Académique Documents
Professionnel Documents
Culture Documents
●● Escopo, propósito, termos e definições-chave da norma ISO/IEC 27001 e como ela pode ser
utilizada.
●● Requisitos para definição do escopo e aplicabilidade.
Quem é CertiProf®?
A CertiProf® oferece uma ampla gama de certificações profissionais para indivíduos e empresas. Sua
missão é preparar professionais com a mais alta qualidade e reconhecimento internacional.
profissional.
Qualquer pessoa interessada em expandir seus conhecimentos sobre a Norma ISO/IEC 27001.
2
Ementa
1. Introdução e Histórico 9
Introdução 10
História da Norma 10
ISO/IEC 27001:2013 Estrutura 11
ISO 27000 Família de Normas 11
2. Conceitos-Chave 12
O que é SGSI? 13
Informação e Princípios Gerais 13
A Segurança da Informação 14
Sistema de Gestão 14
Fatores Fundamentais para o Sucesso de um SGSI 15
Benefícios da Família de Normas SGSI 15
3. Termos e Definições 17
3.1 Controle de Acesso 18
3.2 Modelo Analítico 18
3.3 Ataque 18
3.4 Atributo 18
3.5 Auditoria 18
3.6 Escopo da Auditoria 18
3
3.25 Evento 22
3.26 Direção Executiva 22
3.27 Contexto Externo 22
3.28 Governança da Segurança da Informação 22
3.29 Órgão do Governo 23
3.30 Indicador 23
3.31 Necessidades de Informação 23
3.32 Recursos (estações) de Tratamento de Informação 23
3.33 Segurança da Informação 23
3.34 Continuidade da Segurança da Informação 23
3.35 Incidente ou Ocorrência de Segurança da Informação 23
3.36 Incidente de Segurança da Informação 24
3.37 Gestão de Incidentes de Segurança da Informação 24
3.38 Grupo que Compartilha Informação 24
3.39 Sistema de Informação 24
3.40 Integridade 24
3.41 Parte Interessada 24
3.42 Contexto Interno 25
3.43 Projeto de SGSI 25
3.44 Nível de Risco 25
3.45 Probabilidade (likehood) 25
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
4
3.60 Política 29
3.61 Processo 29
3.62 Confiabilidade 29
3.63 Requisito 29
3.64 Risco Residual 29
3.65 Revisão 29
3.66 Objeto em Revisão 29
3.67 Objetivo da Revisão 30
3.68 Risco 30
3.69 Aceitação de Risco 30
3.70 Análise de Risco 31
3.71 Verificação de Risco 31
3.72 Comunicação e Consulta de Risco 31
3.72 Comunicação e Consulta de Risco 31
3.74 Avaliação de Risco 32
3.75 Identificação de Risco 32
3.76 Gestão de Risco 32
3.77 Processo de Gestão de Risco 33
3.78 Proprietário do Risco 33
3.79 Tratamento de Risco 33
3.80 Escala 34
5
6. Planejamento 42
6.1 Ações para Tratar os Riscos e Oportunidades 43
6.2 Objetivos de Segurança da Informação e Planejamento para sua Execução 45
7. Suporte 46
7.1 Recursos 47
7.2 Competência 47
7.3 Conscientização 48
7.4 Comunicação 48
7.5 Informação Documentada 48
8. Operação 50
8.1 Planejamento e Controle Operacional 51
8.2 Verificação de Riscos de Segurança da Informação 51
8.3 Tratamento de Riscos de Segurança da Informação 51
9. Avaliação de Desempenho 52
9.1 Rastreamento, Medição, Análise e Avaliação 53
9.2 Auditoria Interna 53
9.3 Revisão da Direção 54
10. Melhoria 55
10.1 Não Conformidade e Ações Corretivas 56
10.2 Melhoria Contínua 56
Auditoria 57
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
Auditor 58
Termos e Definições ISO 19011:2011 58
Tipos 59
Critérios de Auditoria 59
Evidência da Auditoria 59
Achados da Auditoria 60
Conclusões da Auditoria 60
Cliente da Auditoria 61
Auditado 61
Auditor 61
Equipe de Auditoria 62
Especialista Técnico 62
Observador 62
Guia 63
Programa de Auditoria 63
Escopo da Auditoria 63
6
Plano de Auditoria 64
Risco 64
Competência 64
Conformidade 65
Não Conformidade 65
Sistema de Gestão 65
Workshop 25 Minutos 66
Programa de Auditoria 67
Princípios de Auditoria 67
Atributos dos Auditores 68
Auditoria e Evidência 68
Reunião de Abertura 69
Workshop 25 Minutos 70
Estabelecer um Programa de Auditoria 71
Competências dos Auditores 71
Métodos de Auditoria Aplicáveis 72
Objetivos da Auditoria Interna 72
Auditoria Interna Evidência Objetiva 72
Atividades da Auditoria 73
Preparação das Atividades De Auditoria do Site 73
Responsabilidades do Auditor Líder 74
7
Violações mais Comuns 83
Workshop 25 Minutos 84
A Reunião de Encerramento 85
Relatório da Auditoria 85
O Que não Incluir no Relatório da Auditoria? 86
Modelo de Relatório 86
Ações Corretivas 87
Auditorias de Acompanhamento 87
Redigir as Não Conformidades 87
Forma de Escrita das Não Conformidades 88
Fases da Auditoria 88
Conclusões 89
Conclusões 90
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
8
Introdução
●● ISO/IEC 27001.
●● História da Norma.
●● Estado atual.
●● Definições.
●● A Norma foi criada para “oferecer os requisitos para estabelecer, implementar, manter e melhorar
continuamente o sistema de gestão de segurança da informação”.
●● A Norma “pode ser utilizada por partes internas e externas para avaliar a capacidade da organização
para cumprir com seus próprios requisitos de segurança da informação”.
●● A Norma também inclui “requisitos para a validação e o tratamento de riscos em segurança da
informação conforme as necessidades da organização. Os requisitos estabelecidos nesta Norma
Internacional são genéricos e espera-se que sejam aplicáveis à todas organizações, independente
de seu tipo, tamanho ou natureza”.
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
História da Norma
●● Código de prática.
●● BS7799.
●● BS7799 ver 2.
●● ISO 17799.
●● BS7799 parte 2.
●● ISO 17799 atualização.
●● ISO 27001.
●● ISO 27002.
●● Desenvolvimento de série e atualizações.
10
ISO/IEC 27001:2013 Estrutura
A nova estrutura reflete a estrutura de outras normas novas de gestão, tais como ISO 9000, ISO
20000 e ISO 22301, que ajudam as organizações a cumprir com várias normas.
Os Anexos B e C da 27001:2005 foram eliminados.
Há uma seção adicional sobre a subcontratação.
O ciclo PDCA de melhoria contínua não é mais o principal. A avaliação de risco mais importante do
contexto organizacional mudou.
Existem 114 controles em 14 grupos em comparação com os 133 controles em 11 grupos na versão
de 2005.
11
Informação e Princípios Gerais
13
A Segurança da Informação
Sistema de Gestão
O sistema de gestão utiliza uma estrutura de recursos para alcançar os objetos da organização.
O sistema de gestão inclui a estrutura organizacional, as políticas, o planejamento das atividades,
responsabilidades, práticas, procedimentos, processos e recursos.
14
Fatores Fundamentais para o Sucesso de um SGSI
Um grande número de fatores é fundamental para o sucesso na implementação de um SGSI que permita
à uma organização alcançar seus objetivos de negócio. Alguns exemplos de fatores fundamentais para
o sucesso são:
Os benefícios de implementar um SGSI produzirão principalmente uma redução dos riscos associados
a segurança da informação (quer dizer, reduzir a probabilidade e/ou impacto causado pelos incidentes
de segurança da informação). De uma forma mais específica os benefícios que para uma organização
produz com êxito a adoção da família de normas SGSI são:
15
c) A promoção de boas práticas de segurança da informação aceitas mundialmente, de uma maneira
não obrigatória, oferecendo para as organizações a flexibilidade de adoção e melhoria dos
controles aplicáveis, respeitando suas circunstâncias específicas e para mantê-los de preparados
para enfrentar futuras mudanças internas e externas.
d) Estabelecer uma linguagem comum e uma base conceitual para a segurança da informação,
tornando mais fácil adquirir confiança em sócios de um negócio que esteja em conformidade com
um SGSI, especialmente se for requerida a certificação conforme a Norma ISO/IEC 27001 por um
órgão de certificação credenciado.
e) Aumentar a confiança na organização pelas partes interessadas.
f) Satisfazer necessidades e expectativas sociais.
g) Gestão mais eficaz do ponto de vista econômico dos investimentos em segurança da informação.
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
16
3.1 Controle de Acesso
Meios para garantir que o acesso aos ativos esteja autorizado e restringido às exigências do negócio
e da segurança.
Algoritmo ou cálculo que combina uma ou mais medidas básicas (3.10) ou derivadas (3.22) seguindo
critérios de decisão associados às mesmas.
3.3 Ataque
Tentativa de destruir, expor, alterar, desativar, roubar ou acessar sem autorização ou fazer uso não
autorizado de uma informação.
3.4 Atributo
3.5 Auditoria
Processo (3.61) sistemático, independente e documentado para obter evidências da auditoria e avaliá-
las de maneira objetiva com a finalidade de determinar o grau em que se cumprem os critérios de
auditoria.
NOTA 1: Uma auditora pode ser interna (da primeira parte); de fornecedor (da segunda parte); para
certificação ou regulamentação (terceira parte), e pode ser combinada (com duas ou mais áreas).
NOTA 2: “Evidência de auditoria” e “critérios de auditoria” se definem na Norma ISSO 19011.
18
3.7 Autenticação
Comprovação de garantias de que são corretas as características que uma entidade reivindica para si
mesma.
3.8 Autenticidade
3.9 Disponibilidade
Estar acessível e pronto para o seu uso ou demanda de uma entidade autorizada.
Medida (3.47) definida por meio de um recurso (3.4) e/ou método para quantificá-lo. [ISO/IEC
15939:2007]
NOTA: Uma medida básica é funcionalmente independente de outras medidas.
3.11 Competência
3.12 Confidencialidade
Posse da informação que é mantida inacessível e não se revela a indivíduos, entidades ou processos
(3.61) não autorizados.
3.13 Conformidade
19
3.14 Consequência
3.16 Controle
NOTA 1: Os controles incluem qualquer processo, política, dispositivo, prática, e outras ações que
modifiquem um risco.
NOTA 2: Os controles nem sempre podem proporcionar o efeito de modificação previsto ou assumido.
Declaração que descreve o que se deseja alcançar como resultado da implementação de controles
(3.16).
3.18 Correção
Ação para eliminar a causa de uma não conformidade (3.53) e prevenir que volte a ocorrer.
20
3.20 Ativos
Conjunto de valores associados a medidas básicas (3.10), medidas derivadas (3.22) e/ou indicadores
(3.30).
[ISO/IEC 15939:2007]
NOTA: Esta definição só se aplica no contexto da Norma ISO/IEC 27004:2009.
Limites, objetivos ou padrões utilizados para determinar a necessidade de uma ação ou de uma maior
investigação, ou para descrever o nível de confiança em um determinado resultado.
[ISO/IEC 15939:2007]
Medida (3.47) que se define em função de dois ou mais valores de medidas básicas (3.10).
[ISO/IEC 15939:2007]
Informação que uma organização (3.57) tem que controlar e a forma de mantê-la.
NOTA 1: A informação documentada pode estar em qualquer formato e método, e pode vir de qualquer
fonte.
NOTA 2: A informação documentada pode fazer referência a:
3.24 Eficácia
21
3.25 Evento
[Guia ISO 73:2009]
NOTA: O ambiente externo pode incluir:
●● O ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e
competitivo, a nível internacional, nacional, regional ou local.
●● Os fatores e as tendências que tenham impacto sobre os objetivos (3.56) da organização (3.57).
●● As relações com as partes interessadas externas (3.82), suas percepções e seus valores.
Conjunto de princípios e processos (3.61) diante dos quais uma organização (3.57) dirige e supervisiona
as atividades relacionadas com a segurança da informação.
22
3.29 Órgão do Governo
Grupo de pessoas que respondem e prestam contas do desempenho (3.59) da organização (3.57).
NOTA: Em algumas jurisdições, o órgão do governo pode ser o conselho de administração.
3.30 Indicador
Medida (3.47) que proporciona uma estimativa ou avaliação de determinados recursos (3.4) usando
um modelo analítico (3.2) para satisfazer determinadas necessidades de informação (3.31).
Processos (3.61) e procedimentos para garantir a continuidade das atividades relacionadas com a
segurança da informação (3.33).
Ocorrência detectada no estado de um sistema, serviço ou rede que indique uma possível violação
da política de segurança da informação, uma falha dos controles ou uma situação desconhecida até o
momento e que pode ser relevante para a segurança.
23
3.36 Incidente de Segurança da Informação
Evento isolado ou série de eventos de segurança da informação (3.35), inesperados ou não desejados,
que tenha uma probabilidade significativa de comprometer as operações do negócio e de ameaçar a
segurança da informação (3.33).
3.40 Integridade
Pessoa ou organização (3.57) que possa afetar, estar afetada, ou perceber que foi afetada por uma
decisão ou atividade.
24
3.42 Contexto Interno
Atividades estruturais levadas em consideração por uma organização (3.57) para implementar um
25
3.46 Sistema de Gestão
Conjunto de elementos de uma organização (3.57) inter-relacionados ou que interajam para definir
políticas (3.60), objetivos (3.56) e processos (3.61) para atingir estes objetivos.
NOTA 1: Um sistema de gestão pode tratar uma ou várias áreas.
NOTA 2: Os elementos do sistema incluem a estrutura da organização, os papeis e as responsabilidades,
o planejamento, a operação, etc.
NOTA 3: O escopo de um sistema de gestão pode incluir a totalidade da organização, funções
específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma
ou mais funções dentro de um grupo de organizações.
3.47 Medida
3.48 Medição
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
Algoritmo ou cálculo realizado para combinar duas ou mais medidas básicas (3.10).
[ISO/IEC 15939:2007]
26
3.50 Método de Medição
Capacidade para afirmar que está certa a reivindicação de que ocorreu algum incidente ou realizou-se
certa ação por parte das entidades que o originaram.
3.55 Objeto
27
3.56 Objetivo
Resultado a alcançar.
3.57 Organização
Pessoa ou grupo de pessoas que têm suas próprias funções com responsabilidades, poderes e relações
para atingir seus objetivos (3.56).
NOTA: O conceito de organização inclui, mas não se limita a, empresários, empresa individual,
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
Estabelecer um acordo mediante o qual uma organização (3.57) externa realiza parte de uma função
ou processo (3.61) de uma organização.
NOTA 1: Uma organização externa está fora do escopo do sistema de gestão (3.46), ainda que a
função ou processo contratado externamente faça parte do negócio.
3.59 Desempenho
Resultado mensurável.
28
3.60 Política
Intenções e direcionamentos de uma organização (3.57), como as manifestam formalmente sua alta
direção (3.84).
3.61 Processo
3.62 Confiabilidade
3.63 Requisito
3.65 Revisão
Atividade que se realiza para determinar a idoneidade, a adequação e a eficácia (3.24) do tema
estudado para alcançar os objetivos estabelecidos.
[Guia ISO 73:2009]
29
3.67 Objetivo da Revisão
3.68 Risco
(3.83) explorem vulnerabilidades (3.89) de um dado ou grupo de ativos de informação e que causem
prejuízo à uma organização.
30
3.70 Análise de Risco
Processo que permite compreender a natureza do risco (3.68) e determinar o nível de risco (3.44).
[Guia ISO 73:2009]
NOTA 1: A análise de risco oferece a base para a avaliação do risco (3.74) e para tomar as decisões
relativas ao tratamento do risco (3.79).
NOTA 2: A análise de risco inclui a sua estimativa.
Processo (3.61) global que compreende a identificação do risco (3.75), a análise de risco (3.70) e a
avaliação de risco (3.74).
[Guia ISO 73:2009]
Processos iterativos e contínuos que uma organização realiza para fornecer, compartilhar e obter
informação para estabelecer o diálogo com as partes interessadas (3.82), em relação à gestão de risco
31
3.73 Critérios de Risco
Processo (3.61) de comparação dos resultados de análise de risco (3.70) com os critérios de risco
(3.73) para determinar se o risco (3.68) e/ou sua magnitude são aceitáveis ou toleráveis.
[Guia ISO 73:2009]
NOTA: A avaliação de risco ajuda na tomada de decisão sobre o tratamento de risco (3.79).
[Guia ISO 73:2009]
NOTA 1: A identificação de risco consiste na identificação das causas de riscos, os incidentes, suas
causas e suas potenciais consequências.
NOTA 2: A identificação de risco pode incluir dados históricos, análise teóricas, opiniões obtidas de
especialistas, assim como necessidades das partes interessadas.
Atividades coordenadas para dirigir e controlar uma organização (3.57) em relação ao risco (3.68).
[Guia ISO 73:2009]
32
3.77 Processo de Gestão de Risco
Pessoa ou entidade que tem a responsabilidade e autoridade para gerenciar um risco (3.68).
[Guia ISO 73:2009]
NOTA 2: Os tratamentos de risco que levam à consequências negativas, em certos momentos são
citados como “mitigação de risco”, “eliminação de risco”, “prevenção de risco” e “redução de risco”.
NOTA 3: O tratamento de risco pode originar novos riscos ou modificar os riscos existentes.
33
3.80 Escala
Pessoa ou organização que pode afetar, ser afetada, ou perceber que foi afetada por uma decisão ou
atividade.
[ISO/IEC 73:2009]
3.83 Ameaça
Possível causa de um incidente não desejado, o qual pode ocasionar prejuízo em um sistema ou à uma
organização.
Pessoa ou grupo de pessoas que dirigem e controlam uma organização (3.57) ao mais alto nível.
NOTA 1: A alta direção tem o poder para delegar autoridade e oferecer recursos dentro da organização.
NOTA 2: Se o escopo do sistema de gestão (3.46) corresponde apenas a uma parte da organização,
então “alta direção” se refere àqueles que dirigem e controlam essa parte da organização.
34
3.85 Entidade de Confiança para a Comunicação da Informação
Organização independente que controla a troca de informação dentro de um grupo que compartilha
informação.
Quantidade específica, definida e adotada por convenção, com a qual se comparam outras quantidades
da mesma natureza a fim de demonstrar sua dimensão em relação a determinada quantidade.
[ISO/IEC 15939:2007]
3.87 Validação
3.88 Verificação
3.89 Vulnerabilidade
Debilidade de um ativo ou controle (3.16) que pode ser explorada por uma ou mais ameaças (3.83).
35
4.1 Compreensão da Organização e de seu Contexto
37
4.3 Determinação do Escopo do Sistema de Gestão de Segurança da Informação
38
5.1 Liderança e Compromisso
A alta direção deve demonstrar liderança e compromisso com o sistema de gestão de segurança da
informação:
40
5.2 Política
A alta direção deve certificar-se de que as responsabilidades e poderes para os papeis pertinentes a
segurança da informação sejam atribuídos e comunicados dentro da organização.
NOTA: A alta direção também pode atribuir responsabilidades e poderes para informar sobre o
comportamento do sistema de gestão de segurança da informação dentro da organização.
41
6.1 Ações para Tratar os Riscos e Oportunidades
43
d) Analisar os riscos de segurança da informação:
1. Avaliar as possíveis consequências que ocorreriam se os riscos identificados no item 6.1.2 c) 1),
chegassem a acontecer.
2. Avaliar de forma realista a probabilidade de ocorrência de riscos identificados no item 6.1.2 c) 1).
3. Determinar os níveis de risco.`
e) Avaliar os riscos de segurança da informação:
1. Comparar os resultados da análise de riscos com os critérios de risco estabelecidos no item
6.1.2 a).
2. Priorizar o tratamento dos riscos analisados.
c) Comparar os controles determinados no item 6.1.3 b) com os do anexo A e garantir que não sejam
omitidos controles necessários.
NOTA 1: O anexo A contém uma ampla lista de
objetivos de controle e controles. É indicado aos
usuários da norma internacional que se dirijam ao
anexo A para garantir que não deixem de fazer os
controles necessários.
NOTA 2: Os objetivos de controle estão
subentendidos nos controles selecionados. Os
objetivos de controle e os controles enumerados
no anexo A não são estão completos, portanto,
pode ser necessário exigir objetivos de controle e
controles adicionais.
44
d) Elaborar uma “Declaração de Aplicabilidade” que contenha:
45
7.1 Recursos
7.2 Competência
a) Determinar a competência necessária das pessoas que realizam, sob seu controle, o trabalho que
afeta o seu desempenho em segurança da informação.
b) Certificar-se de que estas pessoas sejam competentes, baseando-se na educação, formação ou
experiência compatível.
c) Quando aplicável, colocar em prática ações para aquisição da competência necessária e avaliar a
eficácia das ações tomadas.
d) Manter documentada a informação obtida, como evidência da competência.
NOTA: As ações aplicáveis podem incluir, por exemplo: a formação, a tutoria ou a realocação das
pessoas empregadas atualmente; ou a contratação de pessoas competentes.
47
7.3 Conscientização
7.4 Comunicação
A organização deve determinar a necessidade de
comunicação internas e externas pertinentes ao
sistema de gestão da segurança da informação,
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
que inclua:
a) O conteúdo da comunicação.
b) Quando comunicar.
c) A quem comunicar.
d) Quem deve comunicar.
e) Por quais processos realizar a comunicação.
48
NOTA: O escopo da informação documentada para um sistema de gestão de segurança da informação
pode ser diferente de uma organização para outra, devido a:
Quando se cria e atualiza a informação documentada, a organização deve garantir o atendimento dos
seguintes itens:
A informação documentada de origem externa, que a organização tenha determinado ser necessária
para o planejamento e operação do sistema de gestão da segurança da informação deve ser identificada
e controlada, adequadamente.
NOTA: O acesso depende de uma decisão relativa a permissão somente para consultar a informação
documentada, ou a permissão e autorização para consultar e modificar a informação documentada,
etc.
49
8.1 Planejamento e Controle Operacional
51
9.1 Rastreamento, Medição, Análise e Avaliação
a) Onde é necessário fazer rastreamento e o que é necessário medir, incluindo processos e controles
de segurança da informação.
b) Os métodos de rastreamento, medição, análise e avaliação, conforme seja aplicável, para garantir
resultados válidos.
NOTA: Os métodos selecionados devem produzir resultados comparáveis e reproduzíveis para ser
considerados válidos.
A organização deve realizar auditorias internas em intervalos planejados, para fornecer informação se
o sistema de gestão de segurança da informação:
a) Apresenta:
1. Os requisitos próprios da organização para seu sistema de gestão de segurança da informação.
2. Os requisitos da norma internacional.
b) Implementação e manutenção de maneira correta.
53
A organização deve:
b) As mudanças nas questões externas e internas que sejam apropriadas ao sistema de gestão de
segurança da informação.
c) A informação sobre o comportamento de segurança da informação, incluídas as tendências relativas
a:
1. Não conformidades e ações corretivas.
2. Acompanhamento e resultados das medições.
3. Resultados de auditoria.
4. O cumprimento dos objetivos de segurança da informação.
d) Os comentários provenientes das partes interessadas.
e) Os resultados de verificação de riscos e o estado do plano de tratamento
de riscos.
f) As oportunidades de melhora contínua.
54
10.1 Não Conformidade e Ações Corretivas
As ações corretivas devem ser adaptadas aos efeitos das não conformidades encontradas.
56
Auditor
“Processo sistemático, independente, documentado, para obter a evidência e avaliá-la objetivamente, com
o fim de determinar em que grau se cumprem os critérios da auditoria”. ISO 19011
Auditoria:
É um processo realizado por profissionais especialmente treinados para esse fim, que consiste em
coletar, agrupar e avaliar evidências para determinar se um sistema de informação protege o ativo do
negócio, mantém a integridade dos dados, efetua efetivamente os propósitos de A organização usa
recursos de maneira eficiente e está em conformidade com as leis e regulamentações estabelecidas.
58
Tipos
Critérios de Auditoria
Critérios
●● Normas (integral).
●● Políticas.
●● Procedimentos.
●● Regulamentos.
Legislação.
Grupo de políticas, procedimentos ou requisitos usados como referência e com os quais se compara a
evidência da auditoria.
Evidência da Auditoria
59
Achados da Auditoria
Melhores práticas:
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
●● Verificar os fatos verbais.
●● Definir a natureza da não conformidade com o auditado, detalhando a evidência da auditoria.
●● Fazer anotações e consultá-las posteriormente para fazer o relatório.
●● Fazer um esboço do relatório de achados durante a coleta de informações.
●● Ao final de cada dia terminar com revisão privada.
Conclusões da Auditoria
60
Cliente da Auditoria
Auditado
Auditor
61
Equipe de Auditoria
Especialista Técnico
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
Observador
62
Guia
Programa de Auditoria
63
Plano de Auditoria
Competência
64
Conformidade Não Conformidade
65
Programa de Auditoria
Princípios de Auditoria
67
Atributos dos Auditores
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
Auditoria e Evidência
Auditoria Evidência
Independência: Independência:
68
Reunião de Abertura
69
Estabelecer um Programa de Auditoria
Propósito:
●● Apresentação dos auditores ao pessoal.
●● Revisar o escopo.
●● Revisar os objetivos da auditoria interna.
●● Confirmar o plano de auditoria.
●● Registros da reunião de abertura.
●● Fornecer um breve resumo de como as
atividades de auditoria serão realizadas.Canais
oficiais de comunicação.
●● Métodos utilizados na auditoria.
●● Necessidade de recursos especiais.
●● Hora e data da reunião de encerramento.
●● Fornecer ao auditado a oportunidade de fazer
perguntas.
71
Métodos de Auditoria Aplicáveis
Auditorias Internas
Todas as normas têm como requisito realizar auditorias internas, em intervalos planejados, para
determinar se o Sistema de Gestão cumpre os requisitos desta parte da norma que está sendo auditada
(Exemplo ISO/IEC 20000, ISO 22301, etc.).
As auditorias ajudam na melhoria contínua dos Sistemas de Gestão.
72
Atividades da Auditoria
Início da Auditoria
●● Revisão de Documentos.
●● Preparação.
●● Realização.
●● Preparação e Entrega de Relatórios.
●● Finalização.
73
Responsabilidades do Auditor Líder
Responsabilidades do Co-Auditor
74
Preparação Individual do Auditor
Plano de Auditoria
●● Requisitos de confidencialidade.
●● Distribuição do relatório e a data esperada de
publicação.
●● Elaboração e preparação dos documentos de
trabalho.
●● Otimizar o tempo.
●● Ser uma orientação.
●● Utilização de perguntas.
●● Ferramenta para coletar evidências.
●● Ajuda para identificar elementos e processos.
●● Avaliar o estado atual do Sistema de Gestão.
●● Adequar as perguntas ao processo a ser
auditado.
76
Perguntas-Chave do Auditor
Tipo de Perguntas
77
Captação de Evidência Objetiva
Obter provas tangíveis de que o sistema de qualidade tem funcionamento correto e eficaz.
Executando a Auditoria
78
Fontes de Informação
Realização de Entrevistas
Seja amigável.
79
Técnicas de Entrevista Do Auditor
●● Perder tempo.
●● Manipular o auditor.
●● Situações inesperadas.
●● Colocar em prova o caráter do auditor.
●● Respostas limitadas.
●● Enganar o auditor.
80
Administração do Tempo
81
Resultados da Auditoria
Achados
●● Resultados da avaliação da evidência objetiva
compilada com o conjunto de políticas,
procedimentos ou requisitos utilizados como
referência.
Tipos de Achados
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
●● Não conformidade
Descumprimento de um requisito especificado.
●● Observação
Situação que pode afetar potencialmente o
sistema de gestão da qualidade.
82
Violações mais Comuns
83
A Reunião de Encerramento
A Reunião de Encerramento
Relatório da Auditoria
85
O Que não Incluir no Relatório da Auditoria?
●● Opiniões subjetivas.
●● Informação confidencial.
●● Crítica feita por indivíduos.
●● Declarações ambíguas.
●● Detalhes triviais.
●● Observações ou não conformidades não
discutidas na reunião de encerramento.
Modelo de Relatório
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
86
Ações Corretivas
Auditorias de Acompanhamento
Responsabilidades do auditor:
●● Acordar a data da auditoria de
acompanhamento.
●● Desenvolver a auditoria de acompanhamento
de acordo com as ações corretivas e
preventivas.
87
Forma de Escrita das Não Conformidades
Fases da Auditoria
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
88
Conclusões
A Normal ISO 27001 pode ser implementada em qualquer tipo de organização, pois fornece uma
metodologia para implementar um Sistema de Gerenciamento de Segurança da Informação, permitindo
também que uma empresa seja certificada em conformidade com esta norma, onde seu eixo central
é proteger a confidencialidade, integridade e disponibilidade de informações da empresa. Isso é feito
investigando quais são os possíveis problemas que podem afetar as informações (avaliação de riscos)
e, em seguida, definindo o que precisa ser feito para evitar que esses problemas ocorram (tratamento
de risco).
Portanto, a filosofia principal da norma ISO 27001 baseia-se no gerenciamento de riscos:
investigar onde se encontram, para tratá-los sistematicamente.
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)
90
Certiprof_llc