PERGUNTAS MAIS FREQUENTES CERTIFICAO NBR ISO/IEC 27001

Atravs da vasta experincia, adquirida ao longo dos ltimos anos, atuando em Certificaes de
Sistemas de Gesto, a Fundao Vanzolini vem catalogando as principais dvidas dos clientes
relacionadas s respectivas normas, suas caractersticas e o processo de certificao.
Esperamos que a lista abaixo possa elucidar suas dvidas.

1. O que segurana da informao?

Segundo a norma NBR ISO/IEC 17799:2005, segurana da informao a proteo da
informao contra vrios tipos de ameaas de forma a assegurar a continuidade do negcio,
minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades
de negcios. Ainda segundo a NBR ISO/IEC 17799:2005 a segurana da informao
caracterizada pela preservao dos trs atributos bsicos da informao: confidencialidade,
integridade e disponibilidade.
2. O que a NBR ISO IEC 27001:2006?
a norma de certificao para Sistemas de Gesto da Segurana da Informao, editada em
portugus em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para
prover um modelo para o estabelecimento, implementao, operao, monitoramento, reviso,
manuteno e melhoria de um Sistema de Gesto de Segurana da Informao.
A NBR ISO IEC 27001 e NBR ISO IEC 17799 foram o par consistente de normas relativas a
Sistema de Gesto de Segurana da Informao.
3. O que NBR ISO/IEC 17799?
A A NBR ISO/IEC 17799 a verso brasileira da norma ISO homologada pela ABNT, a verso
vlida de 2005. o Cdigo de Prtica para Gesto da Segurana da Informao. Serve
como referncia para a criao e implementao de prticas de segurana reconhecidas
internacionalmente, incluindo: Polticas, Diretrizes, Procedimentos, Controles
um conjunto completo de recomendaes para: Gesto da Segurana de Informao e
Controles e prticas para a Segurana da Informao.
Ateno: a norma de certificao a NBR ISO IEC 27001:2006, a NBR ISO IEC 17799
somente uma norma de referncia contida na norma de certificao.
4. Qual a importncia que as organizaes do hoje a ISO 27001?
Todas as grandes organizaes do mundo, sejam pblicas ou privadas, j tomaram
conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas
organizaes j esto incorporando os controles das normas em suas polticas de segurana.
5. Qual a importncia da ISO 27001?
Ela permite que uma empresa construa de forma muito rpida uma poltica de segurana
baseada em controles de segurana eficientes. Os outros caminhos para se fazer o mesmo,
sem a norma, so constituir uma equipe para pesquisar o assunto ou contratar uma consultoria
para realizar essa tarefas.
6. Essas normas se aplicam a qualquer tipo de organizao?
As normas foram criadas e se adaptam bem a organizaes comerciais. Instituies de ensino,
instituies pblicas e outras assemelhadas podem ter dificuldades em implantar certos
controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial.
Apesar disso, qualquer organizao pode aproveitar grande parte dos controles da norma para
implementar segurana da informao em suas instalaes.

P.COM.34.00

Pag. 1/5

7. O que SGSI?
Sistema de Gesto de Segurana da Informao o resultado da aplicao planejada de
objetivos, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas que,
de forma conjunta, definem como so reduzidos os riscos para segurana da informao. Uma
empresa que implante a norma ISO 27001 acaba por constituir um SGSI.
8. Quais so as etapas para se constituir um SGSI?
Em primeiro lugar, deve-se definir quais so seus limites (sua abrangncia fsica, lgica e
pessoal). Depois devem ser relacionados os recursos que sero protegidos. Em seguida
relaciona-se quais so as possveis ameaas a esses recursos, quais so as vulnerveis a que
eles esto submetidos e qual seria o impacto da materizalizao dessas ameaas. Por fim,com
base nessas informaes, so priorizados os controles necessrios para garantir a segurana
desses recursos.
9. Para implantar a norma em uma empresa obrigatrio empregar todos os seus
controles?
No. Aplicam-se somente os controles para os servios, facilidades, espaos e condies
existentes na empresa. Por exemplo, se a empresa no tem acesso remoto de usurios, todos
os controles referentes a esse tipo de acesso podem ser ignorados.
10. O que a Declarao de Aplicabilidade?
um documento exigido pela NBR ISO IEC 27001 no qual a empresa tem que relacionar
quais controles do Anexo A so aplicveis e justificar os que no so aplicveis ao seu SGSI.

11. Como obter a norma NBR ISO IEC 27001?

As normas NBR ISO, assim como as de outros pases, tm direitos autorais. As normas da
srie NBR ISO devem ser adquiridas na ABNT Associao Brasileira de Normas Tcnicas.
12. Como a ISO 27001 se relaciona com as normas ISO 9000 e ISO 14000?
A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e
contedos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14000 com
objetivo de estabelecer um contnua gesto da segurana da informao.
13. O que PDCA?
PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) um mtodo de gesto que se
carateriza por um ciclo de aes que se repete continuamente de forma a incorporar alteraes
no ambiente. Nas normas de gesto acima mencionadas empregado para garantir uma
efetiva gesto da empresa.
14. Existe legislao que obrigue o uso da ISO 27001?
As leis variam de pas para pas. A rigor no existem leis que obriguem o emprego de tais
normas. No Brasil, existem recomendaes no sentido de empregar-se a norma emitidas por
entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No
Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei
Sarbanes-Oxley (que atinge subsidirias de empresas americanas de capital aberto instaladas
no Brasil), promulgada em 2002, determinam cuidados no trato das informaes que, na
prtica, obrigam as empresas a empregar a ISO 27001/ISO 17799 como uma forma de
demonstrarem que esto procurando cumprir os requisitos de segurana determinados por
essas leis.
15. O que certificao?
A certificao um documento emitido por uma entidade certificadora independente que
garante que uma dada empresa implantou corretamente todos os controles da norma
aplicveis. A certificao emitida aps uma auditoria externa para verificao da
conformidade da empresa com a norma.

P.COM.34.00

Pag. 2/5

16. Para que serve a certificao?

Ela comprova, para as empresas certificadas, que a segurana da informao est garantida
de forma efetiva, o que no significa, contudo, que a empresa esteja imune a violaes de
segurana. Alm disso, a certificao comprova, para os clientes e fornecedores da empresa,
o a preocupao que esta tem com a segurana da informao, reforando sua imagem junto
ao mercado. Dependendo da atividade da empresa, essa certificao pode ser essencial para
a realizao de certos negcios.
17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna?
Sim. Na realidade, a maior parte das empresas a emprega dessa forma, uma vez que elas
ainda no identificaram a necessidade ou a possibilidade de realizarem o processo de
certificao.
18. Qual o custo de uma certificao?
O custo depende de vrios fatores, tal como quanto tempo o responsvel pela certificao
necessita para avaliar a conformidade da empresa com relao norma, o tamanho e a
complexidade da empresa e de seus sistemas.
19. Muitas empresas j obtiveram a certificao?
At o final de 2004, mais de 2017 empresas em todo mundo receberam a certificao BS77992 a certificao NBR ISO 27001:2005 at o presente momento somente 1 empresa obteve no
mundo, e esta empresa foi no Brasil, Mdulo Security.
Informaes atualizadas podem ser obtidas no site www.xisec.com
20. Quantas e quais empresas foram certificadas no Brasil?
Cinco empresas brasileiras obtiveram a certificao at 2004: Mdulo Security, Banco Matone,
Serasa, Samarco Minerao e Unisys. Sendo que a Mdulo j fez a transio para a NBR ISO
IEC 27001. Informaes atualizadas sobre empresas certificadas no Brasil e no mundo podem
ser obtidas no site www.xisec.com.
21. Quem concede o certificado?
Os certificados so emitidos por entidades certificadoras acreditadas por rgos de
credenciamento nacionais ou internacionais aps realizao de auditorias.
22. Como so feitas estas auditorias?
A auditoria do Sistema de Gesto da Segurana da Informao dividida em 2 etapas:
Auditoria de Documentao, conhecida como Fase 1 e Auditoria de Certificao, conhecida
como Fase 2. Podendo existir tambm a Pr-Auditoria, esta por sua vez opcional.
23. O que Auditoria de Documentao?
Em razo do tema abordado esta norma envolve documentos e informaes, muitas vezes,
confidenciais, desta forma, fazem-se necessrio uma anlise prvia destes nas instalaes da
prpria empresa visando verificao de sua adequao e a segurana dos dados.
A Auditoria de Documentao o primeiro contato com a equipe auditora.
24. Qual a diferena entre a Auditoria de Documentao e a Pr-auditoria?
A Auditoria de Documentao tem como foco a seguinte documentao: Declarao de
Aplicabilidade, Relatrio de Avaliao de Riscos e Anlise Crtica pela Direo entre outros
possveis documentos associados a estes, conforme aplicvel. Esta anlise no contempla
procedimentos e prticas especficos, uma vez que estes so objeto da Pr-auditoria, que tem
por objetivo a anlise crtica da adequao do sistema norma.
25. Pr-auditoria o mesmo que Auditoria de Pr-certificao?
Sim. Os dois termos so usados e reconhecidos pelo mercado para identificar um mesmo tipo
de auditoria.

P.COM.34.00

Pag. 3/5

26. Quando devo solicitar a Pr-auditoria?

Aps a implantao do Sistema de Gesto da Segurana da Informao e aps ter realizado
pelo menos um ciclo de auditoria interna e pelo menos uma anlise crtica pela direo a
empresa pode solicitar a realizao da Pr-auditoria para verificar o nvel de adequao
norma em questo.
27. Minha empresa j possui a certificao pela norma anterior. Tambm posso solicitar
uma Pr-auditoria segundo a nova verso?
As empresas j certificadas podem solicitar a realizao da Pr-auditoria para verificar o nvel
de adequao norma em questo, aps a adequao do Sistema de Gesto da Segurana
da Informao e aps ter realizado pelo menos um ciclo de auditoria interna . A FCAV
recomenda que tenha tambm pelo menos uma anlise crtica do sistema j com a nova
estrutura.
28. Para que serve a Pr-auditoria?
A Pr-auditoria tem como principal objetivo a deteco de eventuais problemas conceituais que
possam vir a ser despercebidos pela empresa em processo de certificao. Seria um exemplo
de problema conceitual, a no aplicao de um requisito ou controle que influencie na
Segurana da Informao da empresa. Isto pode ocorrer em razo de uma incorreta
interpretao da norma para o negcio da empresa e/ou escopo considerado(s). No entanto,
nestes casos a certificao no pode ser recomendada, causando transtornos para a empresa
e uma certa decepo para todos os envolvidos.
A fim de reduzir os riscos de no certificao por problemas de adequao, os organismos
certificadores em todo o mundo passaram a realizar anlises prvias, estas anlises prvias
so chamadas de pr-auditoria.
29. Como feita a pr-auditoria?
A Pr-auditoria realizada nas instalaes da empresa e segue os mesmos passos da
Auditoria de Certificao: Reunio de Abertura, investigao, relato das no-conformidades e
reunio de encerramento. Geralmente a equipe auditora da Pr-auditoria ser a mesma da
Anlise Documental e da Auditoria de Certificao.
So verificados os procedimentos e a documentao em relao sua adequao norma de
referncia. O tempo dimensionado para esta auditoria, normalmente no permite que a equipe
auditora tenha tempo para verificar se as prticas descritas na documentao esto
adequadamente implementadas isto o que chamamos de auditoria de conformidade, que
ser realizada durante a Auditoria de Certificao (Inicial) e nas Auditorias de Manuteno
(Anuais ou semestrais).
30. No meu oramento consta uma Pr-auditoria de um dia. Posso solicitar mais um ou
dois dias?
Sim. A carga horria definida no oramento mnima para checar todos os itens da norma. No
entanto, caso a empresa deseje uma anlise mais aprofundada, a carga horria poder ser
aumentada sem problema algum. Haver um aumento proporcional no preo do evento.
31. Posso pular a Pr-auditoria e ir direto para a Auditoria de Certificao?
Sim. Tomando-se como base a experincia adquirida ao longo do tempo em certificaes de
sistemas de gesto, a FCAV recomenda fortemente a realizao da Pr-auditoria, no entanto,
se a empresa tem muita segurana na adequao e conformidade do seu sistema de gesto
no h problema algum em ir direto para a Auditoria de Certificao.
32. Se o auditor no encontrar problemas na Pr-auditoria posso j receber o
certificado?
No. A Pr-auditoria tem objetivo distinto da Auditoria de Certificao. A Pr-auditoria verifica a
adequao do sistema, no colhendo evidncias suficientes de que as prticas refletem o

P.COM.34.00

Pag. 4/5

planejamento contido nos procedimentos. A verificao da implementao feita na Auditoria

de Certificao que no pode ser dispensada em nenhum caso.
33. Qual o prazo entre a Auditoria de Documentao e as Auditorias de Prcertificao, Certificao e Manuteno?
Com exceo s Auditorias de Manuteno, que devem ocorrer no mnimo anualmente, no h
um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser
discutidos e acordados, conforme as necessidades de cada empresa. No entanto, a FCAV
recomenda que a Auditoria de Documentao ocorra pelo menos 30 dias antes da Auditoria
de Certificao e, caso seja solicitada, 30 dias antes da Pr-auditoria.
34. Quem faz parte da equipe auditora?
Normalmente, a equipe auditora formada por um ou dois auditores com experincia em
auditoria e conhecimentos do segmento de negcio da empresa. Por se tratar de uma norma
especfica, as auditorias do Sistema de Gesto de Segurana da Informao devem contar
sempre auditores que detenham conhecimentos tcnicos suficientes para compreender a
linguagem dos auditados.
35. A FCAV mantm cursos sobre esta norma?
A FCAV mantm cursos abertos e in company para implementao do Sistema de Gesto da
Segurana da Informao, formao de Auditores Internos do SGSI e formao de Auditores
Lderes NBR ISO/IEC 27001.
36. No caso de dvidas, a quem devo consultar?
Caso algumas dvidas ainda permaneam ou no tenham sido abordadas acima, no hesite
em nos contatar pelo telefone (11) 3836-6566 ramais 103 ou 105.
Consulte tambm nossa home page: www.vanzolini.org.br

P.COM.34.00

Pag. 5/5