Introdução a iso 9001 iso 20000 e iso 27001

40
Introdução a ISO 9001, 20000 e 27001 Normas, padrões e certificações de qualidade em TI Normas, padrões e certificações de qualidade em TI Normas, padrões e certificações de qualidade em TI UNIJORGE Normas, padrões e certificações de qualidade em TI UNIJORGE 1 Por Fernando Palma e 27001 Professor Fernando Palma ([email protected] ) (71) 8837-0007 http://portalgsti.com.br

description

Introdução ás normas ISO 9001, ISO 20000 e ISO 27001 / 27002.

Transcript of Introdução a iso 9001 iso 20000 e iso 27001

Page 1: Introdução a iso 9001 iso 20000 e iso 27001

Introdução a ISO 9001, 20000

e 27001

Normas, padrões e certificações de qualidade em TINormas, padrões e certificações de qualidade em TI

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 1

Por Fernando Palma

e 27001

Professor Fernando Palma([email protected])

(71) 8837-0007http://portalgsti.com.br

Page 2: Introdução a iso 9001 iso 20000 e iso 27001

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 2

● ISO 20000

● ISO 27001 / 27002

● Implementação

Page 3: Introdução a iso 9001 iso 20000 e iso 27001

IntroduçãoIntrodução

�ISO – “International Organization for Standardization” OrganizaçaoInternacional de Padronização

�Sediada na Suíça.

�O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 3

�Cerca de 157 países integram a organização ISO

�Todos membros são entidades normativas de âmbito nacional.

�No Brasil: ABNT - Associação de normas Técnicas

Page 4: Introdução a iso 9001 iso 20000 e iso 27001

IntroduçãoIntrodução

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 4

Page 5: Introdução a iso 9001 iso 20000 e iso 27001

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 5

● ISO 20000

● ISO 27001 / 27002

● Implementação

Page 6: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9000ISO 9000�

�As normas ISO série 9000 são constituídas por 3 normas destinadas a Gestão da Qualidade e Qualidade Assegurada a produtos entregues e serviços prestados

�ISO 9000 -Terminologia e vocabulário�ISO 9001- Especificação de um sistema para a gestão da qualidade�ISO 9004- Guia metodológico para dar suporte para a implementação

�O objetivo destas normas é o de complementar os requisitos dos produtos e �serviços prestados pela empresa que pretende implementar o seu padrão de

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 6

�serviços prestados pela empresa que pretende implementar o seu padrão de qualidade e tornar-se mais competitiva

�Sistema da normalização ISO 9000 refere-se a quais elementos para a Gestão da Qualidade devem ser implementados e não a técnicas e métodos para alcançá-los.

�São Normas Genéricas que podem ser utilizadas para qualquer mercado.

�No Brasil, as a Série ISO 9000 é traduzida pela ABNT.

Page 7: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9000: 2005 Fundamentos e VocabulárioISO 9000: 2005 Fundamentos e Vocabulário

Os 08 Princípios da Gestão do Sistema de Qualidade

� Foco no cliente� Liderança sobre objetivos comuns� Envolvimento de todos� Considerar o impacto de decisões em outros processos

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 7

� Considerar o impacto de decisões em outros processos� Abordagem de processos� Melhoria Contínua� Decisão baseada em fatos (dados)� Benefícios mútuos na relação com fornecedores (parceria)

Page 8: Introdução a iso 9001 iso 20000 e iso 27001

� Qualidade: grau no qual um conjunto de características inerente satisfaz a requisitos.

� Requisito: necessidade ou expectativa que é expressa geralmente de forma implícita ou obrigatória.

� Satisfação do cliente: percepção do cliente do grau no qual seus requisitos foram atendidos.

� Sistema de gestão: o sistema para estabelecer políticas e objetivos, e como atingir estes objetivos.

ISO 9000: 2005 Fundamentos e VocabulárioISO 9000: 2005 Fundamentos e Vocabulário

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 8

objetivos.

� Sistema de gestão da qualidade: sistema de gestão para dirigir e controlar uma organização,no que diz respeito a qualidade.

� Política da qualidade: intenções e diretrizes de uma organização, relativas à qualidade, formalmente expressas pela alta direção.

� Objetivo da qualidade: aquilo que é buscado ou almejado.

Page 9: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9000: 2005 Fundamentos e VocabulárioISO 9000: 2005 Fundamentos e Vocabulário

� Gestão: atividades coordenadas para dirigir e controlar uma organização.

� Alta Direção: pessoa ou grupo de pessoas que dirige e controla umaorganização no mais alto nível.

� Gestão da qualidade: atividades coordenadas para dirigir e controlar umaorganização no que diz respeito à qualidade.

� Planejamento da qualidade: parte da gestão da qualidade focada noestabelecimento dos objetivos da qualidade e que especifica os recursos e

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 9

estabelecimento dos objetivos da qualidade e que especifica os recursos eprocessos operacionais necessários para atender a estes objetivos.

� Controle da qualidade: parte da gestão da qualidade focada no atendimentodos requisitos da qualidade.

� Garantia da qualidade: parte da gestão da qualidade focada em proverconfiança de que os requisitos da qualidade serão atendidos.

�Melhoria contínua: atividade recorrente para aumentar a capacidade ematender os requisitos.

Page 10: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

Estrutura da Norma

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 10

Page 11: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

0 - Introdução1 - Escopo2 - Referência Normativa3 - Termos e Definições4 - Sistema de Gestão da Qualidade

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 11

4 - Sistema de Gestão da Qualidade5 - Responsabilidade da Direção6 - Gestão de Recursos7 - Realização do Produto8 - Medição, Análise e Melhoria

Page 12: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

0 – Introdução

0.1.Generalidade- Influências do SGQ

0.2.Abordagem de Processo

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 12

0.2.Abordagem de Processo0.3.Relação com a ISO 90040.4.Compatibilidade com outros sistemas de gestão

Page 13: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

1 – Escopo (objetivos da Norma)

1.1.Generalidades1.2.Aplicação (qualquer emrpesa, qualquertamanho, qualquer produto/serviço)

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 13

tamanho, qualquer produto/serviço)

2 – Referência Normativa

NBR ISO 9000:2005 – Ultima revisão da Norma

Page 14: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

3 – Termos e Definições

Para efeitos da ISO 9001 aplicam-se os termos e definições da ISO 9000.

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 14

4 – Sistema de Gestão da Qualidade

4.1.Requisitos Iniciais- Critérios e métodos de execução- Como monitorar, medir- Como melhorar continuamente

Page 15: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

4 – Sistema de Gestão da Qualidade

4.2. Requisitos da documentação

4.2.1. GereralidadesO que deve conter na documentação do SGQ

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 15

O que deve conter na documentação do SGQ

Política e objetivospara a qualidade

Manual do SGQ Procedimentos e registros (exigidos

pela norma)

documentadosOutros documentos e registros necessários, determinados pela

organização

Page 16: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

4 – Sistema de Gestão da Qualidade

4.2.2 Manual da QualidadeA organização deve estabelecer e manter um Manual da Qualidade que inclua:

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 16

�Identificação do escopo do SGQ (abrangência do SGQ na organização)

�Referência aos procedimentos documentados

�Descrição dos processos e suas interações

Page 17: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

4 – Sistema de Gestão da Qualidade

4.2.3 Controle de documentosDeve existir um procedimento documentado para:

�Aprovar documentos antes do uso

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 17

�Aprovar documentos antes do uso�Analisar, atualizar e re-aprovar quando necessário�Identificar cada documento�Identificar alterações e revisões�Disponibilicar os documentos

Page 18: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

4 – Sistema de Gestão da Qualidade

4.2.4 Controle de registrosRegistros estabelecidos para prover evidência do SGQ devem ser controlados, e um procedimento documentado deve definir:

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 18

documentado deve definir:

Como são identificados, protegidos, armazenados, recuperados, retenção e descarte.

Exemplo de registro: formulário de avaliação de indice de satisfaçãodo cliente.

Page 19: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

5 – Responsabilidades da Direção

A alta direção deve fornecer evidência do seu comprometimento com odesenvolvimento e com a implementação do SGQ e com a melhoria contínuade sua eficácia, mediante:

�Comunicar à organização a importância de atender os requisitos dos clientes,

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 19

�Comunicar à organização a importância de atender os requisitos dos clientes,regulamentares e estatutários

�Estabelecer a política da qualidade

�Garantir o estabelecimento dos objetivos da qualidade

�Conduzir análises críticas e garantir a disponibilidade de recursos

�A direção deve eleger um representante

Page 20: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

6 – Gestão de recursos

A organização deve prover recursos para implementar e manter o SGQ, melhorando continuamente sua eficácia e aumentando a satisfação dos clientes mediante o atendimento de seus requisitos.

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 20

Envolve:� Recursos Humanos� Treinamentos� Infra-estrutura� Conscientização� Garantia de que recursos humanos possuem habilidades e experiências mínimas

Page 21: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

7 – Realização do Produto

� 7.1 - Planejamento para realização do produto� 7.2.1. Determinação dos requisitos� 7.2.2. Análise crítica dos requisitos� 7.2.3. Comunicação com o cliente

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 21

� 7.2.3. Comunicação com o cliente� 7.3.Controle do Projeto de Desenvolvimento�7.4. Aquisição� 7.5. Produção e fornecimento do serviço (construção, tarnsição, validação, pripriedade do cliente, entre outros)� 7.6. Controle de equipamentos de medição e monitoramento

Page 22: Introdução a iso 9001 iso 20000 e iso 27001

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

8 – Medição, análise e melhoria

A organização deve planejar e implementar processos de monitoramento, medição, análise e melhoria para:

�Demonstrar a conformidade aos requisitos do produto

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 22

�Demonstrar a conformidade aos requisitos do produto� �Assegurar a conformidade do SGQ �Melhorar continuamente a eficácia do SGQ

Page 23: Introdução a iso 9001 iso 20000 e iso 27001

Verdadeiro ou Falso?Verdadeiro ou Falso?

1. ( ) As normas ISO série 9000 são constituídas por 4 normas

2. ( ) A ISO 20.000 define requisitos para um sistema de gestão de Serviços da Tecnologia da Informação

3. ( ) Um dos oito principios da Gestão do Sistema de Qualidade é o Foco no Cliente

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 23

Qualidade é o Foco no Cliente

4. ( ) Entre os profissionais que cuidam do controle e aplicaçãodo SGQ, deve existir um representante da direção

5. ( ) Determinação dos requisitos, Análise crítica dos requisitos e Comunicação com o cliente são intens da clasula da norma “6- Gestão dos recursos”.

Page 24: Introdução a iso 9001 iso 20000 e iso 27001

Verdadeiro ou Falso?Verdadeiro ou Falso?

1. ( F ) As normas ISO série 9000 são constituídas por 4 normas. São 3 normas

2. ( V ) A ISO 20.000 define requisitos para um sistema de gestão de Serviços da Tecnologia da Informação

3. ( V ) Um dos oito principios da Gestão do Sistema de Qualidade é o Foco no Cliente

4. ( V ) Entre os profissionais que cuidam do controle e

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 24

4. ( V ) Entre os profissionais que cuidam do controle e aplicação do SGQ, deve existir um representante da direção

5. ( F ) Determinação dos requisitos, Análise crítica dos requisitos e Comunicação com o cliente são intens da clasula da norma “6- Gestão dos recursos”. Perterncem a

cláusula “7-realização do produto”

Page 25: Introdução a iso 9001 iso 20000 e iso 27001

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 25

● ISO 20000

● ISO 27001 / 27002

● Implementação

Page 26: Introdução a iso 9001 iso 20000 e iso 27001

ISO 20000ISO 20000�

� Promove a adoção de um processo integrado para entregar serviços de TI que satisfaçam os requisitos do negócio e do cliente

� Introduz uma cultura de serviços

� É baseada em processos

� Ajuda as organizações a gerar receita ou a ter um custo efetivo via um gerenciamento de serviço profissional

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 26

gerenciamento de serviço profissional

� Ajuda os provedores de serviços a determinar uma conformidade com as melhores práticas.

� Fornece suporte para provedores de Tecnologia que querem elevar seu nível de maturidade para provedor de serviço e parceiro estratégico

� Melhora a confiabilidade e disponibilidade dos sistemas

Page 27: Introdução a iso 9001 iso 20000 e iso 27001

ISO 20000 ISO 20000 -- ProcessosProcessos

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 27

Page 28: Introdução a iso 9001 iso 20000 e iso 27001

ISO 20000 ISO 20000 -- ConsideraçõesConsiderações�

� A norma apresenta ao todo 217 requisitos. Para obter a certificação, a empresa deve cumprir todos.

� A certificação não é atribuida a produtos ou serviços da empresa, mas a organização dos seus processos internos de Tecnologia da Informação

� A organização deve definir para qual escopo irá obter a certificação. Não é necessário que todos os serviços de TI sejam inclusos no escopo dos processos que

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 28

necessário que todos os serviços de TI sejam inclusos no escopo dos processos queserão certificados.

� A norma é dividida em duas partes:�Parte 01 – Especificação para o gerenciamento de serviços de TI (contémtodos os requisitos)�Parte 02 - Código de Prática para o Gerenciamento de serviços de TI (auxilia e orienta as organizações a se preparem para a certificação)

Page 29: Introdução a iso 9001 iso 20000 e iso 27001

ISO 20000 ISO 20000 -- RelacionamentosRelacionamentos

ISO 20000 ISO 27001

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 29

ISO 9001

Page 30: Introdução a iso 9001 iso 20000 e iso 27001

• Prefácio• Introdução1. Escopo2. Termos e definições3. Requisitos para um sistema de gerenciamento4. Planejando e Implementando um gerenciamento de serviço5. Planejando e implementando serviços novos ou alterados

ISO 20000 ISO 20000 –– Apresentação da NormaApresentação da Norma

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 30

5. Planejando e implementando serviços novos ou alterados6. Processos de Entrega de serviço7. Processos de Relacionamento8. Processos de Resolução9. Processos de controle10. Processo de Liberação• Bibliografia

Page 31: Introdução a iso 9001 iso 20000 e iso 27001

Verdadeiro ou Falso?Verdadeiro ou Falso?

1. ( ) A Norma da ISO 2000 possui 217 requisitos, dos quais apenas 185 são obrigatórios

2. ( ) A Norma da ISO 20000 é mais abrangente do que a Norma ISO 9001.

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 31

Page 32: Introdução a iso 9001 iso 20000 e iso 27001

Verdadeiro ou Falso?Verdadeiro ou Falso?

1. ( F ) A Norma da ISO 2000 possui 217 requisitos, dos quais apenas 185 são obrigatórios todos são obrigatórios

2. ( F ) A Norma da ISO 20000 é mais abrangente do que a Norma ISO 9001. A Norma ISO 20000 é específica para

certificar processos relacionados a Gestão da Tecnologia da

Informação. Portanto, pode ser considerada menos

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 32

Informação. Portanto, pode ser considerada menos

abrangente.

Page 33: Introdução a iso 9001 iso 20000 e iso 27001

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 33

● ISO 20000

● ISO 27001 / 27002

● Implementação

Page 34: Introdução a iso 9001 iso 20000 e iso 27001

ISO 27001ISO 27001�

� Prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI.

� O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização.

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 34

organização.

� O escopo da Norma náo é distribuido em processos, como a ISO 20.000. Em vez disso, a norma define requisitos a serem auditados.

Page 35: Introdução a iso 9001 iso 20000 e iso 27001

0 – Introdução1 – Objetivo2 – Referência normativa3 – Termos e definições4 – Sistema de gestão de segurança da informação5 – Responsabilidade da direção

ISO 27001 ISO 27001 –– apresentação da normaapresentação da norma

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 35

5 – Responsabilidade da direção6 – Auditorias internas do SGSI7 – Análise crítica do SGSI pela direção8 – Melhoria do SGSI

Page 36: Introdução a iso 9001 iso 20000 e iso 27001

ISO 27002ISO 27002�

� Códigos de Prática para a gestão da Segurança da Informação

� Consiste em 11 Capítulos com 39 Objetivos de Controle e 133 controles

� Baseada nas melhores práticas para a segurança da Informação

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 36

Page 37: Introdução a iso 9001 iso 20000 e iso 27001

Verdadeiro ou Falso?Verdadeiro ou Falso?

1. ( ) A Norma ISO 27002 prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI.

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 37

Page 38: Introdução a iso 9001 iso 20000 e iso 27001

Verdadeiro ou Falso?Verdadeiro ou Falso?

1. ( F ) A Norma ISO 27002 prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. Este é o objetivo da Norma ISO 27001

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 38

Page 39: Introdução a iso 9001 iso 20000 e iso 27001

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 39

● ISO 20000

● ISO 27001 / 27002

● Implementação

Page 40: Introdução a iso 9001 iso 20000 e iso 27001

Fim do Módulo 01Fim do Módulo 01

Dúvidas?Dúvidas?Dúvidas?Dúvidas?

[email protected]@gmail.com(71) 8837(71) 8837--00070007

http://www.portalgsti.com.br