introdução a iso 9001 iso 20000 e iso 27001

Introdução a ISO 9001, 20000

e 27001

Normas, padrões e certificações de qualidade em TINormas, padrões e certificações de qualidade em TI

Normas, padrões e certificações de qualidade em TI UNIJORGENormas, padrões e certificações de qualidade em TI UNIJORGE 1

Por Fernando Palma

e 27001

Professor Fernando Palma([email protected])

(71) 8837-0007http://portalgsti.com.br

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000


● ISO 20000

● ISO 27001 / 27002

● Implementação

IntroduçãoIntrodução

�ISO – “International Organization for Standardization” OrganizaçaoInternacional de Padronização

�Sediada na Suíça.

�O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo.


�Cerca de 157 países integram a organização ISO

�Todos membros são entidades normativas de âmbito nacional.

�No Brasil: ABNT - Associação de normas Técnicas

IntroduçãoIntrodução


AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000


● ISO 20000

● ISO 27001 / 27002

● Implementação

ISO 9000ISO 9000�

�As normas ISO série 9000 são constituídas por 3 normas destinadas a Gestão da Qualidade e Qualidade Assegurada a produtos entregues e serviços prestados

�ISO 9000 -Terminologia e vocabulário�ISO 9001- Especificação de um sistema para a gestão da qualidade�ISO 9004- Guia metodológico para dar suporte para a implementação

�O objetivo destas normas é o de complementar os requisitos dos produtos e �serviços prestados pela empresa que pretende implementar o seu padrão de


�serviços prestados pela empresa que pretende implementar o seu padrão de qualidade e tornar-se mais competitiva

�Sistema da normalização ISO 9000 refere-se a quais elementos para a Gestão da Qualidade devem ser implementados e não a técnicas e métodos para alcançá-los.

�São Normas Genéricas que podem ser utilizadas para qualquer mercado.

�No Brasil, as a Série ISO 9000 é traduzida pela ABNT.

ISO 9000: 2005 Fundamentos e VocabulárioISO 9000: 2005 Fundamentos e Vocabulário

Os 08 Princípios da Gestão do Sistema de Qualidade

� Foco no cliente� Liderança sobre objetivos comuns� Envolvimento de todos� Considerar o impacto de decisões em outros processos


� Considerar o impacto de decisões em outros processos� Abordagem de processos� Melhoria Contínua� Decisão baseada em fatos (dados)� Benefícios mútuos na relação com fornecedores (parceria)

� Qualidade: grau no qual um conjunto de características inerente satisfaz a requisitos.

� Requisito: necessidade ou expectativa que é expressa geralmente de forma implícita ou obrigatória.

� Satisfação do cliente: percepção do cliente do grau no qual seus requisitos foram atendidos.

� Sistema de gestão: o sistema para estabelecer políticas e objetivos, e como atingir estes objetivos.



objetivos.

� Sistema de gestão da qualidade: sistema de gestão para dirigir e controlar uma organização,no que diz respeito a qualidade.

� Política da qualidade: intenções e diretrizes de uma organização, relativas à qualidade, formalmente expressas pela alta direção.

� Objetivo da qualidade: aquilo que é buscado ou almejado.


� Gestão: atividades coordenadas para dirigir e controlar uma organização.

� Alta Direção: pessoa ou grupo de pessoas que dirige e controla umaorganização no mais alto nível.

� Gestão da qualidade: atividades coordenadas para dirigir e controlar umaorganização no que diz respeito à qualidade.

� Planejamento da qualidade: parte da gestão da qualidade focada noestabelecimento dos objetivos da qualidade e que especifica os recursos e


estabelecimento dos objetivos da qualidade e que especifica os recursos eprocessos operacionais necessários para atender a estes objetivos.

� Controle da qualidade: parte da gestão da qualidade focada no atendimentodos requisitos da qualidade.

� Garantia da qualidade: parte da gestão da qualidade focada em proverconfiança de que os requisitos da qualidade serão atendidos.

�Melhoria contínua: atividade recorrente para aumentar a capacidade ematender os requisitos.

ISO 9001 ISO 9001 –– Apresentação da Norma Apresentação da Norma

Estrutura da Norma



0 - Introdução1 - Escopo2 - Referência Normativa3 - Termos e Definições4 - Sistema de Gestão da Qualidade


4 - Sistema de Gestão da Qualidade5 - Responsabilidade da Direção6 - Gestão de Recursos7 - Realização do Produto8 - Medição, Análise e Melhoria


0 – Introdução

0.1.Generalidade- Influências do SGQ

0.2.Abordagem de Processo


0.2.Abordagem de Processo0.3.Relação com a ISO 90040.4.Compatibilidade com outros sistemas de gestão


1 – Escopo (objetivos da Norma)

1.1.Generalidades1.2.Aplicação (qualquer emrpesa, qualquertamanho, qualquer produto/serviço)


tamanho, qualquer produto/serviço)

2 – Referência Normativa

NBR ISO 9000:2005 – Ultima revisão da Norma


3 – Termos e Definições

Para efeitos da ISO 9001 aplicam-se os termos e definições da ISO 9000.


4 – Sistema de Gestão da Qualidade

4.1.Requisitos Iniciais- Critérios e métodos de execução- Como monitorar, medir- Como melhorar continuamente



4.2. Requisitos da documentação

4.2.1. GereralidadesO que deve conter na documentação do SGQ


O que deve conter na documentação do SGQ

Política e objetivospara a qualidade

Manual do SGQ Procedimentos e registros (exigidos

pela norma)

documentadosOutros documentos e registros necessários, determinados pela

organização



4.2.2 Manual da QualidadeA organização deve estabelecer e manter um Manual da Qualidade que inclua:


�Identificação do escopo do SGQ (abrangência do SGQ na organização)

�Referência aos procedimentos documentados

�Descrição dos processos e suas interações



4.2.3 Controle de documentosDeve existir um procedimento documentado para:

�Aprovar documentos antes do uso


�Aprovar documentos antes do uso�Analisar, atualizar e re-aprovar quando necessário�Identificar cada documento�Identificar alterações e revisões�Disponibilicar os documentos



4.2.4 Controle de registrosRegistros estabelecidos para prover evidência do SGQ devem ser controlados, e um procedimento documentado deve definir:


documentado deve definir:

Como são identificados, protegidos, armazenados, recuperados, retenção e descarte.

Exemplo de registro: formulário de avaliação de indice de satisfaçãodo cliente.


5 – Responsabilidades da Direção

A alta direção deve fornecer evidência do seu comprometimento com odesenvolvimento e com a implementação do SGQ e com a melhoria contínuade sua eficácia, mediante:

�Comunicar à organização a importância de atender os requisitos dos clientes,


�Comunicar à organização a importância de atender os requisitos dos clientes,regulamentares e estatutários

�Estabelecer a política da qualidade

�Garantir o estabelecimento dos objetivos da qualidade

�Conduzir análises críticas e garantir a disponibilidade de recursos

�A direção deve eleger um representante


6 – Gestão de recursos

A organização deve prover recursos para implementar e manter o SGQ, melhorando continuamente sua eficácia e aumentando a satisfação dos clientes mediante o atendimento de seus requisitos.


Envolve:� Recursos Humanos� Treinamentos� Infra-estrutura� Conscientização� Garantia de que recursos humanos possuem habilidades e experiências mínimas


7 – Realização do Produto

� 7.1 - Planejamento para realização do produto� 7.2.1. Determinação dos requisitos� 7.2.2. Análise crítica dos requisitos� 7.2.3. Comunicação com o cliente


� 7.2.3. Comunicação com o cliente� 7.3.Controle do Projeto de Desenvolvimento�7.4. Aquisição� 7.5. Produção e fornecimento do serviço (construção, tarnsição, validação, pripriedade do cliente, entre outros)� 7.6. Controle de equipamentos de medição e monitoramento


8 – Medição, análise e melhoria

A organização deve planejar e implementar processos de monitoramento, medição, análise e melhoria para:

�Demonstrar a conformidade aos requisitos do produto


�Demonstrar a conformidade aos requisitos do produto� �Assegurar a conformidade do SGQ �Melhorar continuamente a eficácia do SGQ

Verdadeiro ou Falso?Verdadeiro ou Falso?

1. ( ) As normas ISO série 9000 são constituídas por 4 normas

2. ( ) A ISO 20.000 define requisitos para um sistema de gestão de Serviços da Tecnologia da Informação

3. ( ) Um dos oito principios da Gestão do Sistema de Qualidade é o Foco no Cliente


Qualidade é o Foco no Cliente

4. ( ) Entre os profissionais que cuidam do controle e aplicaçãodo SGQ, deve existir um representante da direção

5. ( ) Determinação dos requisitos, Análise crítica dos requisitos e Comunicação com o cliente são intens da clasula da norma “6- Gestão dos recursos”.


1. ( F ) As normas ISO série 9000 são constituídas por 4 normas. São 3 normas

2. ( V ) A ISO 20.000 define requisitos para um sistema de gestão de Serviços da Tecnologia da Informação

3. ( V ) Um dos oito principios da Gestão do Sistema de Qualidade é o Foco no Cliente

4. ( V ) Entre os profissionais que cuidam do controle e


4. ( V ) Entre os profissionais que cuidam do controle e aplicação do SGQ, deve existir um representante da direção

5. ( F ) Determinação dos requisitos, Análise crítica dos requisitos e Comunicação com o cliente são intens da clasula da norma “6- Gestão dos recursos”. Perterncem a

cláusula “7-realização do produto”

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000


● ISO 20000

● ISO 27001 / 27002

● Implementação

ISO 20000ISO 20000�

� Promove a adoção de um processo integrado para entregar serviços de TI que satisfaçam os requisitos do negócio e do cliente

� Introduz uma cultura de serviços

� É baseada em processos

� Ajuda as organizações a gerar receita ou a ter um custo efetivo via um gerenciamento de serviço profissional


gerenciamento de serviço profissional

� Ajuda os provedores de serviços a determinar uma conformidade com as melhores práticas.

� Fornece suporte para provedores de Tecnologia que querem elevar seu nível de maturidade para provedor de serviço e parceiro estratégico

� Melhora a confiabilidade e disponibilidade dos sistemas

ISO 20000 ISO 20000 -- ProcessosProcessos


ISO 20000 ISO 20000 -- ConsideraçõesConsiderações�

� A norma apresenta ao todo 217 requisitos. Para obter a certificação, a empresa deve cumprir todos.

� A certificação não é atribuida a produtos ou serviços da empresa, mas a organização dos seus processos internos de Tecnologia da Informação

� A organização deve definir para qual escopo irá obter a certificação. Não é necessário que todos os serviços de TI sejam inclusos no escopo dos processos que


necessário que todos os serviços de TI sejam inclusos no escopo dos processos queserão certificados.

� A norma é dividida em duas partes:�Parte 01 – Especificação para o gerenciamento de serviços de TI (contémtodos os requisitos)�Parte 02 - Código de Prática para o Gerenciamento de serviços de TI (auxilia e orienta as organizações a se preparem para a certificação)

ISO 20000 ISO 20000 -- RelacionamentosRelacionamentos

ISO 20000 ISO 27001


ISO 9001

• Prefácio• Introdução1. Escopo2. Termos e definições3. Requisitos para um sistema de gerenciamento4. Planejando e Implementando um gerenciamento de serviço5. Planejando e implementando serviços novos ou alterados

ISO 20000 ISO 20000 –– Apresentação da NormaApresentação da Norma


5. Planejando e implementando serviços novos ou alterados6. Processos de Entrega de serviço7. Processos de Relacionamento8. Processos de Resolução9. Processos de controle10. Processo de Liberação• Bibliografia


1. ( ) A Norma da ISO 2000 possui 217 requisitos, dos quais apenas 185 são obrigatórios

2. ( ) A Norma da ISO 20000 é mais abrangente do que a Norma ISO 9001.



1. ( F ) A Norma da ISO 2000 possui 217 requisitos, dos quais apenas 185 são obrigatórios todos são obrigatórios

2. ( F ) A Norma da ISO 20000 é mais abrangente do que a Norma ISO 9001. A Norma ISO 20000 é específica para

certificar processos relacionados a Gestão da Tecnologia da

Informação. Portanto, pode ser considerada menos


Informação. Portanto, pode ser considerada menos

abrangente.

AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000


● ISO 20000

● ISO 27001 / 27002

● Implementação

ISO 27001ISO 27001�

� Prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI.

� O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização.


organização.

� O escopo da Norma náo é distribuido em processos, como a ISO 20.000. Em vez disso, a norma define requisitos a serem auditados.

0 – Introdução1 – Objetivo2 – Referência normativa3 – Termos e definições4 – Sistema de gestão de segurança da informação5 – Responsabilidade da direção

ISO 27001 ISO 27001 –– apresentação da normaapresentação da norma


5 – Responsabilidade da direção6 – Auditorias internas do SGSI7 – Análise crítica do SGSI pela direção8 – Melhoria do SGSI

ISO 27002ISO 27002�

� Códigos de Prática para a gestão da Segurança da Informação

� Consiste em 11 Capítulos com 39 Objetivos de Controle e 133 controles

� Baseada nas melhores práticas para a segurança da Informação



1. ( ) A Norma ISO 27002 prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI.



1. ( F ) A Norma ISO 27002 prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. Este é o objetivo da Norma ISO 27001


AgendaAgenda

● Introdução

● ISO 9000

● ISO 20000


● ISO 20000

● ISO 27001 / 27002

● Implementação

ImplementaçãoImplementação

ExecuçãoExecução

Auditoria de Auditoria de Certificação Certificação


IniciaçãoIniciação

PlanejamentoPlanejamento

ExecuçãoExecuçãoCertificação Certificação

Implementação Implementação -- iniciaçãoiniciação

�A fase inicial do projeto é normalmente realizada pela alta administração.

�Deve ser determinado quem será o coordenador do projeto

� É realizada uma avaliação da situação atual

� O coordenador do projeto deve ser um profissional que tenha trânsito dentro da organização e deve estar bem definida a sua autoridade e autonomia dentro da empresa


autonomia dentro da empresa

� É necessário que dentro da diretoria haja um responsável pelo projeto

�É boa prática que a alta administração participe de um seminário sobre a ISO 9001 e os sistemas de gestão da qualidade, e conheça os riscos de implantação e seus benefícios.

� As razões para a implantação do SGQ devem ficar claras para todos na empresa.

Perfil do coordenador

�Experiência: conhecer a norma ISO 9001 e saber como montar uma estrutura para um SGQ. Isto significa já ter trabalhado em uma implantação de�um SGQ ou em uma empresa que já tivesse um SGQ operando.

�Treinamento: é importante que o profissional tenha participado de um treinamento de auditor ISO 9001. Outros treinamentos como gestão de

Implementação Implementação -- iniciaçãoiniciação


treinamento de auditor ISO 9001. Outros treinamentos como gestão de projetos, ferramentas da qualidade são desejados.

�Habilidades: liderança, organização, entusiasmo, capacidade de trabalho, persistência, bom relacionamento pessoal, lógica, ser capaz de trabalhar em equipe, ter foco.

0 Decisão1 Planejamento2 Planejamento do treinamento na norma NBR ISO 9001 eoutros necessários para o SGQ3 Mapeamento dos processos4 Modelagem dos processos em função de adequação a ISO90015 Definição da política, dos objetivos, das metas e respectivosindicadores da qualidade

Implementação Implementação -- planejamentoplanejamento


indicadores da qualidade6 Elaboração dos documentos do sistema de gestão daqualidade7 Implementação dos requisitos planejados8 Palestras de sensibilização em relação à gestão da qualidadee outros treinamentos necessários para a operação9 Ações para certificação por terceira parte10 Realização de auditorias internas da qualidade11 Pré auditoria12 Auditoria de certificação

Um cronograma deve ser elaborado e atualizado. Devem ser documentados todos os itens de um plano de projeto tais como escopo, custos tempo, riscos, comunicação, aquisições e quais mais forem necessárias.

Implementação Implementação -- planejamentoplanejamento


Implementação Implementação -- execuçãoexecução

Treinamentos

�Devem ser ministrados por grupos. Cada grupo tem uma necessidade distinta de treinamento:

�Diretoria�Comitê da qualidade�Responsáveis pelos processos


�Responsáveis pelos processos�Demais profissionais

� Conteúdo: ISO 9001


Mapeamento e Modelagem dos processos

Critérios

� Foco no objetivo e no cliente do próximo processo� Terminologia padronizada� Uso da automação sempre que possível� Integração entre os processos� Os processos devem conter indicadores mensuráveis e objetivos


� Os processos devem conter indicadores mensuráveis e objetivos

Técnicas

� Entrevistas� Entendimento do processo em equipe: nem sempre o lider tem a noção de todo o processo. É comum que cada profissional tenha apenas uma visão de umaúnica parte dele. �Geralmente os limites de um processo são confundidos com os limites de uma função


Critérios

� Foco no objetivo e no cliente do próximo processo� Terminologia padronizada� Uso da automação sempre que possível� Integração entre os processos� Os processos devem conter indicadores mensuráveis e objetivos

Mapeamento e Modelagem dos processos


� Os processos devem conter indicadores mensuráveis e objetivos

Técnicas

� Entrevistas� Entendimento do processo em equipe� Descrição e Fluxograma


Os 10 passos para documentar um processo

Passo 01 – Identificar os objetivos do processoPasso 02 – Identificar as saídas do processoPasso 03 – Identificar os clientes do processoPasso 04 – Identificar as entradas e componentes do processoPasso 05 – Identificar os fornecedores do processo


Passo 05 – Identificar os fornecedores do processoPasso 06 – Determinar os limites do processoPasso 07 – Documentar o processo atualPasso 08 – Identificar melhorias necessárias ao processoPasso 09 – Consensar melhorias a serem aplicadas ao processoPasso 10 – Documentar o processo revisado

* É importante também identificar os papéis envolvidos


Modelagem de procesos - Problemas comuns ( durante pós

modelagem)

�Falta de controle, inspeção ou monitoramento�Falta de registro ou registros sem preenchimento�Falta de procedimento ou instrução�Sobreposição de responsabilidades: 2 profissionais se sentem


�Sobreposição de responsabilidades: 2 profissionais se sentem responsáveis pelo processo�Responsabilidades e autoridades não definidas�Geralmente os limites de um processo são confundidos com os limites de uma função


Definição da Política de Qualidade

�Deverá ser definida e documentada a política para a Qualidade, com base nos princípios da organização, servindo como referência para o estabelecimento dos objetivos e metas.� Dos objetivos e metas da organização iremos desdobrar os objetivos e metas para os processos e criar indicadores que nos auxiliem no monitoramento destes processos.


processos.

A política para a qualidade deve:

�Ser apropriada ao propósito da organização �Proporcionar estrutura para estabelecimento e análise dos objetivos da qualidade�Ser comunicada e entendida por toda a organização Ser analisada criticamente para manutenção da sua adequação


Definição da Política de Qualidade

Exemplos

Fábrica de tecidos

Desenvolver artigos têxteis para moda através de novas tecnologias e melhoria contínua da qualidade, garantindo a satisfação dos clientes.


contínua da qualidade, garantindo a satisfação dos clientes.

Clínica de exames médicos

Buscar o aperfeiçoamento contínuo nos processos e na satisfação do cliente, através do aprimoramento tecnológico e da capacitação profissional, oferecendo resultados de exames com qualidade técnica e em tempo hábil, respeitando as necessidades

do cliente.


Conscienticação e treinamentos

Palestras

Treinamento nos processos mapeados

Participaçãoo da dieração


�Orientar sobre a necessidade de preencher os �Orientar sobre a importância de seguir as instruções de trabalho�Discutir e revisar as instruções de trabalho e os procedimentos – por função / por área�Reforçar política e objetivos para a qualidade e os indicadores de desempenho

Implementação Implementação -- AuditoriaAuditoria

Auditoria Interna

�Um procedimento documentado deve definir responsabilidades, requisitos para planejamento e execução de auditorias, relato dos resultados e manutenção dos registros

�Todos os requisitos da norma devem ser auditados nos processos da

empresa em cada ciclo de auditorias internas.


empresa em cada ciclo de auditorias internas.

�Um programa de auditoria interna deve ser planejado pela equipe do projeto.

� A propria norma ISO 9001 orienta como deve ser administrada umaauditoria interna, incluindo as ações para tratamento de não conformidades

Implementação Implementação -- AuditoriaAuditoria

Auditoria Externa (pelo orgão certificador)

�A certificadora irá conhecer o sistema de gestão implantado, comparando –o com a realidade

�A certificadora deve buscar registros que comprovem as atividades descritasnos processos


�A certificadora irá solicitar um plano de ação para as não conformidades observadas.

�Normalmente a empresa terá de 15 a 30 dias para enviar o plano ação para avaliação do auditor-líder.

� Sendo certificada a empresa irá receber um certificado, normalmente em papel, que ela poderá apresentar para seus clientes demonstrando a qualidade de seu SGQ

Fim do Módulo 01Fim do Módulo 01

Dúvidas?Dúvidas?Dúvidas?Dúvidas?

[email protected]@gmail.com(71) 8837(71) 8837--00070007

http://www.portalgsti.com.br

introdução a iso 9001 iso 20000 e iso 27001

Documents