MANUAL DE COMUNICAO COM O CLIENTE NBR ISO/IEC 27001

DIRETORIA DE CERTIFICAO FUNDAO CARLOS ALBERTO VANZOLINI

Data: 08/11/12 Pgina 1 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

SUMRIO

CAP.01 Institucional da Fundao Vanzolini CAP.02 A Fundao Vanzolini muito mais que um organismo de certificao CAP.03 Atuao do departamento de certificao CAP.04 Relacionamento, contato, e-mail, processos CAP.05 Etapas do processo de certificao CAP.06 Informaes para elaborao da proposta CAP.07 Equipe auditora e dimensionamento de auditoria CAP.08 Definies: No conformidade, Preocupao e Oportunidade de Melhoria CAP.09 Perguntas e respostas mais freqentes CAP.10 Confidencialidade, imparcialidade, ausncia de conflito de interesse CAP.11 Interpretaes do CB25, ISO/TC 176 e diretrizes do IAF CAP.12 Regras para uso da marca CAP.13 Reclamao e apelao
CAP.14 Suspenso, cancelamento, reduo ou aumento de escopo, incluso ou excluso de sites.

CAP.15 Critrios para reembolso de despesas diretas

Data: 08/11/12

Pgina 2 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP.01 - INSTITUCIONAL DA FUNDAO VANZOLINI

APRESENTAO QUEM SOMOS

A Fundao Vanzolini, entidade criada em 1967, mantida e gerida pelos professores do Departamento de Engenharia de Produo da Escola Politcnica da Universidade de So Paulo (USP), uma instituio privada sem fins lucrativos que tem por objetivo a difuso de conhecimentos na rea de engenharia de produo e administrao industrial.

Dentre as atividades desenvolvidas, aquelas dedicadas rea de qualidade tm propiciado a formao de um corpo tcnico de alto nvel com estgios no exterior (Japo, Inglaterra e Estados Unidos) sempre em sistemas de gesto, projetos para a UNIDO e cooperao com a Universidade do Tennessee.

Ao longo desses anos, a instituio consolidou-se como um importante rgo de difuso da engenharia de produo, tendo, inclusive, passado a ministrar cursos de especializao para a capacitao de profissionais, em convnio com a Escola Politcnica da USP. A atuao da Fundao Vanzolini foi alm do campo da educao continuada, para tambm crescer em reas como certificao, gesto de tecnologias aplicadas educao e projetos, nas quais tornou-se um grande centro de referncia. VISO DA FUNDAO VANZOLINI A Fundao Vanzolini tem como viso o aumento da confiana das partes interessadas nos produtos/servios oferecidos e o aprimoramento contnuo dos processos internos. A Fundao Vanzolini, por meio de suas auditorias, faz uma anlise crtica do sistema de gesto verificando estas vertentes e agregando significativamente valor s organizaes.

RECONHECIMENTO NACIONAL E INTERNACIONAL

Em 1990, a Fundao Vanzolini foi a primeira entidade acreditada pela Cgcre, orgo vinculado ao Inmetro - Instituto Nacional de Metrologia, Normalizao e Qualidade Industrial para a certificao de sistemas de gesto da qualidade.

A acreditao do Cgcre permite Fundao Carlos Alberto Vanzolini conceder certificados com validade oficial.
Data: 08/11/12 Pgina 3 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

A Fundao Carlos Alberto Vanzolini membro pleno da The International Certification Network (IQNet) com relao a certificaes baseadas nas normas ISO 9001, ISO 14001, ISO 27001 , GoodPriv@cy e OHSAS 18001. A IQNet uma rede internacional de entidades certificadoras, composta pelos mais importantes rgos certificadores de todo o mundo, que engloba mais de 37 organismos que esto presentes em mais de 150 pases com a finalidade de assegurar aceitao internacional aos certificados emitidos pelos seus membros.

Aproximadamente 30% do nmero total de certificados de sistemas de gesto emitidos no mundo foram gerados por organismos pertencentes IQNet.

Portanto, a organizao certificada pela Fundao Vanzolini, nos escopos acreditados, recebe o certificado com reconhecimento nacional (Cgcre) e outro certificado com abrangncia internacional fornecido pela IQNet.

A Fundao Carlos Alberto Vanzolini tambm mantm acordos operacionais com todas as entidades internacionais ligadas a IQNet.

As organizaes e pases cobertos pela IQNet esto disponibilizados no site da IQNet, a saber: http://www.iqnet-certification.com/ dentro da rea All IQNet Partners.

A Fundao Carlos Alberto Vanzolini a maior certificadora genuinamente nacional.

Data: 08/11/12

Pgina 4 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP.02 - A FUNDAO VANZOLINI MUITO MAIS QUE UM ORGANISMO DE CERTIFICAO

Educao Continuada

Nos seus mais de 40 anos de existncia, a Fundao Vanzolini vem contribuindo para o aperfeioamento de milhares de profissionais, por meio da prestao de servios e da oferta de cursos - tanto abertos ao pblico quanto in company.

Os Cursos de Especializao, por exemplo, abordam temas da rea de produo e so compostos por disciplinas que cobrem integralmente o programa proposto. Mediante convnio com a Escola Politcnica, o certificado de concluso emitido pela Universidade de So Paulo. Todos esses cursos, oferecidos como ps-graduao latu sensu, tm sempre carga horria mnima de 360 horas:

Administrao industrial (CEAI Semanal) Administrao industrial (CEAI Sbados) Administrao de servios (CEAS) Gesto de projetos (CEGP) Gesto de projetos - tecnologia da informao (CEGP-TI) Logstica empresarial (CELOG) Engenharia de produo para a construo civil (CEPC) Qualidade e produtividade (CEQP) Ergonomia de sistemas de produo MBA - Gesto de operaes: produtos e servios

Neste campo da educao, a Fundao Vanzolini mantm, portanto, a plena atualizao das temticas abordadas, buscando um adequado equilbrio entre teoria e prtica. H ainda a oferta de cursos de capacitao (mdia durao), em que o participante aprofunda conhecimentos em assuntos especficos e atuais da engenharia de produo.

Nos cursos de atualizao, em sua grande maioria com carga horria compreendida entre 8 e 24 horas, os temas propostos tm o objetivo de proporcionar novos conhecimentos profissionais, atendendo a necessidades bem focalizadas. Esses cursos esto agrupados em diversas reas, permitindo a escolha da melhor opo de atualizao.

Data: 08/11/12

Pgina 5 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

Gesto de Tecnologias Aplicadas Educao

A Fundao Vanzolini referncia nacional no gerenciamento de programas de alto desempenho para desenvolver e implementar processos educacionais inovadores, mediante incorporao de tecnologias de informao e comunicao. Esses programas, vrios dos quais premiados, operam com sucesso em sistemas estaduais e municipais de ensino e em organizaes do terceiro setor.

Projetos

So muitos os trabalhos de ponta desenvolvidos pela Fundao Vanzolini, contemplando projetos e pesquisas. De gesto de operaes a logstica, passando por tecnologia da informao, organizao, qualidade, engenharia do produto e economia da produo, nossos profissionais buscam sempre desenvolver solues inovadoras.

CAP.03 - ATUAO DO DEPARTAMENTO DE CERTIFICAO

CERTIFICAO DE SISTEMAS

A Fundao Vanzolini uma referncia brasileira na certificao de sistemas. Realiza avaliaes da conformidade nas seguintes reas:
Tema Qualidade Norma NBR ISO 9001 NBR 15100 (equivalente AS9100) ISO/TS 16949 Selo de tiragem Alta qualidade ambiental NBR ISO 14001 OHSAS 18001 NBR 16001 SA 8000 (em nome da IQNet) NBR 9050 ISO 14064 ISO / TS 29001 Aplicao Todos os setores e escopos Aeronutica Automobilstica Mdia Impressa Construo sustentvel Meio ambiente Segurana e sade ocupacional Responsabilidade social Responsabilidade social Acessibilidade Gases de efeito estufa Petrleo, Petroqumica e Gs Natural

Sustentabilidade

Data: 08/11/12

Pgina 6 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

Tema Tecnologia da Informao

Norma NBR ISO/IEC 27001 ISO/IEC 20000-1 GoodPriv@cy

Aplicao Segurana da informao Gesto dos servios de tecnologia da informao Proteo e privacidade dos dados
Obras de: edificaes / saneamento / virias e obras de arte especiais Obras de edificaes e gerenciamento Servios de sondagem e fundaes Obras de: edificaes / saneamento / pavimentao / eletricidade / projetos e gerenciamento Obras de: edificaes / saneamento / urbanizao Obras de: edificaes / saneamento / virias e obras de arte especiais

Construo Civil

SIAC - Obras / PBQP-H Qualihab (SP) Programa setorial ABEF Par obras (PA) PBQP-H (DF) PMQP (MG)

Logstica e Transporte

Transqualit SASSMAQ

Sade

ONA - Organizao Nacional de Acreditao NBR ISO 13485

Farmacutico, green, frigorificado e areo mdulo Rodovirio e mdulo Estao de Limpeza Servios de sade Produtos para sade

Alimentos

Probare Produtos

Selo Produto de So Paulo Caf, algodo, carne suna e cachaa Selo ABIC Programa da qualidade do caf Feed & Food Safety Gesto do alimento seguro NBR ISO 22000 Alimentos Selo de tica call center / contact center / help desk/ Maturidade de gesto sac / telemarketing Pneus (novos), Componentes Automotivos, produtos de telecomunicaes, Certificao de Software de acordo com a norma NBR 29110-4, dentre outros.

A Fundao Vanzolini oferece a realizao de auditorias combinadas, possibilitando a avaliao de diversos sistemas de gesto simultaneamente, trazendo vantagens para o cliente (sistemas de gesto integrados).

Data: 08/11/12

Pgina 7 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP. 04 - RELACIONAMENTO, CONTATO, E-MAIL, PROCESSOS

Com a finalidade de garantir o melhor contato possvel entre a Fundao Vanzolini e o cliente, seguem abaixo os processos responsveis pelas atividades do departamento de certificao:
Processo Comercial Planejamento de auditoria Atividades Relacionamento com cliente, propostas comerciais, contratos, alteraes gerais Agendamento das datas dos eventos Dados para Contato (11) 3836-6566 R: 104 / 105 / 106 / 114 certific@vanzolinicert.org.br (11) 3836-6566 R: 112 / 143 agenda@vanzolinicert.org.br

Logstica

Elaborao de planos de auditoria, aspectos relacionados a passagens e hospedagens Controle dos documentos solicitados as organizaes (manuais, planos de ao corretiva,etc) Envio do processo para anlise da comisso tcnica e emisso de certificado

(11) 3836-6566 R: 120

Documentao tcnica

(11) 3836-6566 R: 125 manual@vanzolinicert.org.br

Secretria da Comisso Tcnica

(11) 3836-6566 R: 121

SAC

Servio de Atendimento ao Cliente

(11) 3836-6566 R: 112

Data: 08/11/12

Pgina 8 de 25

P.035.07 Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP. 05 - ETAPAS DO PROCESSO DE CERTIFICAO

Etapas Responsabilidade Prazo Detalhes Fazer solicitao por meio do preenchimento do formulrio enviado pela Fundao Vanzolini ou fazer o download no formulrio no site da Fundao Vanzolini na internet. Em caso de dvidas contactar o departamento de certificao processo comercial pelos ramais 103, 104, 105 e 106. Com base nos dados preenchidos e remetidos pela organizao, a Fundao Vanzolini procede a sua anlise crtica e encaminha a proposta de certificao.

1 - Solicitao de proposta de certificao.

Organizao

2 - Elaborao da proposta com as informaes da organizao. 3 - Envio da proposta.

Fundao Vanzolini

3 dias teis

Fundao Vanzolini

Imediato aps elaborao

A Fundao Vanzolini envia o prembulo (proposta comercial) e o contrato. A aprovao da proposta deve ser feita no documento prembulo com as assinaturas e datas para a Pr-Auditoria / Auditorias Fase 1 e Auditoria Fase 2 (Certificao) e enviada por fax para 11 3832-2070. Aps a aprovao da proposta ser feita a abertura formal do processo de certificao, que ser confirmada organizao por e-mail. A Fundao Vanzolini contatar a organizao para agendar as datas da auditoria. Contatos em relao s datas de auditorias devem ser realizados com o departamento de certificao processo de planejamento de auditorias. No momento do aceite da proposta, a organizao dever encaminhar 2 vias do prembulo e contrato assinados para a Fundao Vanzolini, Rua Camburi, 255 Alto da Lapa CEP 05058-020- So Paulo - SP (O recebimento deste documentos na Fundao Vanzolini so determinantes para o envio do certificado).

4 - Aprovao da proposta.

Organizao

5 - Abertura formal do processo de certificao. 6 - Confirmao formal das datas solicitadas.

Fundao Vanzolini

Fundao Vanzolini

7 - Envio do Prembulo e do Contrato.

Organizao

Data: 08/11/12

Pgina 9 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

Etapas

Responsabilidade

Prazo

Detalhes Para que o auditor possa elaborar o plano de auditoria fundamental que o manual da qualidade seja recebido pela Fundao Vanzolini, dentro do prazo solicitado. O no recebimento no prazo solicitado pode implicar em atrasos na elaborao do plano de auditoria. Os documentos devem ser enviados para manual@vanzolinicert.org.br A Fundao Vanzolini enviar o plano de auditoria para que a organizao conhea, com antecedncia, as reas / processos a serem auditados, bem como os horrios, esta atividade repetida antes de cada evento de auditoria (pr, fase 1 e fase 2, superviso).

8 - Envio do manual de gesto.

Organizao

30 dias antes da auditoria

9 - Anlise de documentos.

Fundao Vanzolini

10 - Envio do plano de auditoria.

Fundao Vanzolini

7 dias

11 - Pr-auditoria. Fundao Vanzolini (opcional) 12- Fase 1 obrigatria. Fundao Vanzolini

30 dias de antecedncia Agendamento j realizado Definido no relatrio de auditoria fase 1 Agendamento j realizado

A Pr-auditoria no obrigatria, mas fortemente recomendada.

Esta fase normalmente realizada juntamente com a pr-auditoria.

13 - Envio do plano de aes corretivas (PAC).

Organizao

Aps o termino da auditoria Fase 1 a organizao deve enviar o Plano de Aes Corretivas, antes da Auditoria de Certificao Fase 2. (submisso por e-mail para manual@vanzolinicert.org.br).

14 - Auditoria de certificao fase 2.

Fundao Vanzolini

A equipe auditora realiza a auditoria de certificao apresentando ao final, o relatrio de auditoria e sua recomendao.

Data: 08/11/12

Pgina 10 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

Etapas 15 - Submisso do relatrio para a comisso tcnica.

Responsabilidade Fundao Vanzolini / auditor

Prazo Data limite no relatrio de auditoria fase 2

Detalhes Aps o termino da auditoria a Equipe auditora submete a documentao com o parecer da Equipe Auditora para anlise da Comisso Tcnica.

16- Envio do plano de aes corretivas (PAC).

Organizao

A Anlise da Comisso Tcnica somente ocorre aps o recebimento do Plano de Aes Corretivas e sua respectiva anlise / aprovao por parte da equipe auditoria.

17 - Anlise pela comisso tcnica. 18 - Submisso do processo para o diretor de certificao.

Fundao Vanzolini

A Comisso Tcnica procede analise do processo de certificao. Ocorrendo a ratificao do parecer da equipe auditoria pela comisso tcnica o processo de certificao da organizao submetido para a deliberao do diretor de certificao da Fundao Vanzolini. Aps

Fundao Vanzolini

19 - Envio do certificado.

Fundao Vanzolini

deliberao do Diretor

Aps aprovao do diretor, o certificado encaminhado para a organizao.

20 - Agendamento das datas das prximas auditorias.

Fundao Vanzolini

Como forma da organizao se planejar apropriadamente, logo aps a certificao as datas para as auditorias de superviso e recertificao so acordadas.

Data: 08/11/12

Pgina 11 de 25

P.035.07 Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP. 06 - INFORMAES PARA ELABORAO DE PROPOSTA

Devolver o questionrio preenchido preferencialmente por e-mail : certific@vanzolinicert.org.br Em caso de dvidas, envie um e-mail ou entre em contato: Fone: (11) 3836-6566 Ramais 104, 105, 106 e 114 rea comercial Fax: (11) 3832-2070

CAP.07 - EQUIPE AUDITORA E DIMENSIONAMENTO DE AUDITORIA

EQUIPE AUDITORA

A Fundao Vanzolini possui um corpo de auditores constitudo por profissionais com experincia comprovada e formao tcnica em prticas de auditoria.

Todos seus auditores so graduados e qualificados mediante rigorosas avaliaes.

Antes da elaborao de uma proposta comercial, o departamento de certificao efetua anlise crtica da solicitao do cliente, garantindo desta forma que os auditores que sero alocados para realizar os eventos de auditoria possuem a competncia necessria.

Aps o agendamento das auditorias e antes da realizao dos eventos in loco, a Fundao Vanzolini, disponibiliza o Currculo do auditor, o qual demonstra sua competncia. Caso exista algum impedimento por parte da organizao com relao alocao da equipe auditoria, a organizao dever se manifestar, possibilitando, mediante anlise, alterar a equipe auditora.

A Fundao Vanzolini tambm possui uma srie de atividades relacionadas aos auditores, de forma a garantir o mais alto padro de qualidade em sua prestao de servio. Dentre algumas destas atividades, pode-se citar:

a) Fruns de discusso tcnica; b) Treinamentos especficos; c) Planejamento de competncias para os auditores; d) Monitoramento das atividades da equipe auditora, por intermdio de pesquisa de satisfao com os clientes, monitoramento do processo de auditoria por comisso tcnica independente.
Data: 08/11/12 Pgina 12 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

DIMENSIONAMENTO DA AUDITORIA O dimensionamento definido para as auditorias pela Fundao Vanzolini segue as determinaes que todos os organismos certificadores devem obedecer, ou seja, as diretrizes da norma ISO/IEC 27006:2007, anexo C.

CAP.08 DEFINIES: NO CONFORMIDADE, PREOCUPAO E OPORTUNIDADE DE MELHORIA

Segue abaixo a classificao adotada nas constataes da auditoria:

No-conformidade:

Ausncia, falha na implementao ou manuteno de um ou mais elementos requeridos pelo

sistema, ou situao na qual, com base nas evidncias objetivas, pode gerar dvidas quanto a capacidade do sistema de gesto em alcanar os objetivos da norma de referncia, e Ausncia ou incapacidade total do Sistema atender a um elemento da norma de referncia

ou norma como um todo; Tambm pode ser caracterizada partir de um grande nmero de preocupaes,

constatadas ao longo da avaliao do Sistema da organizao em um nico elemento da norma.

Preocupaes:

Falta de cumprimento aos requisitos do Sistema de Gesto que o julgamento e/ou

experincia do auditor indiquem que, provavelmente, no implicar em uma quebra do Sistema; Uma no adequao ou no implantao de parte de um elemento requerido pela norma de

referncia, que evidenciada pela equipe auditora.

Oportunidade de Melhoria:

Uma falha localizada comprovadamente no generalizada, falha esta que no possui

relevncia e impacto sobre a atividade auditada; Desconforto da Equipe Auditora; Falha potencial que no evidenciada pela Equipe Auditora, mas que a experincia do

auditor indica uma no conformidade futura.

Data: 31/10/12

Pgina 13 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP. 09 - PERGUNTAS E RESPOSTAS MAIS FREQENTES

Atravs da vasta experincia, adquirida ao longo dos ltimos anos, atuando em Certificaes de Sistemas de Gesto, a Fundao Vanzolini vem catalogando as principais dvidas dos clientes relacionadas s respectivas normas, suas caractersticas e o processo de certificao. Esperamos que a lista abaixo possa elucidar suas dvidas.

1. O que segurana da informao? Segundo a norma NBR ISO/IEC 27002:07, segurana da informao a proteo da informao contra vrios tipos de ameaas de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de negcios. Ainda segundo a NBR ISO/IEC 27002:07 a segurana da informao caracterizada pela preservao dos trs atributos bsicos da informao: confidencialidade, integridade e disponibilidade.

2. O que a NBR ISO / IEC 27001:2006? a norma de certificao para Sistemas de Gesto da Segurana da Informao, editada em portugus em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para prover um modelo para o estabelecimento, implementao, operao, monitoramento, reviso, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao. A NBR ISO / IEC 27001 e NBR ISO / IEC 27002:07 foram o par consistente de normas relativas a Sistema de Gesto de Segurana da Informao.

3. O que NBR ISO/IEC 27002:07? A NBR ISO/IEC 27002:07 a verso brasileira da norma ISO homologada pela ABNT, a verso vlida de 2007. o Cdigo de Prtica para Gesto da Segurana da Informao. Serve como referncia para a criao e implementao de prticas de segurana reconhecidas internacionalmente, incluindo: Polticas, Diretrizes, Procedimentos, Controles um conjunto completo de recomendaes para: Gesto da Segurana de Informao e Controles e prticas para a Segurana da Informao. Ateno: a norma de certificao a NBR ISO / IEC 27001:2006, a NBR ISO / IEC 27002:07 a norma de referncia de boas prticas. 4. Qual a importncia que as organizaes do hoje a ISO 27001? Todas as grandes organizaes do mundo, sejam pblicas ou privadas, j tomaram conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas organizaes j esto incorporando os controles das normas em suas polticas de segurana.

Data: 31/10/12

Pgina 14 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 5. Qual a importncia da ISO 27001? Ela permite que uma organizao construa de forma muito rpida uma poltica de segurana baseada em controles de segurana eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas.

6. Essas normas se aplicam a qualquer tipo de organizao? As normas foram criadas e se adaptam bem a organizaes comerciais. Instituies de ensino, instituies pblicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma organizao comercial. Apesar disso, qualquer organizao pode aproveitar grande parte dos controles da norma para implementar segurana da informao em suas instalaes.

7. O que SGSI? Sistema de Gesto de Segurana da Informao o resultado da aplicao planejada de objetivos, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como so reduzidos os riscos para segurana da informao. Uma organizao que implante a norma ISO 27001 acaba por constituir um SGSI.

8. Quais so as etapas para se constituir um SGSI? Em primeiro lugar, deve-se definir quais so seus limites (sua abrangncia fsica, lgica e pessoal). Depois devem ser relacionados os recursos que sero protegidos. Em seguida relaciona-se quais so as possveis ameaas a esses recursos, quais so as vulnerveis a que eles esto submetidos e qual seria o impacto da materializao dessas ameaas. Por fim,com base nessas informaes, so priorizados os controles necessrios para garantir a segurana desses recursos.

9. Para implantar a norma em uma organizao obrigatrio empregar todos os seus controles? No. Aplicam-se somente os controles para os servios, facilidades, espaos e condies existentes na organizao. Por exemplo, se a organizao no tem acesso remoto de usurios, todos os controles referentes a esse tipo de acesso podem ser ignorados.

10. O que a Declarao de Aplicabilidade? um documento exigido pela NBR ISO IEC 27001 no qual a organizao tem que relacionar quais controles do Anexo A so aplicveis e justificar os que no so aplicveis ao seu SGSI.
Data: 31/10/12 Pgina 15 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 11. Como obter a norma NBR ISO IEC 27001? As normas NBR ISO, assim como as de outros pases, tm direitos autorais. As normas da srie NBR ISO devem ser adquiridas na ABNT Associao Brasileira de Normas Tcnicas.

12. Como a ISO 27001 se relaciona com as normas ISO 9001 e ISO 14001? A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e contedos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14001 com objetivo de estabelecer um contnua gesto da segurana da informao.

13. O que PDCA? PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) um mtodo de gesto que se caracteriza por um ciclo de aes que se repete continuamente de forma a incorporar alteraes no ambiente. Nas normas de gesto acima mencionadas empregado para garantir uma efetiva gesto da organizao.

14. Existe legislao que obrigue o uso da ISO 27001? As leis variam de pas para pas. A rigor no existem leis que obriguem o emprego de tais normas. No Brasil, existem recomendaes no sentido de empregar-se as normas emitidas por entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei SarbanesOxley (que atinge subsidirias de organizaes americanas de capital aberto instaladas no Brasil), promulgada em 2002, determinam cuidados no trato das informaes que, na prtica, obrigam as organizaes a empregar a ISO 27001/ISO 27002 como uma forma de demonstrarem que esto procurando cumprir os requisitos de segurana determinados por essas leis.

15. O que certificao? A certificao um documento emitido por uma entidade certificadora independente que garante que uma dada organizao implantou corretamente todos os controles da norma aplicveis. A certificao emitida aps uma auditoria externa para verificao da conformidade da organizao com a norma.

16. Para que serve a certificao? Ela comprova, para as organizaes certificadas, que a segurana da informao est garantida de forma efetiva, o que no significa, contudo, que a organizao esteja imune a violaes de segurana. Alm disso, a certificao comprova, para os clientes e fornecedores da organizao, o a preocupao que esta tem com a segurana da informao, reforando sua
Data: 31/10/12 Pgina 16 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 imagem junto ao mercado. Dependendo da atividade da organizao, essa certificao pode ser essencial para a realizao de certos negcios.

17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna? Sim. Na realidade, a maior parte das organizaes a emprega dessa forma, uma vez que elas ainda no identificaram a necessidade ou a possibilidade de realizarem o processo de certificao.

18. Qual o custo de uma certificao? O custo depende de vrios fatores, tal como quanto tempo o responsvel pela certificao necessita para avaliar a conformidade da organizao com relao norma, o tamanho e a complexidade da organizao e de seus sistemas.

19. Muitas organizaes j obtiveram a certificao? Segundo a pesquisa ISO Survey de 2005, existem 7732 organizaes certificadas em Dez/2001. Destas, cerca de 4596 certificaes se encontram no Japo.

20. Quantas e quais organizaes foram certificadas no Brasil? Trinta organizaes brasileiras obtiveram a certificao at 2007. Informaes atualizadas sobre organizaes certificadas no Brasil e no mundo, alm do ISO Survey tambm podem ser obtidas atravs do site www.iso27001certificates.com.

21. Quem concede o certificado? Os certificados so emitidos por entidades certificadoras acreditadas por rgos de acreditao nacionais ou internacionais aps realizao de auditorias.

22. Como so feitas estas auditorias? A auditoria do Sistema de Gesto da Segurana da Informao dividida em 2 etapas: Auditoria de Documentao, conhecida como Fase 1 e Auditoria de Certificao, conhecida como Fase 2. Podendo existir tambm a Pr-Auditoria, esta por sua vez opcional.

23. O que Auditoria de Documentao? Em razo do tema abordado esta norma envolve documentos e informaes, muitas vezes, confidenciais, desta forma, fazem-se necessrio uma anlise prvia destes nas instalaes da prpria organizao visando verificao de sua adequao e a segurana dos dados. A Auditoria de Documentao o primeiro contato com a equipe auditora.
Data: 31/10/12 Pgina 17 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 24. Qual a diferena entre a Auditoria de Documentao e a Pr-auditoria? A Auditoria de Documentao tem como foco a seguinte documentao: Declarao de

Aplicabilidade, Relatrio de Avaliao de Riscos e Anlise Crtica pela Direo entre outros possveis documentos associados a estes, conforme aplicvel. Esta anlise no contempla procedimentos e prticas especficos, uma vez que estes so objeto da Pr-auditoria, que tem por objetivo a anlise crtica da adequao do sistema norma.

25. Pr-auditoria o mesmo que Auditoria de Pr-certificao? Sim. Os dois termos so usados e reconhecidos pelo mercado para identificar um mesmo tipo de auditoria.

26. Quando devo solicitar a Pr-auditoria? Aps a implantao do Sistema de Gesto da Segurana da Informao e aps ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma anlise crtica pela direo a organizao pode solicitar a realizao da Pr-auditoria para verificar o nvel de adequao norma em questo.

27. Minha organizao j possui a certificao pela norma anterior. Tambm posso solicitar uma Pr-auditoria segundo a nova verso? As organizaes j certificadas podem solicitar a realizao da Pr-auditoria para verificar o nvel de adequao norma em questo, aps a adequao do Sistema de Gesto da Segurana da Informao e aps ter realizado pelo menos um ciclo de auditoria interna . A Fundao Vanzolini recomenda que tenha tambm pelo menos uma anlise crtica do sistema j com a nova estrutura.

28. Para que serve a Pr-auditoria? A Pr-auditoria tem como principal objetivo a deteco de eventuais problemas conceituais que possam vir a ser despercebidos pela organizao em processo de certificao. Seria um exemplo de problema conceitual, a no aplicao de um requisito ou controle que influencie na Segurana da Informao da organizao. Isto pode ocorrer em razo de uma incorreta interpretao da norma para o negcio da organizao e/ou escopo considerado(s). No entanto, nestes casos a certificao no pode ser recomendada, causando transtornos para a organizao e uma certa decepo para todos os envolvidos. A fim de reduzir os riscos de no certificao por problemas de adequao, os organismos certificadores em todo o mundo passaram a realizar anlises prvias, estas anlises prvias so chamadas de pr-auditoria.
Data: 31/10/12 Pgina 18 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 29. Como feita a pr-auditoria? A Pr-auditoria realizada nas instalaes da organizao e segue os mesmos passos da Auditoria de Certificao: Reunio de Abertura, investigao, relato das no-conformidades e reunio de encerramento. Geralmente a equipe auditora da Pr-auditoria ser a mesma da Anlise Documental e da Auditoria de Certificao. So verificados os procedimentos e a documentao em relao sua adequao norma de referncia. O tempo dimensionado para esta auditoria, normalmente no permite que a equipe auditora tenha tempo para verificar se as prticas descritas na documentao esto adequadamente implementadas isto o que chamamos de auditoria de conformidade, que ser realizada durante a Auditoria de Certificao (Inicial) e nas Auditorias de superviso (Anuais ou semestrais). 30. No meu oramento consta uma Pr-auditoria de um dia. Posso solicitar mais um ou dois dias? Sim. A carga horria definida no oramento mnima para checar todos os itens da norma. No entanto, caso a organizao deseje uma anlise mais aprofundada, a carga horria poder ser aumentada sem problema algum. Haver um aumento proporcional no preo do evento.

31. Posso pular a Pr-auditoria e ir direto para a Auditoria de Certificao? Sim. Tomando-se como base a experincia adquirida ao longo do tempo em certificaes de sistemas de gesto, a Fundao Vanzolini recomenda fortemente a realizao da Pr-auditoria, no entanto, se a organizao tem muita segurana na adequao e conformidade do seu sistema de gesto no h problema algum em ir direto para a Auditoria de Certificao.

32. Se o auditor no encontrar problemas na Pr-auditoria, j posso receber o certificado? No. A Pr-auditoria tem objetivo distinto da Auditoria de Certificao. A Pr-auditoria verifica a adequao do sistema, no colhendo evidncias suficientes de que as prticas refletem o planejamento contido nos procedimentos. A verificao da implementao feita na Auditoria de Certificao que no pode ser dispensada em nenhum caso.

33. Qual o prazo entre a Auditoria de Documentao e as Auditorias de Pr-certificao, Certificao e superviso? Com exceo s Auditorias de Superviso, que devem ocorrer no mnimo anualmente, no h um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser discutidos e acordados, conforme as necessidades de cada organizao. No entanto, a Fundao Vanzolini recomenda que a Auditoria de Documentao ocorra pelo menos 30 dias antes da Auditoria de Certificao e, caso seja solicitada, 30 dias antes da Pr-auditoria.
Data: 31/10/12 Pgina 19 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 34. Quem faz parte da equipe auditora? Normalmente, a equipe auditora formada por um ou mais auditores com experincia em auditoria e conhecimentos do segmento de negcio da organizao. Por se tratar de uma norma especfica, as auditorias do Sistema de Gesto de Segurana da Informao devem contar sempre auditores que detenham conhecimentos tcnicos suficientes para compreender a linguagem dos auditados.

35. A Fundao Vanzolini mantm cursos sobre esta norma? A Fundao Vanzolini mantm cursos abertos e in company para implementao do Sistema de Gesto da Segurana da Informao, formao de Auditores Internos do SGSI e formao de Auditores Lderes NBR ISO/IEC 27001.

Data: 31/10/12

Pgina 20 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP. 10 - CONFIDENCIALIDADE, IMPARCIALIDADE E AUSNCIA DE CONFLITO DE INTERESSE

A Fundao Vanzolini, ao longo do processo de certificao, pode ter acesso a informaes confidenciais relacionadas aos ativos da informao. Todos o pessoal que trabalha no departamento de certificao da Fundao Vanzolini, incluindo os auditores, assinam o cdigo de conduta, que estabelece os procedimentos de trabalho, incluindo vrios princpios relacionados ao sigilo, confidencialidade, ausncia de conflito de interesse. As informaes sobre produtos ou sobre certificao no so reveladas a terceiros sem o consentimento, por escrito, do cliente. Caso a lei exija que tais informaes sejam dadas ao conhecimento de terceiros, o cliente informado formalmente, conforme estabelecido na lei.

CAP.11 - INTERPRETAES ISMS, JTC 1/SC 27 e DIRETRIZES DO IAF

Todos as pessoas podem ter acesso s interpretaes, orientaes e diretrizes realizadas em mbito nacional e internacional. Essas informaes podem ser obtidas junto ao: a) ISMS International User Group Site: http://www.iso27001certificates.com/

(interpretaes e orientaes); b) JTC 1/SC 27 International Organization for Standardization's (ISO) Joint Technical Committee, Information technology, Subcommittee SC 27 , IT Security techniques. (orientaes e trabalhos); Site: http://www.iso.org/iso/technical_committee_contact.html?commid=45308 c) IAF The International Accreditation Forum Site : http://www.iaf.nu/ (Diretrizes).

Data: 31/10/12

Pgina 21 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP. 12 - REGRAS PARA O USO DA MARCA

- Fundao Vanzolini / IQNet

A organizao cujo sistema de gesto (Qualidade) possui os certificados emitidos pela Fundao Vanzolini e IQNet est autorizada a usar a marca de certificao da Fundao Vanzolini/IQNet (selo) aps garantir que :

1. A marca de certificao da Fundao Vanzolini/IQNet de sistema de gesto pode ser utilizada pela organizao detentora do certificado, desde que:

com o nome da organizao certificada (e da diviso, se necessrio); com o nmero do certificado (opcional); fazendo referncia norma aplicvel; dentro do perodo de validade do certificado; dentro do escopo / rea certificada; utilizado pela companhia certificada (o responsvel legal); sem qualquer mudana.

2. A marca de certificao da Fundao Vanzolini/IQNet pode ser utilizada para fins comerciais, aparecer em documentos usados nas correspondncias da organizao, na internet e em propaganda. Ela no deve ser utilizada em declaraes que ultrapassem o escopo dos certificados emitidos pela Fundao Vanzolini e IQNet, principalmente nos casos em que h cobertura parcial dos certificados com relao totalidade da linha de produtos/servios da organizao. Em caso de dvida, o escopo da certificao dever ser especificado.

3. As declaraes da certificao devem indicar que os produtos referidos so procedentes de uma organizao cujo Sistema de Gesto (Qualidade) foi certificado pela Fundao Vanzolini e IQNet.

4.

vedado o uso da marca de certificao da Fundao Vanzolini/IQNet diretamente nos produtos e nas suas embalagens primrias.

5. Na utilizao da marca de certificao da Fundao Vanzolini/IQNet, o usurio da marca dever observar os princpios da concorrncia honesta. O usurio dever impedir qualquer uso ou declarao a respeito marca de certificao, que seja inaceitvel pela Fundao Vanzolini ou pela IQNet.

Data: 31/10/12

Pgina 22 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

6. O usurio da marca receber uma cpia reproduzvel da marca de certificao (selo). O usurio da marca no est autorizado a fazer qualquer alterao grfica na marca de certificao da Fundao Vanzolini / IQNet (inclusive cores) sem a concordncia por escrito da Fundao Vanzolini. Alteraes nas dimenses da marca de certificao so aceitveis, desde que o selo se mantenha legvel.

7. O uso da marca de certificao da Fundao Vanzolini/IQNet restrito s organizaes autorizadas e o direito de uso deste no deve ser transferido para terceiros ou substitutos, nem ser objeto de cesso ou aquisio ou de qualquer medida compulsria.

8. No caso de laboratrios de calibrao e ensaios certificados, estes no podem dar a entender a seus clientes que a certificao equivale a acreditao com base no ABNT ISO/ IEC Guia 17025. Os laboratrios no podem utilizar a marca de certificao da Fundao Vanzolini/IQNet nos laudos/certificados entregues aos seus clientes.

- Certificado IQNet 9. O certificado IQNet baseado em auditoria e certificao realizadas pela Fundao Vanzolini, ou sob sua coordenao, e emitido por esse membro em nome da IQNet. A certificao IQNet foi instituda em funo da mtua confiana entre os membros, resultante da avaliao entre seus pares, da cooperao e da assinatura do acordo multilateral IQNet Multilateral Agreement (MLA) de reconhecimento mtuo de certificados. 10. O certificado IQNet fornecido organizao certificada em razo da qualidade de membro da IQNet da Fundao Vanzolini.

11. A responsabilidade principal pela emisso do certificado IQNet da Fundao Vanzolini.

12. Caso a Fundao Vanzolini deixe de ser associada IQNet, o certificado IQNet da organizao deixar de ser vlido e ser recolhido pela Fundao Vanzolini, no prazo de 30 dias.

- Quadro Geral de Uso da Marca Como meio de melhor elucidar o uso de marca de certificao para indicar quando um produto foi feito sob um sistema de gesto da qualidade certificado, segue abaixo tabela:
No Produto *1 Sem Declarao Uso da Marca *3 Com Declarao *4 No permitido Permitido *5 Permitido * 5 No permitido Em caixas maiores, etc. usadas para o transporte de produtos *2 No Permitido Em Panfletos, etc. para propaganda Permitido * 5

Data: 31/10/12

Pgina 23 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

*1 Pode ser o prprio produto tangvel ou um produto em uma embalagem individual, caixa, etc. No caso de atividade de ensaio/anlise, poderia ser um relatrio de ensaio/anlise; *2 Pode ser a embalagem externa feita de papelo etc., que provavelmente no seja capaz de alcanar os usurios finais; *3 Isso se aplica a marcas que apresentem uma forma especfica, inclusive alguma descrio bsica de sua aplicabilidade. Uma declarao somente em palavras no constitui uma marca neste sentido. Tal declarao deve ser verdadeira e no induzir a erro; * 4 Pode ser uma afirmao declarando que Este produto foi fabricado em uma organizao cujo sistema de gesto da qualidade certificado e est em conformidade com a NBR ISO 9001. O Termo fabricado, para organizaes de servio, pode ser adaptado aos termos utilizados no segmento da organizao; * 5 Na utilizao de smbolos ou logomarcas, deve ser prestada ateno suficiente, para evitar infrao.

Qualquer intencional ou flagrante violao negligente das providncias acima resultar na anulao da concesso dos Certificados. O direito de uso da marca de certificao termina na no renovao ou anulao da concesso dos Certificados da Fundao Vanzolini e IQNet, depois dos perodos transitrios especificados para tais casos.

CAP. 13 - RECLAMAO E APELAO

As reclamaes dos clientes da Fundao Vanzolini podem ser iniciadas atravs do questionrio de avaliaes entregue ao final de cada auditoria realizada, ou mediante qualquer outro meio.

Todas as reclamaes so analisadas criticamente e so tomadas as devidas aes de melhoria e/ou aes corretivas.

Caso a organizao no concorde com as deliberaes da Fundao Vanzolini, ela poder iniciar um processo de apelao, dirigido ao nvel competente da Fundao Vanzolini, a saber: Comisso Tcnica, Diretor de Certificao e Conselho de Certificao.

Aps anlise, a deciso ser informado organizao.

Data: 31/10/12

Pgina 24 de 25

P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001

CAP.14 - SUSPENSO, CANCELAMENTO, REDUO OU AUMENTO DE ESCOPO, INCLUSO OU EXCLUSO DE SITES.

A Fundao Vanzolini possui regras claramente estabelecidas para suspenso ou cancelamento da certificao. Tais regras esto definidas nos contratos firmados entre as partes. A qualquer momento a organizao poder solicitar a reduo ou aumento do escopo de certificao, devendo contatar a rea comercial da Fundao Vanzolini. As incluses ou excluses de sites tambm podem ser realizadas durante a vigncia do contrato, devendo a organizao manifestar seu interesse junto a rea comercial da Fundao Vanzolini.

CAP. 15 - CRITRIOS PARA REEMBOLSO DE DESPESAS DIRETAS

Caso no estejam cobertas pelo contrato, as despesas da equipe auditora durante a auditoria devero ser reembolsadas conforme segue: Estacionamento Sempre deve ser reembolsado pelo cliente. Quilometragem, Valor referencial de R$ 0,80/km. Txi Somente se aplica reembolso pelo cliente nos casos de rodzio ou deslocamento aeroporto/rodoviria. Passagem area ou rodoviria Sempre pagas pelo cliente. No caso do auditor adquirir tais itens, o cliente deve reembolsar. Refeies Os valores de cada refeio devem ficar limitados a R$ 35,00. Outras despesas (Hotel) Outras despesas, tais como ligaes telefnicas e frigobar, etc. limitadas a R$ 15,00 por dia. Ao final da auditoria, o auditor lder apresentar organizao os comprovantes das despesas da equipe auditora, juntamente com o formulrio controle de despesas, preenchido para aprovao. O valor total das despesas dever ser reembolsado Fundao Vanzolini que efetuar o reembolso ao auditor. de/para

Data: 31/10/12

Pgina 25 de 25