1

Comparação das normas ISO 9001 e ISO 20000

Who i am …RESUME OF THE PRESENTER

Coordenador de processos de Certificação na APCERAuditor ISO 9001 / ISO 27001 / ISO 20000 / SA 8000Assessor Qweb e IQNET 9004ISO 20000 Consultant e ITIL v3 Foundations Certificate.

Formação superior em Engª ElectrotécnicaPós-graduação em Gestão de Processos de Negócio ElectrónicoCom mais de 20 anos de experiência na área das TI’s, na administração de sistemas, naCom mais de 20 anos de experiência na área das TI’s, na administração de sistemas, nacoordenação de projectos de desenvolvimento de software, e na consultoria emtecnologias de informação e na segurança de informação, em varias organizações nosmais diversos sectores de actividade.

Agenda

q A ISO 9001:2008 e a ISO/IEC 20000-1:2005

q Integração de Sistemas de Gestão ISO (PAS 99)

q Objectivos das Normas

q Comparação dos Requisitosq Comparação dos Requisitos

q Pontos comuns e principais diferenças

q Documentação obrigatória

q Metodologias de auditoria

q Sumário

q Perguntas

4

A ISO 9001:2008 e a

ISO/IEC 20000-1:2005

5

Integração de Sistemas de Gestão ISO (PAS 99)

Filosofia ISO

• Diz o que fazes• Faz o que dizes• Mostra que fazes como dizes• Mostra que fazes como dizes• e MELHORA!

• Planear • Agir

Act Plan

Ciclo de Gestão – P.D.C.A.

• Realizar• Verificar

DoCheck

• Requisitos Cliente e Riscos• Requisitos Legais e Outros• Objectivos e Metas• Programa(s) de Gestão

• Análise Crítica pela Gestão de Topo

• Revisão do Sistema

Act Plan

Gestão

PolíticaCiclo de Gestão – P.D.C.A.

• Estrutura e Responsabilidade• Formação, Consciencialização e Competência

• Comunicação, Documentação e Controlo Documental

•Controlo Operacional• Planeamento e Gestão de Emergências

•Auditoria(s)•Registos•Não conformidade, acção correctiva e preventiva

•Monitorização e Medição

DoCheck

Gestão de Topo

Sistemas de Gestão Integrados

A PAS 99 fornece um modelo simples para as organizações integrarem numa única estrutura todas as normas eespecificações de sistemas de gestão que adoptam. O principal objectivo da PAS 99 é simplificar a implementação demúltiplos sistemas e sua respectiva avaliação de conformidade. As organizações que a utilizarem deverão incluircomo entrada do sistema integrado os requisitos específicos das normas que adoptam, tais como, por exemplo, osrequisitos específicos da ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000 e OHSAS 18001.

Sistemas de Gestão Integrados - PAS 99

PAS significa Publicly Available Specification (Especificação Disponível Publicamente).

O modelo utilizado para a estrutura da PAS 99 está intimamente relacionado aos elementos comunspropostos no ISO Guide 72:2001, que é um guia para o desenvolvimento de normas. O Guia 72 incluiuma estrutura que foi desenvolvida como um modelo que possibilite a elaboração de normas de formaa contemplar os diversos elementos principais, de maneira consistente.Os especialistas que desenvolveram a PAS 99 consideram que essa estrutura é a mais adequada para acriação de uma nova especificação, uma vez que permite que toda e qualquer norma de sistema degestão seja contemplada, possibilitando e gestão eficaz e eficiente dos requisitos comuns dos sistemasde gestão.

Sistemas de Gestão Integrados - PAS 99

No ISO Guide 72, está categorizado nos seguintes temas:

• Política• Planeamento• Implementação e operação• Avaliação de desempenho• Melhoria• Revisão pela Gestão de Topo.

12

Objectivos das Normas

• Conformidade do produto/serviço• Satisfação do Cliente• Melhoria Contínua

ISO 9001

Objectivos das Normas

• Cumprimento dos níveis de serviços acordados

• Melhoria Contínua

ISO/IEC 20000

14

Comparação dos Requisitos

ISO 9001:2008 ISO/IEC 20000-1:2005

4. Quality ManagementSystem

4.1 General requirements 4. Planning and implementing

4.2 Documentation requirements 3.2 Documentation requirements

4.2.1 General

4.2.2 Quality manual

4.2.3 Control of documents 3.2 Documentation requirements

Comparação de Requisitos

4.2.3 Control of documents 3.2 Documentation requirements

4.2.4 Control of records 3.2 Documentation requirements

5. ManagementResponsibility

5.1 Management commitment 3.1 Management responsibility

5.2 Customer focus 3.1 Management responsibility

5.3 Quality policy

5.4 Planning 4.1 Plan service management

5.5 Responsability, authority andcommunication

5.6 Management review 3.1 Management responsibility

ISO 9001:2008 ISO/IEC 20000-1:2005

6. ResourceManagement

6.1 Provision of resources 4.2 Implementation of servicemanagement / 6.5 Capacity management

6.2 Human resource management 4.2 Implementation of servicemanagement6.5 Capacity management

6.2.2 Competence, training & 3.3 Competence, awareness and

Comparação de Requisitos (continuação)

6.2.2 Competence, training & awareness

3.3 Competence, awareness and training

6.3 Infrastructure 4.2 Implementation of servicemanagement

6.4 Work environment 4.2 Implementation of servicemanagement

7. Product Realization 7.1 Planning of product realization

6.1 Service level management (service rather than product)

7.2 Customer-related processes 7 Relationship process

7.3 Design and development 5 Planning and implementing new or changed services

7.4 Purchasing 7.3 Supplier management

ISO 9001:2008 ISO/IEC 20000-1:2005

7. Product Realization(continuation)

7.5 Production and serviceprovision

4.2 Implement service management and provide the services

7.5.1 Control of production and service provision

ISO 20000 – all requirements and processes

7.5.2 Validation of processes for production and service provision

4.3 Monitoring, measuring and reviewing

Comparação de Requisitos (continuação)

production and service provision reviewing

7.5.3 Identification and traceability (Note: Configuration management in some industry sectors)

9.1 Configuration management9.2 Change management10.1 Release management

7.5.4 Customer property

7.5.5 Preservation of product (includes identification, handling, packaging, storage & protection -includes constituent parts)

9.1 Configuration management9.2 Change management10.1 Release management

7.6 Control of monitoring and measuring equipment

ISO 9001:2008 ISO/IEC 20000-1:2005

8. Measurement, Analysis & Improvement

8.1 General 4.3 Monitoring, measuring and reviewing 6.1 Service level management

8.2 Monitoring & measurement 4.3 Monitoring, measuring and reviewing

8.2.1 Customer satisfaction 7.1 Business relationship processes

Comparação de Requisitos (continuação)

processes

8.2.2 Internal audit 4.3 Monitoring, measuring and reviewing

8.2.3 Monitoring & measurement of processes

6.2 Service reporting and all process sections

8.2.4 Monitoring & measurement of product

6.1 Service level management (for service)

8.3 Control of non-conforming product

8.2 Incident management8.3 Problem management

8.4 Analysis of data 4.3 Monitoring, measuring and reviewing

8.5 Improvement 6.2 Service reporting4.4 Continual improvement

ISO 9001:2008 ISO/IEC 20000-1:2005

8. Measurement, Analysis & Improvement(continuation)

8.5.1 Continual improvement 4.4 Continual improvement

8.5.2 Corrective action 8 Resolution Process

8.5 3 Preventative action 8.3 Problem Management

Comparação de Requisitos (continuação)

20

Pontos comuns e principais diferenças

Pontos Comuns

Sistema de gestão baseado no PDCA

Politica

Revisão periódica do Sistema

Auditorias Internas

Melhoria Continua

Monitorização do Desempenho dos Processos

Diferenças

Rede de Processos

Enfoque

Metodologia de Abordagem

Documentação Obrigatória

23

Documentação obrigatória

2.13 Service Level Agreement (SLA) – Contratos escritos com Clientes em que estejam descritos os serviços e níveis de serviço acordados com os Clientes/4.1 Plan Service Mgmt: Documentar responsabilidades para rever, autorizar, comunicar, implementar e manter os planos de gestão do serviço4.2 Implement Service Management and Provide the Services: Documentar e manter politicas, planos, procedimentos e descrições para cada processo ou conjunto de processos

Documentos

conjunto de processos4.4 Continual Improvement: Processo implementado para identificar, medir, reportar e gerira as actividades de melhoria forma contínua6.1 Service Level Mgmt: Cada serviço disponibilizado aos Clientes devem estar definidos, acordados e documentados em um ou mais níveis de serviço (SLAs)6.6 Info Security Mgmt: Os controlos de Segurança tem que estar documentados. Esta documentação deve descrever os riscos a que os controlos estão associados, e a forma de operar e manter estes controlos

7.1 Business Relationship Mgmt: O fornecedor de serviço deve identificar e documentar os Clientes e outras partes interessadas nos seus serviços7.2 Supplier Mgmt: O fornecedor de serviço deve documentar o seu processo de gestão de fornecedores no âmbito desta norma, e deve ter nomeado um gestor de relação para cada fornecedor.Os requisitos, âmbito, níveis de serviço e processos de comunicação a serem providenciados pelo fornecedor(es) devem estar documentados em SLAs

Documentos (continuação)

providenciados pelo fornecedor(es) devem estar documentados em SLAs outros documentos acordados entre as partes.As ligações entre os processos de cada uma das partes devem estar documentados e acordados.8.1 Incident Mgmt: Devem existir procedimentos definidos para registo, priorização, análise de impactos no negócio, classificação, actualização, escalamento, resolução e fecho formal para todos os incidentes8.2 Problem Mgmt: Devem existir procedimentos para identificar, minimizar ou mitigar o impacto dos incidentes e problemas. Devem definir a forma de registo, classificação, actualização, escalamento, resolução e fecho de todos os problemas.

9.1 Configuration Mgmt: Deve existir uma política onde está definida a gestão da base de dados (CMBD) dos elementos da configuração e dos seus componentes. Devem existir procedimentos de auditoria que verifique periodicamente falhas de registo nesta base de dados, e respectivas acções correctivas com o respectivo reporte dos resultados.9.2 Change Mgmt: As alterações aos serviços e infra-estruturas devem ter um âmbito bem definido e documentado.10.1 Release Mgmt: A política de entrega do serviço deve declarar qual a

Documentos (continuação)

10.1 Release Mgmt: A política de entrega do serviço deve declarar qual a frequência e o tipo de entregas que devem ser documentadas e acordadas com os Clientes.

3.2 Documentation Requirements: O fornecedor de serviço deve evidenciar registos que assegure um efectivo planeamento, operação e controlo da sua gestão de serviços.7.1 Business Relationship Mgmt: Devem ser documentadas as reuniões entre o fornecedor de serviço e os Clientes.4.3 Monitoring, Measuring and Reviewing: Devem ser registados os objectivos da revisão do sistema, das auditorias, bem como as constatações e respectivas

Registos

da revisão do sistema, das auditorias, bem como as constatações e respectivas acções desencadeadas.4.4 Continual Improvements: Todas as melhorias devem ser verificadas, registadas, priorizadas e autorizadas.6.1 Service Level Mgmt: Devem ser definidos, acordados, registados e geridos todos os níveis de serviço.Devem existir registos para todos os serviços, dos níveis de serviço e características de volumes de carga acordados entre as partes envolvidas.

6.3 Availability and Service Continuity Management: A disponibilidade deve ser medida e registada. Todos os testes de continuidade devem ser registados e as para falhas detectadas devem ser evidenciados planos de acção.6.6 Info Security Mgmt: Todos os incidentes de segurança devem ser reportados e registados de acordo com o procedimento de gestão de incidentes.7.1 Business Relationship Mgmt: Todas as reclamações relacionadas com os serviços devem ser registadas, investigadas, tomadas acções em conformidade,

Registos (continuação)

serviços devem ser registadas, investigadas, tomadas acções em conformidade, reportadas e formalmente encerradas.Devem existir um processo de avaliação de satisfação do Cliente. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.7.2 Supplier Mgmt: O desempenho em relação aos objectivos dos níveis de serviço deve ser monitorizado e avaliado. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.8.1 Incident Mgmt: Todos os incidentes devem ser registados.

8.2 Problem Mgmt: Todos os problemas devem ser registados.A gestão de problemas é responsável por garantir a actualização da informação relativa aos erros conhecidos e problemas resolvidos, e que está disponível para a gestão de incidentes. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.9.1 Config Mgmt: Deve existir uma política de gestão da configuração. A informação a ser registada para cada elemento da base de dados deve estar definida e deve incluir as relações e documentação necessária para uma gestão

Registos (continuação)

definida e deve incluir as relações e documentação necessária para uma gestão eficaz do serviço.Todos os elementos da configuração devem ser identificados univocamente e registados na CMDB, cuja actualização deve ser controlada de forma muito restrita.9.2 Change Mgmt: Todos os pedidos de alteração devem ser registados e classificados (ex: urgente, maior, menor ,etc.)Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.10.1 Release Mgmt: Os planos devem registar as datas e objectos de entrega, e ter referências relacionadas com pedidos de alteração, erros conhecidos e problemas. Estas últimas devem ser comunicadas á gestão de incidentes.

30

Metodologias de auditoria

PROCESSO DE CERTIFICAÇÃO

• Candidatura / Pedido de Certificação• Instrução de processo• Visita prévia (opcional)• Auditoria de Concessão (realizada em duas fases: 1ª e 2ª fase)• Auditoria de Concessão (realizada em duas fases: 1ª e 2ª fase)• Plano de Acções Correctivas• Decisão de Certificação• Manutenção da Certificação• Auditoria de acompanhamento (anual)• Auditoria de renovação (findo os três anos de validade do

certificado)

qDocumentação do SGSTI requerida:

• Política de gestão dos serviços de Tecnologias de Informação

• Os objectivos e requisitos que a Organização pretende atingir

PEDIDO DE CERTIFICAÇÃO

• Os objectivos e requisitos que a Organização pretende atingir

• Descrição dos processos identificados pela Organização e a sua interacção

• Procedimento para o tratamento de reclamações

• Contratos (service level agreement (SLA’s))

QUESTIONÁRIO DE CANDIDATURA

• Âmbito de certificação• Identificação das actividades que sejam subcontratadas,

incluídas no respectivo âmbito de certificação, e quais os fornecedores desses serviços adquiridos.fornecedores desses serviços adquiridos.

• Identificação dos clientes da organização, por cada serviço disponibilizado e incluído no âmbito de certificação.

• Identificação das aplicações informáticas que suportam o sistema.

• A definição do âmbito de certificação pode ser complexa

• Na definição do âmbito, duas questões se colocam:

INSTRUÇÃO DO PROCESSO

– O fornecedor de serviço (service provider) TI é elegível à certificação de acordocom a ISO/IEC 20000-1?

– Se o fornecedor de serviços é elegível, qual o âmbito dos processos a seremauditados?

• Os sistemas a auditar devem já estar implementados à pelo menos 3 meses antes da auditoria de concessão de forma a fornecer evidências

• Para a definição da duração deve ser considerado o númeronúmerodede colaboradorescolaboradores afectosafectos àsàs TI’sTI’s, ou seja, os indivíduos cujasactividades de trabalho sustentam ou suportam todos osprocessos, actividades, instalações ou locais incluídos no

DURAÇÃO DAS AUDITORIAS

processos, actividades, instalações ou locais incluídos noâmbito de certificação, necessários à disponibilização doserviço de TI’s.

• Tal significa que os trabalhadores subcontratados a outrasempresas devem ser incluídos no número utilizado para adefinição da duração da auditoria quando se incluam nodefinido anteriormente.

Número de colaboradores afectos às TI

Duração da Auditoria de Concessão

(dia/auditor)

Duração do Acompanhamento

(dia/auditor)

1-25 3 1

26-45 4 1 ou 2

46-65 5 2

66-85 6 2

DURAÇÃO DAS AUDITORIAS

66-85 6 2

86-125 7 2 ou 3

126-175 8 3

176-275 9 3

276-425 10 3 ou 4

• As durações para as auditorias de acompanhamento e renovações sãoestabelecidas do seguinte modo:

–– AuditoriasAuditorias dede acompanhamentoacompanhamento:: o tempo de auditoria necessário para cadaauditoria é no mínimo 33% do tempo previsto para a auditoria de concessão(duração total);

DURAÇÃO DAS AUDITORIAS

(duração total);

–– AuditoriasAuditorias dede renovaçãorenovação:: no mínimo 66% da duração da auditoria deconcessão (duração total).

• As auditorias de seguimento são dimensionadas caso a caso em função donúmero de constatações cujo encerramento será verificado.

• A auditoria de concessão deve ser realizada em duas fases (1ªe 2ª fase), devendo a duração da auditoria ser repartida pelasduas fases de acordo com as seguintes instruções:

– A auditoria de 1ª fase não deve exceder 30% da duração total;

AUDITORIA DE CONCESSÃO

– A auditoria de 1ª fase não deve exceder 30% da duração total;

– Podem ser consideradas outras distribuições, no entanto, a duração da2ª fase deve ser maior ou igual à da 1ª fase.

METODOLOGIAS DE AUDITORIA

• As metodologias para a realização de auditorias de acordo com o referencial ISO/IEC 20000-1 seguem o preconizado pela ISO 19011 e os critérios de auditoria da APCER

ENVIO DO PAC

• A Organização elabora, em resposta ao Relatório de Auditoria, um plano de acções correctivas, a ser remetido à APCER no prazo de 30 dias após a conclusão da auditoria, identificando para cada Não Conformidade (NC) ou Não Conformidade Maior (NCM) a análise de causas, a correcção e a acção correctiva realizada ou planeada, o prazo definido e o correctiva realizada ou planeada, o prazo definido e o responsável pela mesma.

• Quando no Relatório de Auditoria é solicitado o esclarecimento de uma área sensível (AS), a Organização deve igualmente apresentar a análise de causas, a correcção e a acção correctiva realizada ou planeada, o prazo definido e o responsável pela mesma.

DECISÃO DE CERTIFICAÇÃO

•• CONCESSÕESCONCESSÕES As acções correctivas às NC e NCM devem ser implementadas pela Organização no prazo de 6 meses, a contar do último dia da auditoria. Em situações excepcionais, a Organização pode propor outro prazo, apresentando a a Organização pode propor outro prazo, apresentando a justificação à APCER, a quem compete a análise e a decisão sobre a sua aceitação.

• A Organização deve remeter à APCER as evidências da implementação das correcções e acções correctivas das NCM.

MANUTENÇÃO

•• ACOMPANHAMENTOSACOMPANHAMENTOS prazo de implementação das acções correctivas a eventuais NC ou NCM é de quatro meses a contar do último dia da auditoria.

43

Sumário

Existem vantagens em já ter um sistema baseado na Existem vantagens em já ter um sistema baseado na ISO 9001

Poderão existir ganhos efectivos na melhoria da prestação dos serviços

Para novas organizações a adopção do modelo de processos da ISO/IEC 20000, poderá ajudar a estruturar melhor o sistema de gestão da qualidade

45

Questões?!