nacional de Acreditação
Serviços de saúde
NBR ISO 13485 Produtos para saúde
Alimentos Selo Produto de São Paulo Café, algodão, carne suína e cachaça
Selo ABIC Programa da qualidade do café
Feed & Food Safety Gestão do alimento seguro
NBR ISO 22000 Alimentos
Probare Selo de ética Maturidade de gestão
call center / contact center / help desk/ sac / telemarketing
Produtos Pneus (novos), Componentes Automotivos, produtos de telecomunicações, Certificação de Software de acordo com a norma NBR 29110-4, dentre outros.
A Fundação Vanzolini oferece a realização de auditorias combinadas, possibilitando a avaliação
de diversos sistemas de gestão simultaneamente, trazendo vantagens para o cliente (sistemas
de gestão integrados).
P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 8 de 25
CAP. 04 - RELACIONAMENTO, CONTATO, E-MAIL, PROCESSOS
Com a finalidade de garantir o melhor contato possível entre a Fundação Vanzolini e o cliente,
seguem abaixo os processos responsáveis pelas atividades do departamento de certificação:
Processo Atividades Dados para Contato
Comercial Relacionamento com cliente, propostas comerciais, contratos, alterações gerais
(11) 3836-6566 R: 104 / 105 / 106 / 114
Planejamento de auditoria
Agendamento das datas dos eventos (11) 3836-6566 R: 112 / 143 [email protected]
Logística Elaboração de planos de auditoria, aspectos relacionados a passagens e hospedagens
(11) 3836-6566 R: 120
Documentação técnica Controle dos documentos solicitados as organizações (manuais, planos de ação corretiva,etc)
(11) 3836-6566 R: 125 [email protected]
Secretária da Comissão Técnica
Envio do processo para análise da comissão técnica e emissão de certificado
(11) 3836-6566 R: 121
SAC Serviço de Atendimento ao Cliente (11) 3836-6566 R: 112
P.035.10 – Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 9 de 25
CAP. 05 - ETAPAS DO PROCESSO DE CERTIFICAÇÃO
Etapas Responsabilidade Prazo Detalhes
1 - Solicitação de proposta de certificação.
Organização -
Fazer solicitação por meio do preenchimento do formulário enviado pela Fundação Vanzolini ou fazer o “download” no formulário no “site” da Fundação Vanzolini na internet. Em caso de dúvidas contactar o departamento de certificação – processo comercial pelos ramais 103, 104, 105 e 106.
2 - Elaboração da proposta com as informações da organização.
Fundação Vanzolini 3 dias úteis Com base nos dados preenchidos e remetidos pela organização, a Fundação Vanzolini procede a sua análise crítica e encaminha a proposta de certificação.
3 - Envio da proposta. Fundação Vanzolini Imediato após
elaboração A Fundação Vanzolini envia o preâmbulo (proposta comercial) e o contrato.
4 - Aprovação da proposta. Organização -
A aprovação da proposta deve ser feita no documento “preâmbulo” com as
assinaturas e datas para a Pré-Auditoria / Auditorias Fase 1 e Auditoria Fase 2
(Certificação) e enviada por fax para 11 3832-2070.
5 - Abertura formal do processo de certificação.
Fundação Vanzolini - Após a aprovação da proposta será feita a abertura formal do processo de
certificação, que será confirmada à organização por e-mail.
6 - Confirmação formal das datas solicitadas.
Fundação Vanzolini - A Fundação Vanzolini contatará a organização para agendar as datas da auditoria. Contatos em relação às datas de auditorias devem ser realizados com o
departamento de certificação processo de planejamento de auditorias.
7 - Envio do Preâmbulo e do Contrato.
Organização -
No momento do aceite da proposta, a organização deverá encaminhar 2 vias do
preâmbulo e contrato assinados para a Fundação Vanzolini, Rua Camburiú, 255
Alto da Lapa – CEP 05058-020- São Paulo - SP (O recebimento deste
documentos na Fundação Vanzolini são determinantes para o envio do
certificado).
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 10 de 25
Etapas Responsabilidade Prazo Detalhes
8 - Envio do manual de gestão. Organização 30 dias antes
da auditoria
Para que o auditor possa elaborar o plano de auditoria é fundamental que o manual
da qualidade seja recebido pela Fundação Vanzolini, dentro do prazo solicitado. O
não recebimento no prazo solicitado pode implicar em atrasos na elaboração
do plano de auditoria. Os documentos devem ser enviados para [email protected]
9 - Análise de documentos. Fundação Vanzolini - -
10 - Envio do plano de auditoria.
Fundação Vanzolini 7 dias
A Fundação Vanzolini enviará o plano de auditoria para que a organização conheça, com antecedência, as áreas / processos a serem auditados, bem como os horários, esta atividade é repetida antes de cada evento de auditoria (pré, fase 1 e fase 2, supervisão).
11 - Pré-auditoria.
(opcional)
Fundação Vanzolini 30 dias de
antecedência A Pré-auditoria não é obrigatória, mas é fortemente recomendada.
12- Fase 1 obrigatória. Fundação Vanzolini Agendamento
já realizado Esta fase normalmente é realizada juntamente com a pré-auditoria.
13 - Envio do plano de ações corretivas (PAC).
Organização
Definido no relatório de
auditoria fase 1
Após o termino da auditoria Fase 1 a organização deve enviar o Plano de Ações Corretivas, antes da Auditoria de Certificação Fase 2. (submissão por e-mail para [email protected]).
14 - Auditoria de certificação fase 2.
Fundação Vanzolini Agendamento
já realizado A equipe auditora realiza a auditoria de certificação apresentando ao final, o relatório de auditoria e sua recomendação.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 11 de 25
Etapas Responsabilidade Prazo Detalhes
15 - Submissão do relatório para a comissão técnica.
Fundação Vanzolini / auditor
- Após o termino da auditoria a Equipe auditora submete a documentação com o parecer da Equipe Auditora para análise da Comissão Técnica.
16- Envio do plano de ações corretivas (PAC).
Organização
Data limite no relatório de
auditoria fase 2
A Análise da Comissão Técnica somente ocorre após o recebimento do Plano de Ações Corretivas e sua respectiva análise / aprovação por parte da equipe auditoria.
17 - Análise pela comissão técnica.
Fundação Vanzolini A Comissão Técnica procede analise do processo de certificação.
18 - Submissão do processo para o diretor de certificação.
Fundação Vanzolini Ocorrendo a ratificação do parecer da equipe auditoria pela comissão técnica o processo de certificação da organização é submetido para a deliberação do diretor de certificação da Fundação Vanzolini.
19 - Envio do certificado. Fundação Vanzolini
Após
deliberação do
Diretor
Após aprovação do diretor, o certificado é encaminhado para a organização.
20 - Agendamento das datas
das próximas auditorias. Fundação Vanzolini
Como forma da organização se planejar apropriadamente, logo após a certificação as
datas para as auditorias de supervisão e recertificação são acordadas.
P.035.10 – Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 12 de 25
CAP. 06 - INFORMAÇÕES PARA ELABORAÇÃO DE PROPOSTA
Devolver o questionário preenchido preferencialmente por e-mail à: [email protected] Em caso de dúvidas, envie um e-mail ou entre em contato: Fone: (11) 3836-6566 Ramais 104, 105, 106 e 114 – área comercial Fax: (11) 3832-2070
CAP.07 - EQUIPE AUDITORA E DIMENSIONAMENTO DE AUDITORIA
EQUIPE AUDITORA
A Fundação Vanzolini possui um corpo de auditores constituído por profissionais com
experiência comprovada e formação técnica em práticas de auditoria.
Todos seus auditores são graduados e qualificados mediante rigorosas avaliações.
Antes da elaboração de uma proposta comercial, o departamento de certificação efetua análise
crítica da solicitação do cliente, garantindo desta forma que os auditores que serão alocados
para realizar os eventos de auditoria possuem a competência necessária.
Após o agendamento das auditorias e antes da realização dos eventos “in loco”, a Fundação
Vanzolini, disponibiliza o Currículo do auditor, o qual demonstra sua competência. Caso exista
algum impedimento por parte da organização com relação à alocação da equipe auditoria, a
organização deverá se manifestar, possibilitando, mediante análise, alterar a equipe auditora.
A Fundação Vanzolini também possui uma série de atividades relacionadas aos auditores, de
forma a garantir o mais alto padrão de qualidade em sua prestação de serviço. Dentre algumas
destas atividades, pode-se citar:
a) Fóruns de discussão técnica;
b) Treinamentos específicos;
c) Planejamento de competências para os auditores;
d) Monitoramento das atividades da equipe auditora, por intermédio de pesquisa de
satisfação com os clientes, monitoramento do processo de auditoria por comissão
técnica independente.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 13 de 25
DIMENSIONAMENTO DA AUDITORIA
O dimensionamento definido para as auditorias pela Fundação Vanzolini segue as determinações que todos os organismos certificadores devem obedecer, ou seja, as diretrizes da norma ISO/IEC 27006:2007, anexo C.
CAP.08 DEFINIÇÕES: NÃO CONFORMIDADE MAIOR, NÃO
CONFORMIDADE MENOR E
OPORTUNIDADE DE MELHORIA Segue abaixo a classificação adotada nas constatações da auditoria:
Não-conformidade Maior:
Ausência, falha na implementação ou manutenção de um ou mais elementos requeridos pelo
sistema, ou situação na qual, com base nas evidências objetivas, pode gerar dúvidas quanto a
capacidade do sistema de gestão em alcançar os objetivos da norma de referência, e
Ausência ou incapacidade total do Sistema atender a um elemento da norma de referência
ou à norma como um todo;
Também pode ser caracterizada à partir de um grande número de NC Menores, constatadas
ao longo da avaliação do Sistema da organização em um único elemento da norma.
Não conformidade Menor:
Falta de cumprimento aos requisitos do Sistema de Gestão que o julgamento e/ou
experiência do auditor indiquem que, provavelmente, não implicará em uma “quebra” do Sistema;
Uma não adequação ou não implantação de parte de um elemento requerido pela norma de
referência, que é evidenciada pela equipe auditora.
Oportunidade de Melhoria:
Uma falha localizada comprovadamente não generalizada, falha esta que não possui
relevância e impacto sobre a atividade auditada;
Desconforto da Equipe Auditora;
Falha potencial que não é evidenciada pela Equipe Auditora, mas que a experiência do
auditor indica uma não conformidade futura.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 14 de 25
CAP. 09 - PERGUNTAS E RESPOSTAS MAIS FREQÜENTES
Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de
Sistemas de Gestão, a Fundação Vanzolini vem catalogando as principais dúvidas dos clientes
relacionadas às respectivas normas, suas características e o processo de certificação.
Esperamos que a lista abaixo possa elucidar suas dúvidas.
1. O que é segurança da informação?
Segundo a norma NBR ISO/IEC 27002:07, segurança da informação é a proteção da
informação contra vários tipos de ameaças de forma a assegurar a continuidade do negócio,
minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de
negócios. Ainda segundo a NBR ISO/IEC 27002:07 a segurança da informação é caracterizada
pela preservação dos três atributos básicos da informação: confidencialidade, integridade e
disponibilidade.
2. O que é a NBR ISO / IEC 27001:2006?
É a norma de certificação para Sistemas de Gestão da Segurança da Informação, editada em
português em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para prover
um modelo para o estabelecimento, implementação, operação, monitoramento, revisão,
manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.
A NBR ISO / IEC 27001 e NBR ISO / IEC 27002:07 foram o par consistente de normas relativas
a Sistema de Gestão de Segurança da Informação.
3. O que é NBR ISO/IEC 27002:07?
A NBR ISO/IEC 27002:07 é a versão brasileira da norma ISO homologada pela ABNT, a versão
válida é de 2007. É o Código de Prática para Gestão da Segurança da Informação. Serve como
referência para a criação e implementação de práticas de segurança reconhecidas
internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos, Controles
É um conjunto completo de recomendações para: Gestão da Segurança de Informação e
Controles e práticas para a Segurança da Informação.
Atenção: a norma de certificação é a NBR ISO / IEC 27001:2006, a NBR ISO / IEC 27002:07 é
a norma de referência de boas práticas.
4. Qual é a importância que as organizações dão hoje a ISO 27001?
Todas as grandes organizações do mundo, sejam públicas ou privadas, já tomaram
conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas
organizações já estão incorporando os controles das normas em suas políticas de segurança.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 15 de 25
5. Qual é a importância da ISO 27001?
Ela permite que uma organização construa de forma muito rápida uma política de segurança
baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo,
sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria
para realizar essa tarefas.
6. Essas normas se aplicam a qualquer tipo de organização?
As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino,
instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos
controles da norma devido a seus ambientes serem diferentes dos de uma organização
comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da
norma para implementar segurança da informação em suas instalações.
7. O que é SGSI?
Sistema de Gestão de Segurança da Informação é o resultado da aplicação planejada de
objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de
forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma
organização que implante a norma ISO 27001 acaba por constituir um SGSI.
8. Quais são as etapas para se constituir um SGSI?
Em primeiro lugar, deve-se definir quais são seus limites (sua abrangência física, lógica e
pessoal). Depois devem ser relacionados os recursos que serão protegidos. Em seguida
relaciona-se quais são as possíveis ameaças a esses recursos, quais são as vulneráveis a que
eles estão submetidos e qual seria o impacto da materialização dessas ameaças. Por fim,com
base nessas informações, são priorizados os controles necessários para garantir a segurança
desses recursos.
9. Para implantar a norma em uma organização é obrigatório empregar todos os seus
controles?
Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições
existentes na organização. Por exemplo, se a organização não tem acesso remoto de usuários,
todos os controles referentes a esse tipo de acesso podem ser ignorados.
10. O que é a Declaração de Aplicabilidade?
É um documento exigido pela NBR ISO IEC 27001 no qual a organização tem que relacionar
quais controles do Anexo A são aplicáveis e justificar os que não são aplicáveis ao seu SGSI.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 16 de 25
11. Como obter a norma NBR ISO IEC 27001?
As normas NBR ISO, assim como as de outros países, têm direitos autorais. As normas da série
NBR ISO devem ser adquiridas na ABNT – Associação Brasileira de Normas Técnicas.
12. Como a ISO 27001 se relaciona com as normas ISO 9001 e ISO 14001?
A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e
conteúdos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14001 com
objetivo de estabelecer um contínua gestão da segurança da informação.
13. O que é PDCA?
PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) é um método de gestão que se
caracteriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações
no ambiente. Nas normas de gestão acima mencionadas é empregado para garantir uma efetiva
gestão da organização.
14. Existe legislação que obrigue o uso da ISO 27001?
As leis variam de país para país. A rigor não existem leis que obriguem o emprego de tais
normas. No Brasil, existem recomendações no sentido de empregar-se as normas emitidas por
entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No
Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei Sarbanes-
Oxley (que atinge subsidiárias de organizações americanas de capital aberto instaladas no
Brasil), promulgada em 2002, determinam cuidados no trato das informações que, na prática,
obrigam as organizações a empregar a ISO 27001/ISO 27002 como uma forma de
demonstrarem que estão procurando cumprir os requisitos de segurança determinados por
essas leis.
15. O que é certificação?
A certificação é um documento emitido por uma entidade certificadora independente que
garante que uma dada organização implantou corretamente todos os controles da norma
aplicáveis. A certificação é emitida após uma auditoria externa para verificação da conformidade
da organização com a norma.
16. Para que serve a certificação?
Ela comprova, para as organizações certificadas, que a segurança da informação está garantida
de forma efetiva, o que não significa, contudo, que a organização esteja imune a violações de
segurança. Além disso, a certificação comprova, para os clientes e fornecedores da
organização, o a preocupação que esta tem com a segurança da informação, reforçando sua
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 17 de 25
imagem junto ao mercado. Dependendo da atividade da organização, essa certificação pode ser
essencial para a realização de certos negócios.
17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna?
Sim. Na realidade, a maior parte das organizações a emprega dessa forma, uma vez que elas
ainda não identificaram a necessidade ou a possibilidade de realizarem o processo de
certificação.
18. Qual é o custo de uma certificação?
O custo depende de vários fatores, tal como quanto tempo o responsável pela certificação
necessita para avaliar a conformidade da organização com relação à norma, o tamanho e a
complexidade da organização e de seus sistemas.
19. Muitas organizações já obtiveram a certificação?
Segundo a pesquisa ISO Survey de 2005, existem 7732 organizações certificadas em Dez/2001.
Destas, cerca de 4596 certificações se encontram no Japão.
20. Quantas e quais organizações foram certificadas no Brasil?
Trinta organizações brasileiras obtiveram a certificação até 2007. Informações atualizadas sobre
organizações certificadas no Brasil e no mundo, além do ISO Survey também podem ser obtidas
através do site www.iso27001certificates.com.
21. Quem concede o certificado?
Os certificados são emitidos por entidades certificadoras acreditadas por órgãos de acreditação
nacionais ou internacionais após realização de auditorias.
22. Como são feitas estas auditorias?
A auditoria do Sistema de Gestão da Segurança da Informação é dividida em 2 etapas:
Auditoria de Documentação, conhecida como Fase 1 e Auditoria de Certificação, conhecida
como Fase 2. Podendo existir também a Pré-Auditoria, esta por sua vez é opcional.
23. O que é Auditoria de Documentação?
Em razão do tema abordado esta norma envolve documentos e informações, muitas vezes,
confidenciais, desta forma, fazem-se necessário uma análise prévia destes nas instalações da
própria organização visando à verificação de sua adequação e a segurança dos dados.
A Auditoria de Documentação é o primeiro contato com a equipe auditora.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 18 de 25
24. Qual a diferença entre a Auditoria de Documentação e a Pré-auditoria?
A Auditoria de Documentação tem como foco a seguinte documentação: Declaração de
Aplicabilidade, Relatório de Avaliação de Riscos e Análise Crítica pela Direção entre outros
possíveis documentos associados a estes, conforme aplicável. Esta análise não contempla
procedimentos e práticas específicos, uma vez que estes são objeto da Pré-auditoria, que tem
por objetivo a análise crítica da adequação do sistema à norma.
25. Pré-auditoria é o mesmo que Auditoria de Pré-certificação?
Sim. Os dois termos são usados e reconhecidos pelo mercado para identificar um mesmo tipo
de auditoria.
26. Quando devo solicitar a Pré-auditoria?
Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizado
pelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção a
organização pode solicitar a realização da Pré-auditoria para verificar o nível de adequação à
norma em questão.
27. Minha organização já possui a certificação pela norma anterior. Também posso
solicitar uma Pré-auditoria segundo a nova versão?
As organizações já certificadas podem solicitar a realização da Pré-auditoria para verificar o
nível de adequação à norma em questão, após a adequação do Sistema de Gestão da
Segurança da Informação e após ter realizado pelo menos um ciclo de auditoria interna . A
Fundação Vanzolini recomenda que tenha também pelo menos uma análise crítica do sistema já
com a nova estrutura.
28. Para que serve a Pré-auditoria?
A Pré-auditoria tem como principal objetivo a detecção de eventuais problemas conceituais que
possam vir a ser despercebidos pela organização em processo de certificação. Seria um
exemplo de problema conceitual, a não aplicação de um requisito ou controle que influencie na
Segurança da Informação da organização. Isto pode ocorrer em razão de uma incorreta
interpretação da norma para o negócio da organização e/ou escopo considerado(s). No entanto,
nestes casos a certificação não pode ser recomendada, causando transtornos para a
organização e uma certa decepção para todos os envolvidos.
A fim de reduzir os riscos de não certificação por problemas de adequação, os organismos
certificadores em todo o mundo passaram a realizar análises prévias, estas análises prévias são
chamadas de pré-auditoria.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 19 de 25
29. Como é feita a pré-auditoria?
A Pré-auditoria é realizada nas instalações da organização e segue os mesmos passos da
Auditoria de Certificação: Reunião de Abertura, investigação, relato das não-conformidades e
reunião de encerramento. Geralmente a equipe auditora da Pré-auditoria será a mesma da
Análise Documental e da Auditoria de Certificação.
São verificados os procedimentos e a documentação em relação à sua adequação à norma de
referência. O tempo dimensionado para esta auditoria, normalmente não permite que a equipe
auditora tenha tempo para verificar se as práticas descritas na documentação estão
adequadamente implementadas – isto é o que chamamos de auditoria de conformidade, que
será realizada durante a Auditoria de Certificação (Inicial) e nas Auditorias de supervisão
(Anuais ou semestrais).
30. No meu orçamento consta uma Pré-auditoria de um dia. Posso solicitar mais um ou
dois dias?
Sim. A carga horária definida no orçamento é mínima para checar todos os itens da norma. No
entanto, caso a organização deseje uma análise mais aprofundada, a carga horária poderá ser
aumentada sem problema algum. Haverá um aumento proporcional no preço do evento.
31. Posso pular a Pré-auditoria e ir direto para a Auditoria de Certificação?
Sim. Tomando-se como base a experiência adquirida ao longo do tempo em certificações de
sistemas de gestão, a Fundação Vanzolini recomenda fortemente a realização da Pré-auditoria,
no entanto, se a organização tem muita segurança na adequação e conformidade do seu
sistema de gestão não há problema algum em ir direto para a Auditoria de Certificação.
32. Se o auditor não encontrar problemas na Pré-auditoria, já posso receber o certificado?
Não. A Pré-auditoria tem objetivo distinto da Auditoria de Certificação. A Pré-auditoria verifica a
adequação do sistema, não colhendo evidências suficientes de que as práticas refletem o
planejamento contido nos procedimentos. A verificação da implementação é feita na Auditoria de
Certificação que não pode ser dispensada em nenhum caso.
33. Qual é o prazo entre a Auditoria de Documentação e as Auditorias de Pré-certificação,
Certificação e supervisão?
Com exceção às Auditorias de Supervisão, que devem ocorrer no mínimo anualmente, não há
um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser
discutidos e acordados, conforme as necessidades de cada organização. No entanto, a
Fundação Vanzolini recomenda que a Auditoria de Documentação ocorra pelo menos 30 dias
antes da Auditoria de Certificação e, caso seja solicitada, 30 dias antes da Pré-auditoria.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 20 de 25
34. Quem faz parte da equipe auditora?
Normalmente, a equipe auditora é formada por um ou mais auditores com experiência em
auditoria e conhecimentos do segmento de negócio da organização. Por se tratar de uma norma
específica, as auditorias do Sistema de Gestão de Segurança da Informação devem contar
sempre auditores que detenham conhecimentos técnicos suficientes para compreender a
linguagem dos auditados.
35. A Fundação Vanzolini mantém cursos sobre esta norma?
A Fundação Vanzolini mantém cursos abertos e “in company” para implementação do Sistema
de Gestão da Segurança da Informação, formação de Auditores Internos do SGSI e formação
de Auditores Líderes NBR ISO/IEC 27001.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 21 de 25
CAP. 10 - CONFIDENCIALIDADE, IMPARCIALIDADE E AUSÊNCIA DE CONFLITO DE INTERESSE
A Fundação Vanzolini, ao longo do processo de certificação, pode ter acesso a informações
confidenciais relacionadas aos ativos da informação.
Todos o pessoal que trabalha no departamento de certificação da Fundação Vanzolini, incluindo
os auditores, assinam o código de conduta, que estabelece os procedimentos de trabalho,
incluindo vários princípios relacionados ao sigilo, confidencialidade, ausência de conflito de
interesse.
As informações sobre produtos ou sobre certificação não são reveladas a terceiros sem o
consentimento, por escrito, do cliente. Caso a lei exija que tais informações sejam dadas ao
conhecimento de terceiros, o cliente é informado formalmente, conforme estabelecido na lei.
CAP.11 - INTERPRETAÇÕES ISMS, JTC 1/SC 27 e
DIRETRIZES DO IAF
Todos as pessoas podem ter acesso às interpretações, orientações e diretrizes realizadas em
âmbito nacional e internacional. Essas informações podem ser obtidas junto ao:
a) ISMS International User Group – Site: http://www.iso27001certificates.com/
(interpretações e orientações);
b) JTC 1/SC 27 International Organization for Standardization's (ISO) Joint Technical
Committee, Information technology, Subcommittee SC 27 , IT Security techniques. -
(orientações e trabalhos);
Site: http://www.iso.org/iso/technical_committee_contact.html?commid=45308
c) IAF – The International Accreditation Forum – Site : http://www.iaf.nu/ (Diretrizes).
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 22 de 25
CAP. 12 - REGRAS PARA O USO DA MARCA
- Fundação Vanzolini / IQNet
A organização cujo sistema de gestão (Qualidade) possui os certificados emitidos pela Fundação
Vanzolini e IQNet está autorizada a usar a marca de certificação da Fundação Vanzolini/IQNet (selo)
após garantir que :
1. A marca de certificação da Fundação Vanzolini/IQNet de sistema de gestão pode ser utilizada
pela organização detentora do certificado, desde que:
com o nome da organização certificada (e da divisão, se necessário);
com o número do certificado (opcional);
fazendo referência à norma aplicável;
dentro do período de validade do certificado;
dentro do escopo / área certificada;
utilizado pela companhia certificada (o responsável legal);
sem qualquer mudança.
2. A marca de certificação da Fundação Vanzolini/IQNet pode ser utilizada para fins comerciais,
aparecer em documentos usados nas correspondências da organização, na internet e em
propaganda. Ela não deve ser utilizada em declarações que ultrapassem o escopo dos
certificados emitidos pela Fundação Vanzolini e IQNet, principalmente nos casos em que há
cobertura parcial dos certificados com relação à totalidade da linha de produtos/serviços da
organização. Em caso de dúvida, o escopo da certificação deverá ser especificado.
3. As declarações da certificação devem indicar que os produtos referidos são procedentes de uma
organização cujo Sistema de Gestão (Qualidade) foi certificado pela Fundação Vanzolini e IQNet.
4. É vedado o uso da marca de certificação da Fundação Vanzolini/IQNet diretamente nos
produtos e nas suas embalagens primárias.
5. Na utilização da marca de certificação da Fundação Vanzolini/IQNet, o usuário da marca deverá
observar os princípios da concorrência honesta. O usuário deverá impedir qualquer uso ou
declaração a respeito à marca de certificação, que seja inaceitável pela Fundação Vanzolini ou
pela IQNet.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 23 de 25
6. O usuário da marca receberá uma cópia reproduzível da marca de certificação (selo). O usuário
da marca não está autorizado a fazer qualquer alteração gráfica na marca de certificação da
Fundação Vanzolini / IQNet (inclusive cores) sem a concordância por escrito da Fundação
Vanzolini. Alterações nas dimensões da marca de certificação são aceitáveis, desde que o selo
se mantenha legível.
7. O uso da marca de certificação da Fundação Vanzolini/IQNet é restrito às organizações
autorizadas e o direito de uso deste não deve ser transferido para terceiros ou substitutos, nem
ser objeto de cessão ou aquisição ou de qualquer medida compulsória.
8. No caso de laboratórios de calibração e ensaios certificados, estes não podem dar a entender a
seus clientes que a certificação equivale a acreditação com base no ABNT ISO/ IEC Guia 17025.
Os laboratórios não podem utilizar a marca de certificação da Fundação Vanzolini/IQNet nos
laudos/certificados entregues aos seus clientes.
- Certificado IQNet
9. O certificado IQNet é baseado em auditoria e certificação realizadas pela Fundação Vanzolini, ou sob sua coordenação, e é emitido por esse membro em nome da IQNet. A certificação IQNet foi instituída em função da mútua confiança entre os membros, resultante da avaliação entre seus pares, da cooperação e da assinatura do acordo multilateral IQNet Multilateral Agreement (MLA) de reconhecimento mútuo de certificados.
10. O certificado IQNet é fornecido à organização certificada em razão da qualidade de membro da
IQNet da Fundação Vanzolini.
11. A responsabilidade principal pela emissão do certificado IQNet é da Fundação Vanzolini.
12. Caso a Fundação Vanzolini deixe de ser associada à IQNet, o certificado IQNet da organização
deixará de ser válido e será recolhido pela Fundação Vanzolini, no prazo de 30 dias.
- Quadro Geral de Uso da Marca
Como meio de melhor elucidar o uso de marca de certificação para indicar quando um produto foi
feito sob um sistema de gestão da qualidade certificado, segue abaixo tabela:
No Produto *1 Em caixas maiores, etc. usadas
para o transporte de produtos *2
Em Panfletos, etc. para propaganda
Uso da Marca *3
Sem Declaração Não permitido Não Permitido Permitido * 5
Com Declaração *4 Não permitido Permitido *5 Permitido * 5
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 24 de 25
*1 Pode ser o próprio produto tangível ou um produto em uma embalagem individual, caixa, etc. No
caso de atividade de ensaio/análise, poderia ser um relatório de ensaio/análise;
*2 Pode ser a embalagem externa feita de papelão etc., que provavelmente não seja capaz de
alcançar os usuários finais;
*3 Isso se aplica a marcas que apresentem uma forma específica, inclusive alguma descrição básica
de sua aplicabilidade. Uma declaração somente em palavras não constitui uma marca neste sentido.
Tal declaração deve ser verdadeira e não induzir a erro;
* 4 Pode ser uma afirmação declarando que “Este produto foi fabricado em uma organização cujo
sistema de gestão da qualidade é certificado e está em conformidade com a NBR ISO 9001”. O
Termo “fabricado”, para organizações de serviço, pode ser adaptado aos termos utilizados no
segmento da organização;
* 5 Na utilização de símbolos ou logomarcas, deve ser prestada atenção suficiente, para evitar
infração.
Qualquer intencional ou flagrante violação negligente das providências acima resultará na
anulação da concessão dos Certificados. O direito de uso da marca de certificação termina
na não renovação ou anulação da concessão dos Certificados da Fundação Vanzolini e IQNet,
depois dos períodos transitórios especificados para tais casos.
CAP. 13 - RECLAMAÇÃO E APELAÇÃO
As reclamações dos clientes da Fundação Vanzolini podem ser iniciadas através do questionário
de avaliações entregue ao final de cada auditoria realizada, ou mediante qualquer outro meio.
Todas as reclamações são analisadas criticamente e são tomadas as devidas ações de melhoria
e/ou ações corretivas.
Caso a organização não concorde com as deliberações da Fundação Vanzolini, ela poderá
iniciar um processo de apelação, dirigido ao nível competente da Fundação Vanzolini, a saber:
Comissão Técnica, Diretor de Certificação e Conselho de Certificação.
Após análise, a decisão será informado à organização.
P.035.09 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001
Data: 26/07/13 Página 25 de 25
CAP.14 - SUSPENSÃO, CANCELAMENTO, REDUÇÃO OU AUMENTO DE
ESCOPO, INCLUSÃO OU EXCLUSÃO DE SITES.
A Fundação Vanzolini possui regras claramente estabelecidas para suspensão ou cancelamento da certificação. Tais regras estão definidas nos contratos firmados entre as partes. A qualquer momento a organização poderá solicitar a redução ou aumento do escopo de certificação, devendo contatar a área comercial da Fundação Vanzolini. As inclusões ou exclusões de sites também podem ser realizadas durante a vigência do contrato, devendo a organização manifestar seu interesse junto a área comercial da Fundação Vanzolini.
CAP. 15 - CRITÉRIOS PARA REEMBOLSO DE DESPESAS DIRETAS
Ao final da auditoria, o auditor líder apresentará à organização os comprovantes das despesas da
equipe auditora, conforme as regras previamente definidas, juntamente com o formulário “controle de
despesas”, preenchido para aprovação. O valor total das despesas deverá ser reembolsado à
Fundação Vanzolini que efetuará o reembolso ao auditor.
As intervenções viárias e as transformações do espaço urbano. A via de contorno norte-ilha - parte 4
As intervenções viárias e as transformações do espaço urbano. A via de contorno norte-ilha - parte 1
As intervenções viárias e as transformações do espaço urbano. A via de contorno norte-ilha - parte 3