Escolar Documentos
Profissional Documentos
Cultura Documentos
SUMRIO
CAP.01 Institucional da Fundao Vanzolini CAP.02 A Fundao Vanzolini muito mais que um organismo de certificao CAP.03 Atuao do departamento de certificao CAP.04 Relacionamento, contato, e-mail, processos CAP.05 Etapas do processo de certificao CAP.06 Informaes para elaborao da proposta CAP.07 Equipe auditora e dimensionamento de auditoria CAP.08 Definies: No conformidade, Preocupao e Oportunidade de Melhoria CAP.09 Perguntas e respostas mais freqentes CAP.10 Confidencialidade, imparcialidade, ausncia de conflito de interesse CAP.11 Interpretaes do CB25, ISO/TC 176 e diretrizes do IAF CAP.12 Regras para uso da marca CAP.13 Reclamao e apelao
CAP.14 Suspenso, cancelamento, reduo ou aumento de escopo, incluso ou excluso de sites.
Data: 08/11/12
Pgina 2 de 25
A Fundao Vanzolini, entidade criada em 1967, mantida e gerida pelos professores do Departamento de Engenharia de Produo da Escola Politcnica da Universidade de So Paulo (USP), uma instituio privada sem fins lucrativos que tem por objetivo a difuso de conhecimentos na rea de engenharia de produo e administrao industrial.
Dentre as atividades desenvolvidas, aquelas dedicadas rea de qualidade tm propiciado a formao de um corpo tcnico de alto nvel com estgios no exterior (Japo, Inglaterra e Estados Unidos) sempre em sistemas de gesto, projetos para a UNIDO e cooperao com a Universidade do Tennessee.
Ao longo desses anos, a instituio consolidou-se como um importante rgo de difuso da engenharia de produo, tendo, inclusive, passado a ministrar cursos de especializao para a capacitao de profissionais, em convnio com a Escola Politcnica da USP. A atuao da Fundao Vanzolini foi alm do campo da educao continuada, para tambm crescer em reas como certificao, gesto de tecnologias aplicadas educao e projetos, nas quais tornou-se um grande centro de referncia. VISO DA FUNDAO VANZOLINI A Fundao Vanzolini tem como viso o aumento da confiana das partes interessadas nos produtos/servios oferecidos e o aprimoramento contnuo dos processos internos. A Fundao Vanzolini, por meio de suas auditorias, faz uma anlise crtica do sistema de gesto verificando estas vertentes e agregando significativamente valor s organizaes.
Em 1990, a Fundao Vanzolini foi a primeira entidade acreditada pela Cgcre, orgo vinculado ao Inmetro - Instituto Nacional de Metrologia, Normalizao e Qualidade Industrial para a certificao de sistemas de gesto da qualidade.
A acreditao do Cgcre permite Fundao Carlos Alberto Vanzolini conceder certificados com validade oficial.
Data: 08/11/12 Pgina 3 de 25
A Fundao Carlos Alberto Vanzolini membro pleno da The International Certification Network (IQNet) com relao a certificaes baseadas nas normas ISO 9001, ISO 14001, ISO 27001 , GoodPriv@cy e OHSAS 18001. A IQNet uma rede internacional de entidades certificadoras, composta pelos mais importantes rgos certificadores de todo o mundo, que engloba mais de 37 organismos que esto presentes em mais de 150 pases com a finalidade de assegurar aceitao internacional aos certificados emitidos pelos seus membros.
Aproximadamente 30% do nmero total de certificados de sistemas de gesto emitidos no mundo foram gerados por organismos pertencentes IQNet.
Portanto, a organizao certificada pela Fundao Vanzolini, nos escopos acreditados, recebe o certificado com reconhecimento nacional (Cgcre) e outro certificado com abrangncia internacional fornecido pela IQNet.
A Fundao Carlos Alberto Vanzolini tambm mantm acordos operacionais com todas as entidades internacionais ligadas a IQNet.
As organizaes e pases cobertos pela IQNet esto disponibilizados no site da IQNet, a saber: http://www.iqnet-certification.com/ dentro da rea All IQNet Partners.
Data: 08/11/12
Pgina 4 de 25
Nos seus mais de 40 anos de existncia, a Fundao Vanzolini vem contribuindo para o aperfeioamento de milhares de profissionais, por meio da prestao de servios e da oferta de cursos - tanto abertos ao pblico quanto in company.
Os Cursos de Especializao, por exemplo, abordam temas da rea de produo e so compostos por disciplinas que cobrem integralmente o programa proposto. Mediante convnio com a Escola Politcnica, o certificado de concluso emitido pela Universidade de So Paulo. Todos esses cursos, oferecidos como ps-graduao latu sensu, tm sempre carga horria mnima de 360 horas:
Administrao industrial (CEAI Semanal) Administrao industrial (CEAI Sbados) Administrao de servios (CEAS) Gesto de projetos (CEGP) Gesto de projetos - tecnologia da informao (CEGP-TI) Logstica empresarial (CELOG) Engenharia de produo para a construo civil (CEPC) Qualidade e produtividade (CEQP) Ergonomia de sistemas de produo MBA - Gesto de operaes: produtos e servios
Neste campo da educao, a Fundao Vanzolini mantm, portanto, a plena atualizao das temticas abordadas, buscando um adequado equilbrio entre teoria e prtica. H ainda a oferta de cursos de capacitao (mdia durao), em que o participante aprofunda conhecimentos em assuntos especficos e atuais da engenharia de produo.
Nos cursos de atualizao, em sua grande maioria com carga horria compreendida entre 8 e 24 horas, os temas propostos tm o objetivo de proporcionar novos conhecimentos profissionais, atendendo a necessidades bem focalizadas. Esses cursos esto agrupados em diversas reas, permitindo a escolha da melhor opo de atualizao.
Data: 08/11/12
Pgina 5 de 25
A Fundao Vanzolini referncia nacional no gerenciamento de programas de alto desempenho para desenvolver e implementar processos educacionais inovadores, mediante incorporao de tecnologias de informao e comunicao. Esses programas, vrios dos quais premiados, operam com sucesso em sistemas estaduais e municipais de ensino e em organizaes do terceiro setor.
Projetos
So muitos os trabalhos de ponta desenvolvidos pela Fundao Vanzolini, contemplando projetos e pesquisas. De gesto de operaes a logstica, passando por tecnologia da informao, organizao, qualidade, engenharia do produto e economia da produo, nossos profissionais buscam sempre desenvolver solues inovadoras.
A Fundao Vanzolini uma referncia brasileira na certificao de sistemas. Realiza avaliaes da conformidade nas seguintes reas:
Tema Qualidade Norma NBR ISO 9001 NBR 15100 (equivalente AS9100) ISO/TS 16949 Selo de tiragem Alta qualidade ambiental NBR ISO 14001 OHSAS 18001 NBR 16001 SA 8000 (em nome da IQNet) NBR 9050 ISO 14064 ISO / TS 29001 Aplicao Todos os setores e escopos Aeronutica Automobilstica Mdia Impressa Construo sustentvel Meio ambiente Segurana e sade ocupacional Responsabilidade social Responsabilidade social Acessibilidade Gases de efeito estufa Petrleo, Petroqumica e Gs Natural
Sustentabilidade
Data: 08/11/12
Pgina 6 de 25
Aplicao Segurana da informao Gesto dos servios de tecnologia da informao Proteo e privacidade dos dados
Obras de: edificaes / saneamento / virias e obras de arte especiais Obras de edificaes e gerenciamento Servios de sondagem e fundaes Obras de: edificaes / saneamento / pavimentao / eletricidade / projetos e gerenciamento Obras de: edificaes / saneamento / urbanizao Obras de: edificaes / saneamento / virias e obras de arte especiais
Construo Civil
SIAC - Obras / PBQP-H Qualihab (SP) Programa setorial ABEF Par obras (PA) PBQP-H (DF) PMQP (MG)
Logstica e Transporte
Transqualit SASSMAQ
Sade
Farmacutico, green, frigorificado e areo mdulo Rodovirio e mdulo Estao de Limpeza Servios de sade Produtos para sade
Alimentos
Probare Produtos
Selo Produto de So Paulo Caf, algodo, carne suna e cachaa Selo ABIC Programa da qualidade do caf Feed & Food Safety Gesto do alimento seguro NBR ISO 22000 Alimentos Selo de tica call center / contact center / help desk/ Maturidade de gesto sac / telemarketing Pneus (novos), Componentes Automotivos, produtos de telecomunicaes, Certificao de Software de acordo com a norma NBR 29110-4, dentre outros.
A Fundao Vanzolini oferece a realizao de auditorias combinadas, possibilitando a avaliao de diversos sistemas de gesto simultaneamente, trazendo vantagens para o cliente (sistemas de gesto integrados).
Data: 08/11/12
Pgina 7 de 25
Logstica
Elaborao de planos de auditoria, aspectos relacionados a passagens e hospedagens Controle dos documentos solicitados as organizaes (manuais, planos de ao corretiva,etc) Envio do processo para anlise da comisso tcnica e emisso de certificado
Documentao tcnica
SAC
Data: 08/11/12
Pgina 8 de 25
Organizao
Fundao Vanzolini
3 dias teis
Fundao Vanzolini
A Fundao Vanzolini envia o prembulo (proposta comercial) e o contrato. A aprovao da proposta deve ser feita no documento prembulo com as assinaturas e datas para a Pr-Auditoria / Auditorias Fase 1 e Auditoria Fase 2 (Certificao) e enviada por fax para 11 3832-2070. Aps a aprovao da proposta ser feita a abertura formal do processo de certificao, que ser confirmada organizao por e-mail. A Fundao Vanzolini contatar a organizao para agendar as datas da auditoria. Contatos em relao s datas de auditorias devem ser realizados com o departamento de certificao processo de planejamento de auditorias. No momento do aceite da proposta, a organizao dever encaminhar 2 vias do prembulo e contrato assinados para a Fundao Vanzolini, Rua Camburi, 255 Alto da Lapa CEP 05058-020- So Paulo - SP (O recebimento deste documentos na Fundao Vanzolini so determinantes para o envio do certificado).
4 - Aprovao da proposta.
Organizao
Fundao Vanzolini
Fundao Vanzolini
Organizao
Data: 08/11/12
Pgina 9 de 25
Etapas
Responsabilidade
Prazo
Detalhes Para que o auditor possa elaborar o plano de auditoria fundamental que o manual da qualidade seja recebido pela Fundao Vanzolini, dentro do prazo solicitado. O no recebimento no prazo solicitado pode implicar em atrasos na elaborao do plano de auditoria. Os documentos devem ser enviados para manual@vanzolinicert.org.br A Fundao Vanzolini enviar o plano de auditoria para que a organizao conhea, com antecedncia, as reas / processos a serem auditados, bem como os horrios, esta atividade repetida antes de cada evento de auditoria (pr, fase 1 e fase 2, superviso).
Organizao
9 - Anlise de documentos.
Fundao Vanzolini
Fundao Vanzolini
7 dias
30 dias de antecedncia Agendamento j realizado Definido no relatrio de auditoria fase 1 Agendamento j realizado
Organizao
Aps o termino da auditoria Fase 1 a organizao deve enviar o Plano de Aes Corretivas, antes da Auditoria de Certificao Fase 2. (submisso por e-mail para manual@vanzolinicert.org.br).
Fundao Vanzolini
A equipe auditora realiza a auditoria de certificao apresentando ao final, o relatrio de auditoria e sua recomendao.
Data: 08/11/12
Pgina 10 de 25
Detalhes Aps o termino da auditoria a Equipe auditora submete a documentao com o parecer da Equipe Auditora para anlise da Comisso Tcnica.
Organizao
A Anlise da Comisso Tcnica somente ocorre aps o recebimento do Plano de Aes Corretivas e sua respectiva anlise / aprovao por parte da equipe auditoria.
Fundao Vanzolini
A Comisso Tcnica procede analise do processo de certificao. Ocorrendo a ratificao do parecer da equipe auditoria pela comisso tcnica o processo de certificao da organizao submetido para a deliberao do diretor de certificao da Fundao Vanzolini. Aps
Fundao Vanzolini
19 - Envio do certificado.
Fundao Vanzolini
deliberao do Diretor
Fundao Vanzolini
Como forma da organizao se planejar apropriadamente, logo aps a certificao as datas para as auditorias de superviso e recertificao so acordadas.
Data: 08/11/12
Pgina 11 de 25
A Fundao Vanzolini possui um corpo de auditores constitudo por profissionais com experincia comprovada e formao tcnica em prticas de auditoria.
Antes da elaborao de uma proposta comercial, o departamento de certificao efetua anlise crtica da solicitao do cliente, garantindo desta forma que os auditores que sero alocados para realizar os eventos de auditoria possuem a competncia necessria.
Aps o agendamento das auditorias e antes da realizao dos eventos in loco, a Fundao Vanzolini, disponibiliza o Currculo do auditor, o qual demonstra sua competncia. Caso exista algum impedimento por parte da organizao com relao alocao da equipe auditoria, a organizao dever se manifestar, possibilitando, mediante anlise, alterar a equipe auditora.
A Fundao Vanzolini tambm possui uma srie de atividades relacionadas aos auditores, de forma a garantir o mais alto padro de qualidade em sua prestao de servio. Dentre algumas destas atividades, pode-se citar:
a) Fruns de discusso tcnica; b) Treinamentos especficos; c) Planejamento de competncias para os auditores; d) Monitoramento das atividades da equipe auditora, por intermdio de pesquisa de satisfao com os clientes, monitoramento do processo de auditoria por comisso tcnica independente.
Data: 08/11/12 Pgina 12 de 25
DIMENSIONAMENTO DA AUDITORIA O dimensionamento definido para as auditorias pela Fundao Vanzolini segue as determinaes que todos os organismos certificadores devem obedecer, ou seja, as diretrizes da norma ISO/IEC 27006:2007, anexo C.
No-conformidade:
sistema, ou situao na qual, com base nas evidncias objetivas, pode gerar dvidas quanto a capacidade do sistema de gesto em alcanar os objetivos da norma de referncia, e Ausncia ou incapacidade total do Sistema atender a um elemento da norma de referncia
ou norma como um todo; Tambm pode ser caracterizada partir de um grande nmero de preocupaes,
Preocupaes:
experincia do auditor indiquem que, provavelmente, no implicar em uma quebra do Sistema; Uma no adequao ou no implantao de parte de um elemento requerido pela norma de
Oportunidade de Melhoria:
relevncia e impacto sobre a atividade auditada; Desconforto da Equipe Auditora; Falha potencial que no evidenciada pela Equipe Auditora, mas que a experincia do
Data: 31/10/12
Pgina 13 de 25
1. O que segurana da informao? Segundo a norma NBR ISO/IEC 27002:07, segurana da informao a proteo da informao contra vrios tipos de ameaas de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de negcios. Ainda segundo a NBR ISO/IEC 27002:07 a segurana da informao caracterizada pela preservao dos trs atributos bsicos da informao: confidencialidade, integridade e disponibilidade.
2. O que a NBR ISO / IEC 27001:2006? a norma de certificao para Sistemas de Gesto da Segurana da Informao, editada em portugus em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para prover um modelo para o estabelecimento, implementao, operao, monitoramento, reviso, manuteno e melhoria de um Sistema de Gesto de Segurana da Informao. A NBR ISO / IEC 27001 e NBR ISO / IEC 27002:07 foram o par consistente de normas relativas a Sistema de Gesto de Segurana da Informao.
3. O que NBR ISO/IEC 27002:07? A NBR ISO/IEC 27002:07 a verso brasileira da norma ISO homologada pela ABNT, a verso vlida de 2007. o Cdigo de Prtica para Gesto da Segurana da Informao. Serve como referncia para a criao e implementao de prticas de segurana reconhecidas internacionalmente, incluindo: Polticas, Diretrizes, Procedimentos, Controles um conjunto completo de recomendaes para: Gesto da Segurana de Informao e Controles e prticas para a Segurana da Informao. Ateno: a norma de certificao a NBR ISO / IEC 27001:2006, a NBR ISO / IEC 27002:07 a norma de referncia de boas prticas. 4. Qual a importncia que as organizaes do hoje a ISO 27001? Todas as grandes organizaes do mundo, sejam pblicas ou privadas, j tomaram conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas organizaes j esto incorporando os controles das normas em suas polticas de segurana.
Data: 31/10/12
Pgina 14 de 25
P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 5. Qual a importncia da ISO 27001? Ela permite que uma organizao construa de forma muito rpida uma poltica de segurana baseada em controles de segurana eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas.
6. Essas normas se aplicam a qualquer tipo de organizao? As normas foram criadas e se adaptam bem a organizaes comerciais. Instituies de ensino, instituies pblicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma organizao comercial. Apesar disso, qualquer organizao pode aproveitar grande parte dos controles da norma para implementar segurana da informao em suas instalaes.
7. O que SGSI? Sistema de Gesto de Segurana da Informao o resultado da aplicao planejada de objetivos, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como so reduzidos os riscos para segurana da informao. Uma organizao que implante a norma ISO 27001 acaba por constituir um SGSI.
8. Quais so as etapas para se constituir um SGSI? Em primeiro lugar, deve-se definir quais so seus limites (sua abrangncia fsica, lgica e pessoal). Depois devem ser relacionados os recursos que sero protegidos. Em seguida relaciona-se quais so as possveis ameaas a esses recursos, quais so as vulnerveis a que eles esto submetidos e qual seria o impacto da materializao dessas ameaas. Por fim,com base nessas informaes, so priorizados os controles necessrios para garantir a segurana desses recursos.
9. Para implantar a norma em uma organizao obrigatrio empregar todos os seus controles? No. Aplicam-se somente os controles para os servios, facilidades, espaos e condies existentes na organizao. Por exemplo, se a organizao no tem acesso remoto de usurios, todos os controles referentes a esse tipo de acesso podem ser ignorados.
10. O que a Declarao de Aplicabilidade? um documento exigido pela NBR ISO IEC 27001 no qual a organizao tem que relacionar quais controles do Anexo A so aplicveis e justificar os que no so aplicveis ao seu SGSI.
Data: 31/10/12 Pgina 15 de 25
P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 11. Como obter a norma NBR ISO IEC 27001? As normas NBR ISO, assim como as de outros pases, tm direitos autorais. As normas da srie NBR ISO devem ser adquiridas na ABNT Associao Brasileira de Normas Tcnicas.
12. Como a ISO 27001 se relaciona com as normas ISO 9001 e ISO 14001? A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e contedos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14001 com objetivo de estabelecer um contnua gesto da segurana da informao.
13. O que PDCA? PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) um mtodo de gesto que se caracteriza por um ciclo de aes que se repete continuamente de forma a incorporar alteraes no ambiente. Nas normas de gesto acima mencionadas empregado para garantir uma efetiva gesto da organizao.
14. Existe legislao que obrigue o uso da ISO 27001? As leis variam de pas para pas. A rigor no existem leis que obriguem o emprego de tais normas. No Brasil, existem recomendaes no sentido de empregar-se as normas emitidas por entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei SarbanesOxley (que atinge subsidirias de organizaes americanas de capital aberto instaladas no Brasil), promulgada em 2002, determinam cuidados no trato das informaes que, na prtica, obrigam as organizaes a empregar a ISO 27001/ISO 27002 como uma forma de demonstrarem que esto procurando cumprir os requisitos de segurana determinados por essas leis.
15. O que certificao? A certificao um documento emitido por uma entidade certificadora independente que garante que uma dada organizao implantou corretamente todos os controles da norma aplicveis. A certificao emitida aps uma auditoria externa para verificao da conformidade da organizao com a norma.
16. Para que serve a certificao? Ela comprova, para as organizaes certificadas, que a segurana da informao est garantida de forma efetiva, o que no significa, contudo, que a organizao esteja imune a violaes de segurana. Alm disso, a certificao comprova, para os clientes e fornecedores da organizao, o a preocupao que esta tem com a segurana da informao, reforando sua
Data: 31/10/12 Pgina 16 de 25
P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 imagem junto ao mercado. Dependendo da atividade da organizao, essa certificao pode ser essencial para a realizao de certos negcios.
17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna? Sim. Na realidade, a maior parte das organizaes a emprega dessa forma, uma vez que elas ainda no identificaram a necessidade ou a possibilidade de realizarem o processo de certificao.
18. Qual o custo de uma certificao? O custo depende de vrios fatores, tal como quanto tempo o responsvel pela certificao necessita para avaliar a conformidade da organizao com relao norma, o tamanho e a complexidade da organizao e de seus sistemas.
19. Muitas organizaes j obtiveram a certificao? Segundo a pesquisa ISO Survey de 2005, existem 7732 organizaes certificadas em Dez/2001. Destas, cerca de 4596 certificaes se encontram no Japo.
20. Quantas e quais organizaes foram certificadas no Brasil? Trinta organizaes brasileiras obtiveram a certificao at 2007. Informaes atualizadas sobre organizaes certificadas no Brasil e no mundo, alm do ISO Survey tambm podem ser obtidas atravs do site www.iso27001certificates.com.
21. Quem concede o certificado? Os certificados so emitidos por entidades certificadoras acreditadas por rgos de acreditao nacionais ou internacionais aps realizao de auditorias.
22. Como so feitas estas auditorias? A auditoria do Sistema de Gesto da Segurana da Informao dividida em 2 etapas: Auditoria de Documentao, conhecida como Fase 1 e Auditoria de Certificao, conhecida como Fase 2. Podendo existir tambm a Pr-Auditoria, esta por sua vez opcional.
23. O que Auditoria de Documentao? Em razo do tema abordado esta norma envolve documentos e informaes, muitas vezes, confidenciais, desta forma, fazem-se necessrio uma anlise prvia destes nas instalaes da prpria organizao visando verificao de sua adequao e a segurana dos dados. A Auditoria de Documentao o primeiro contato com a equipe auditora.
Data: 31/10/12 Pgina 17 de 25
P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 24. Qual a diferena entre a Auditoria de Documentao e a Pr-auditoria? A Auditoria de Documentao tem como foco a seguinte documentao: Declarao de
Aplicabilidade, Relatrio de Avaliao de Riscos e Anlise Crtica pela Direo entre outros possveis documentos associados a estes, conforme aplicvel. Esta anlise no contempla procedimentos e prticas especficos, uma vez que estes so objeto da Pr-auditoria, que tem por objetivo a anlise crtica da adequao do sistema norma.
25. Pr-auditoria o mesmo que Auditoria de Pr-certificao? Sim. Os dois termos so usados e reconhecidos pelo mercado para identificar um mesmo tipo de auditoria.
26. Quando devo solicitar a Pr-auditoria? Aps a implantao do Sistema de Gesto da Segurana da Informao e aps ter realizado pelo menos um ciclo de auditoria interna e pelo menos uma anlise crtica pela direo a organizao pode solicitar a realizao da Pr-auditoria para verificar o nvel de adequao norma em questo.
27. Minha organizao j possui a certificao pela norma anterior. Tambm posso solicitar uma Pr-auditoria segundo a nova verso? As organizaes j certificadas podem solicitar a realizao da Pr-auditoria para verificar o nvel de adequao norma em questo, aps a adequao do Sistema de Gesto da Segurana da Informao e aps ter realizado pelo menos um ciclo de auditoria interna . A Fundao Vanzolini recomenda que tenha tambm pelo menos uma anlise crtica do sistema j com a nova estrutura.
28. Para que serve a Pr-auditoria? A Pr-auditoria tem como principal objetivo a deteco de eventuais problemas conceituais que possam vir a ser despercebidos pela organizao em processo de certificao. Seria um exemplo de problema conceitual, a no aplicao de um requisito ou controle que influencie na Segurana da Informao da organizao. Isto pode ocorrer em razo de uma incorreta interpretao da norma para o negcio da organizao e/ou escopo considerado(s). No entanto, nestes casos a certificao no pode ser recomendada, causando transtornos para a organizao e uma certa decepo para todos os envolvidos. A fim de reduzir os riscos de no certificao por problemas de adequao, os organismos certificadores em todo o mundo passaram a realizar anlises prvias, estas anlises prvias so chamadas de pr-auditoria.
Data: 31/10/12 Pgina 18 de 25
P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 29. Como feita a pr-auditoria? A Pr-auditoria realizada nas instalaes da organizao e segue os mesmos passos da Auditoria de Certificao: Reunio de Abertura, investigao, relato das no-conformidades e reunio de encerramento. Geralmente a equipe auditora da Pr-auditoria ser a mesma da Anlise Documental e da Auditoria de Certificao. So verificados os procedimentos e a documentao em relao sua adequao norma de referncia. O tempo dimensionado para esta auditoria, normalmente no permite que a equipe auditora tenha tempo para verificar se as prticas descritas na documentao esto adequadamente implementadas isto o que chamamos de auditoria de conformidade, que ser realizada durante a Auditoria de Certificao (Inicial) e nas Auditorias de superviso (Anuais ou semestrais). 30. No meu oramento consta uma Pr-auditoria de um dia. Posso solicitar mais um ou dois dias? Sim. A carga horria definida no oramento mnima para checar todos os itens da norma. No entanto, caso a organizao deseje uma anlise mais aprofundada, a carga horria poder ser aumentada sem problema algum. Haver um aumento proporcional no preo do evento.
31. Posso pular a Pr-auditoria e ir direto para a Auditoria de Certificao? Sim. Tomando-se como base a experincia adquirida ao longo do tempo em certificaes de sistemas de gesto, a Fundao Vanzolini recomenda fortemente a realizao da Pr-auditoria, no entanto, se a organizao tem muita segurana na adequao e conformidade do seu sistema de gesto no h problema algum em ir direto para a Auditoria de Certificao.
32. Se o auditor no encontrar problemas na Pr-auditoria, j posso receber o certificado? No. A Pr-auditoria tem objetivo distinto da Auditoria de Certificao. A Pr-auditoria verifica a adequao do sistema, no colhendo evidncias suficientes de que as prticas refletem o planejamento contido nos procedimentos. A verificao da implementao feita na Auditoria de Certificao que no pode ser dispensada em nenhum caso.
33. Qual o prazo entre a Auditoria de Documentao e as Auditorias de Pr-certificao, Certificao e superviso? Com exceo s Auditorias de Superviso, que devem ocorrer no mnimo anualmente, no h um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser discutidos e acordados, conforme as necessidades de cada organizao. No entanto, a Fundao Vanzolini recomenda que a Auditoria de Documentao ocorra pelo menos 30 dias antes da Auditoria de Certificao e, caso seja solicitada, 30 dias antes da Pr-auditoria.
Data: 31/10/12 Pgina 19 de 25
P.035.08 - Manual de Comunicao com o Cliente - NBR ISO/IEC 27001 34. Quem faz parte da equipe auditora? Normalmente, a equipe auditora formada por um ou mais auditores com experincia em auditoria e conhecimentos do segmento de negcio da organizao. Por se tratar de uma norma especfica, as auditorias do Sistema de Gesto de Segurana da Informao devem contar sempre auditores que detenham conhecimentos tcnicos suficientes para compreender a linguagem dos auditados.
35. A Fundao Vanzolini mantm cursos sobre esta norma? A Fundao Vanzolini mantm cursos abertos e in company para implementao do Sistema de Gesto da Segurana da Informao, formao de Auditores Internos do SGSI e formao de Auditores Lderes NBR ISO/IEC 27001.
Data: 31/10/12
Pgina 20 de 25
(interpretaes e orientaes); b) JTC 1/SC 27 International Organization for Standardization's (ISO) Joint Technical Committee, Information technology, Subcommittee SC 27 , IT Security techniques. (orientaes e trabalhos); Site: http://www.iso.org/iso/technical_committee_contact.html?commid=45308 c) IAF The International Accreditation Forum Site : http://www.iaf.nu/ (Diretrizes).
Data: 31/10/12
Pgina 21 de 25
A organizao cujo sistema de gesto (Qualidade) possui os certificados emitidos pela Fundao Vanzolini e IQNet est autorizada a usar a marca de certificao da Fundao Vanzolini/IQNet (selo) aps garantir que :
1. A marca de certificao da Fundao Vanzolini/IQNet de sistema de gesto pode ser utilizada pela organizao detentora do certificado, desde que:
com o nome da organizao certificada (e da diviso, se necessrio); com o nmero do certificado (opcional); fazendo referncia norma aplicvel; dentro do perodo de validade do certificado; dentro do escopo / rea certificada; utilizado pela companhia certificada (o responsvel legal); sem qualquer mudana.
2. A marca de certificao da Fundao Vanzolini/IQNet pode ser utilizada para fins comerciais, aparecer em documentos usados nas correspondncias da organizao, na internet e em propaganda. Ela no deve ser utilizada em declaraes que ultrapassem o escopo dos certificados emitidos pela Fundao Vanzolini e IQNet, principalmente nos casos em que h cobertura parcial dos certificados com relao totalidade da linha de produtos/servios da organizao. Em caso de dvida, o escopo da certificao dever ser especificado.
3. As declaraes da certificao devem indicar que os produtos referidos so procedentes de uma organizao cujo Sistema de Gesto (Qualidade) foi certificado pela Fundao Vanzolini e IQNet.
4.
vedado o uso da marca de certificao da Fundao Vanzolini/IQNet diretamente nos produtos e nas suas embalagens primrias.
5. Na utilizao da marca de certificao da Fundao Vanzolini/IQNet, o usurio da marca dever observar os princpios da concorrncia honesta. O usurio dever impedir qualquer uso ou declarao a respeito marca de certificao, que seja inaceitvel pela Fundao Vanzolini ou pela IQNet.
Data: 31/10/12
Pgina 22 de 25
7. O uso da marca de certificao da Fundao Vanzolini/IQNet restrito s organizaes autorizadas e o direito de uso deste no deve ser transferido para terceiros ou substitutos, nem ser objeto de cesso ou aquisio ou de qualquer medida compulsria.
8. No caso de laboratrios de calibrao e ensaios certificados, estes no podem dar a entender a seus clientes que a certificao equivale a acreditao com base no ABNT ISO/ IEC Guia 17025. Os laboratrios no podem utilizar a marca de certificao da Fundao Vanzolini/IQNet nos laudos/certificados entregues aos seus clientes.
- Certificado IQNet 9. O certificado IQNet baseado em auditoria e certificao realizadas pela Fundao Vanzolini, ou sob sua coordenao, e emitido por esse membro em nome da IQNet. A certificao IQNet foi instituda em funo da mtua confiana entre os membros, resultante da avaliao entre seus pares, da cooperao e da assinatura do acordo multilateral IQNet Multilateral Agreement (MLA) de reconhecimento mtuo de certificados. 10. O certificado IQNet fornecido organizao certificada em razo da qualidade de membro da IQNet da Fundao Vanzolini.
12. Caso a Fundao Vanzolini deixe de ser associada IQNet, o certificado IQNet da organizao deixar de ser vlido e ser recolhido pela Fundao Vanzolini, no prazo de 30 dias.
- Quadro Geral de Uso da Marca Como meio de melhor elucidar o uso de marca de certificao para indicar quando um produto foi feito sob um sistema de gesto da qualidade certificado, segue abaixo tabela:
No Produto *1 Sem Declarao Uso da Marca *3 Com Declarao *4 No permitido Permitido *5 Permitido * 5 No permitido Em caixas maiores, etc. usadas para o transporte de produtos *2 No Permitido Em Panfletos, etc. para propaganda Permitido * 5
Data: 31/10/12
Pgina 23 de 25
Qualquer intencional ou flagrante violao negligente das providncias acima resultar na anulao da concesso dos Certificados. O direito de uso da marca de certificao termina na no renovao ou anulao da concesso dos Certificados da Fundao Vanzolini e IQNet, depois dos perodos transitrios especificados para tais casos.
Todas as reclamaes so analisadas criticamente e so tomadas as devidas aes de melhoria e/ou aes corretivas.
Caso a organizao no concorde com as deliberaes da Fundao Vanzolini, ela poder iniciar um processo de apelao, dirigido ao nvel competente da Fundao Vanzolini, a saber: Comisso Tcnica, Diretor de Certificao e Conselho de Certificao.
Data: 31/10/12
Pgina 24 de 25
Data: 31/10/12
Pgina 25 de 25