Você está na página 1de 92

Objetivos

●● Escopo, propósito, termos e definições-chave da norma ISO/IEC 27001 e como ela pode ser
utilizada.
●● Requisitos para definição do escopo e aplicabilidade.

Quem é CertiProf®?

A CertiProf® oferece uma ampla gama de certificações profissionais para indivíduos e empresas. Sua
missão é preparar professionais com a mais alta qualidade e reconhecimento internacional.

Com uma equipe internacional especializada na implementação de materiais, o instituto é um dos


principais fornecedores educacionais no mercado dos EUA, e Regiões da América Latina.
 
Capacita pessoas e as ajudam a atingir seu nível de excelência, fornecendo-lhes as ferramentas e
treinamento necessários para aumentar seu desempenho, habilidades e melhorar seu desenvolvimento
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

profissional.

Quem deve participar deste treinamento?

Qualquer pessoa interessada em expandir seus conhecimentos sobre a Norma ISO/IEC 27001.

2
Ementa

1. Introdução e Histórico 9
Introdução 10
História da Norma 10
ISO/IEC 27001:2013 Estrutura 11
ISO 27000 Família de Normas 11
2. Conceitos-Chave 12
O que é SGSI? 13
Informação e Princípios Gerais 13
A Segurança da Informação 14
Sistema de Gestão 14
Fatores Fundamentais para o Sucesso de um SGSI 15
Benefícios da Família de Normas SGSI 15
3. Termos e Definições 17
3.1 Controle de Acesso 18
3.2 Modelo Analítico 18
3.3 Ataque 18
3.4 Atributo 18
3.5 Auditoria 18
3.6 Escopo da Auditoria 18

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


3.7 Autenticação 19
3.8 Autenticidade 19
3.9 Disponibilidade 19
3.10 Medida Básica 19
3.11 Competência 19
3.12 Confidencialidade 19
3.13 Conformidade 19
3.14 Consequência 20
3.15 Melhoria Contínua 20
3.16 Controle 20
3.17 Objetivo do Controle 20
3.18 Correção 20
3.19 Ação Corretiva 20
3.20 Ativos 21
3.21 Critérios de Decisão 21
3.22 Medida Derivada 21
3.23 Informação Documentada 21
3.24 Eficácia 21

3
3.25 Evento 22
3.26 Direção Executiva 22
3.27 Contexto Externo 22
3.28 Governança da Segurança da Informação 22
3.29 Órgão do Governo 23
3.30 Indicador 23
3.31 Necessidades de Informação 23
3.32 Recursos (estações) de Tratamento de Informação 23
3.33 Segurança da Informação 23
3.34 Continuidade da Segurança da Informação 23
3.35 Incidente ou Ocorrência de Segurança da Informação 23
3.36 Incidente de Segurança da Informação 24
3.37 Gestão de Incidentes de Segurança da Informação 24
3.38 Grupo que Compartilha Informação 24
3.39 Sistema de Informação 24
3.40 Integridade 24
3.41 Parte Interessada 24
3.42 Contexto Interno 25
3.43 Projeto de SGSI 25
3.44 Nível de Risco 25
3.45 Probabilidade (likehood) 25
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

3.46 Sistema de Gestão 26


3.47 Medida 26
3.48 Medição 26
3.49 Função de Medição 26
3.50 Método de Medição 27
3.51 Resultados das Medições 27
3.52 Supervisão, Rastreamento ou Monitoramento (monitoring) 27
3.53 Não Conformidade 27
3.54 Não Rejeição 27
3.55 Objeto 27
3.56 Objetivo 28
3.57 Organização 28
3.58 Contratar Externamente (Termo) 28
3.59 Desempenho 28

4
3.60 Política 29
3.61 Processo 29
3.62 Confiabilidade 29
3.63 Requisito 29
3.64 Risco Residual 29
3.65 Revisão 29
3.66 Objeto em Revisão 29
3.67 Objetivo da Revisão 30
3.68 Risco 30
3.69 Aceitação de Risco 30
3.70 Análise de Risco 31
3.71 Verificação de Risco 31
3.72 Comunicação e Consulta de Risco 31
3.72 Comunicação e Consulta de Risco 31
3.74 Avaliação de Risco 32
3.75 Identificação de Risco 32
3.76 Gestão de Risco 32
3.77 Processo de Gestão de Risco 33
3.78 Proprietário do Risco 33
3.79 Tratamento de Risco 33
3.80 Escala 34

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


3.81 Norma de Implementação de Segurança 34
3.82 Parte Interessada 34
3.83 Ameaça 34
3.84 Alta Direção 34
3.85 Entidade de Confiança para a Comunicação da Informação 35
3.86 Unidade de Medida 35
3.87 Validação 35
3.88 Verificação 35
3.89 Vulnerabilidade 35
4. Contexto da Organização 36
4.1 Compreensão da Organização e de seu Contexto 37
4.2 Compreensão das Necessidades e Expectativas das Partes Interessadas 37
4.3 Determinação do Escopo do Sistema de Gestão de Segurança da Informação 38
4.4 Sistema de Gestão de Segurança da Informação 38
5. Liderança 39
5.1 Liderança e Compromisso 40
5.2 Política 41
5.3 Papeis, Responsabilidades e Poderes na Organização 41

5
6. Planejamento 42
6.1 Ações para Tratar os Riscos e Oportunidades 43
6.2 Objetivos de Segurança da Informação e Planejamento para sua Execução 45
7. Suporte 46
7.1 Recursos 47
7.2 Competência 47
7.3 Conscientização 48
7.4 Comunicação 48
7.5 Informação Documentada 48
8. Operação 50
8.1 Planejamento e Controle Operacional 51
8.2 Verificação de Riscos de Segurança da Informação 51
8.3 Tratamento de Riscos de Segurança da Informação 51
9. Avaliação de Desempenho 52
9.1 Rastreamento, Medição, Análise e Avaliação 53
9.2 Auditoria Interna 53
9.3 Revisão da Direção 54
10. Melhoria 55
10.1 Não Conformidade e Ações Corretivas 56
10.2 Melhoria Contínua 56
Auditoria 57
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Auditor 58
Termos e Definições ISO 19011:2011 58
Tipos 59
Critérios de Auditoria 59
Evidência da Auditoria 59
Achados da Auditoria 60
Conclusões da Auditoria 60
Cliente da Auditoria 61
Auditado 61
Auditor 61
Equipe de Auditoria 62
Especialista Técnico 62
Observador 62
Guia 63
Programa de Auditoria 63
Escopo da Auditoria 63

6
Plano de Auditoria 64
Risco 64
Competência 64
Conformidade 65
Não Conformidade 65
Sistema de Gestão 65
Workshop 25 Minutos 66
Programa de Auditoria 67
Princípios de Auditoria 67
Atributos dos Auditores 68
Auditoria e Evidência 68
Reunião de Abertura 69
Workshop 25 Minutos 70
Estabelecer um Programa de Auditoria 71
Competências dos Auditores 71
Métodos de Auditoria Aplicáveis 72
Objetivos da Auditoria Interna 72
Auditoria Interna Evidência Objetiva 72
Atividades da Auditoria 73
Preparação das Atividades De Auditoria do Site 73
Responsabilidades do Auditor Líder 74

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Responsabilidades do Co-Auditor 74
Workshop 25 Minutos 75
Preparação Individual do Auditor 76
Plano de Auditoria 76
Listas de Checagem ou Verificação 76
Perguntas-Chave do Auditor 77
Tipo de Perguntas 77
Captação de Evidência Objetiva 78
Executando a Auditoria 78
Fontes de Informação 79
Realização de Entrevistas 79
Técnicas de Entrevista Do Auditor 80
Atitudes a Tomar para Controlar a Auditoria 80
Como dificultar a  Auditoria (Auditado)? 80
Administração do Tempo 81
Lidar com Situações Difíceis 81
Resultados da Auditoria 82
Tipos de Achados 82

7
Violações mais Comuns 83
Workshop 25 Minutos 84
A Reunião de Encerramento 85
Relatório da Auditoria 85
O Que não Incluir no Relatório da Auditoria? 86
Modelo de Relatório 86
Ações Corretivas 87
Auditorias de Acompanhamento 87
Redigir as Não Conformidades 87
Forma de Escrita das Não Conformidades 88
Fases da Auditoria 88
Conclusões 89
Conclusões 90
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

8
Introdução

●● ISO/IEC 27001. 
●● História da Norma. 
●● Estado atual. 
●● Definições.

●● A Norma foi criada para “oferecer os requisitos para estabelecer, implementar, manter e melhorar
continuamente o sistema de gestão de segurança da informação”.
●● A Norma “pode ser utilizada por partes internas e externas para avaliar a capacidade da organização
para cumprir com seus próprios requisitos de segurança da informação”.
●● A Norma também inclui “requisitos para a validação e o tratamento de riscos em segurança da
informação conforme as necessidades da organização. Os requisitos estabelecidos nesta Norma
Internacional são genéricos e espera-se que sejam aplicáveis à todas organizações, independente
de seu tipo, tamanho ou natureza”.
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

História da Norma

●● Código de prática. 
●● BS7799. 
●● BS7799 ver 2. 
●● ISO 17799. 
●● BS7799 parte 2. 
●● ISO 17799 atualização. 
●● ISO 27001. 
●● ISO 27002. 
●● Desenvolvimento de série e atualizações.

10
ISO/IEC 27001:2013 Estrutura

A nova estrutura reflete a estrutura de outras normas novas de gestão, tais como ISO 9000, ISO
20000 e ISO 22301, que ajudam as organizações a cumprir com várias normas.
 
Os Anexos B e C da 27001:2005 foram eliminados.
 
Há uma seção adicional sobre a subcontratação.
 
O ciclo PDCA de melhoria contínua não é mais o principal. A avaliação de risco mais importante do
contexto organizacional mudou.
 
Existem 114 controles em 14 grupos em comparação com os 133 controles em 11 grupos na versão
de 2005.

ISO 27000 Família de Normas

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

11
Informação e Princípios Gerais

SGSI (Sistema de Gestão da Segurança da Informação) consiste em um conjunto de políticas,


procedimentos, guias, recursos e atividades associadas, que são gerenciados coletivamente por uma
organização. 
 
SGSI é uma abordagem sistemática para estabelecer, implementar, operar, monitorar, revisar, manter e
melhorar a segurança da informação de uma organização para alcançar os objetivos do negócio. 
 
Esta abordagem baseia-se em na avaliação de risco e níveis de aceitação de risco da organização

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


projetados para tratar e gerenciar os riscos com eficácia. 
 
A análise dos requisitos para a proteção de ativos de informação e a aplicação de controles adequados
para garantir a proteção destes ativos de informação, conforme seja necessário, contribuem para a
implementação bem-sucedida de um SGSI.

Podem contribuir para o sucesso da implementação de um SGSI:

a) A consciência da necessidade de segurança da informação.


b) Atribuição de responsabilidades em segurança da informação. 
c) A incorporação do compromisso da Direção e os interesses das partes interessadas. 
d) A melhoria dos valores sociais. 
e) Avaliações de risco para determinar os controles apropriados para alcançar níveis aceitáveis de
risco. 
f) Segurança incorporada como elemento essencial dos sistemas e redes de informação. 
g) Prevenção e detecção ativa de incidentes de segurança da informação. 
h) Garantir uma abordagem abrangente à gestão da segurança da informação. 
i) A avaliação contínua da segurança da informação e a realização de modificações quando apropriado.

13
A Segurança da Informação

A segurança da informação inclui três dimensões


principais: confidencialidade, disponibilidade e
integridade. A fim de garantir o sucesso sustentado
dos negócios bem como sua continuidade e
minimizar impactos, a segurança da informação
envolve a aplicação e o gerenciamento de
medidas de segurança adequadas que envolvem
a consideração de uma ampla gama de ameaças.

A segurança da Informação é obtida através da


implementação de um conjunto de controles
aplicáveis, selecionados através do processo de
gerenciamento de riscos escolhido e gerenciado
por meio de um SGSI, usando políticas, processos,
procedimentos, estruturas organizacionais,
software e hardware para proteger os ativos de
informação identificados.
 
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Estes controles precisam ser especificados, implementados, monitorados, revisados e melhorados


quando necessário, para garantir que a segurança e os objetivos específicos do negócio e da segurança
sejam atingidos. Estes controles de segurança da informação devem ser integrados de maneira
consistente aos processos de negócios de uma organização.

Sistema de Gestão

O sistema de gestão utiliza uma estrutura de recursos para alcançar os objetos da organização.
O sistema de gestão inclui a estrutura organizacional, as políticas, o planejamento das atividades,
responsabilidades, práticas, procedimentos, processos e recursos.

Em termos de segurança da informação, um sistema de gestão permite à organização:

a) Satisfazer os requisitos de segurança dos clientes e outras partes interessadas. 


b) Melhoria dos programas e atividades da organização. 
c) Cumprir os objetivos de segurança da informação da organização. 
d) Cumprir os regulamentos, leis e obrigações do setor. 
e) Gerenciar os ativos de informação de maneira organizada que facilite a melhoria contínua e a
adaptação às metas atuais da organização e de seu ambiente.

14
Fatores Fundamentais para o Sucesso de um SGSI

Um grande número de fatores é fundamental para o sucesso na implementação de um SGSI que permita
à uma organização alcançar seus objetivos de negócio. Alguns exemplos de fatores fundamentais para
o sucesso são:

a) Que a política, os objetivos e atividades de segurança da informação estejam alinhadas com os


objetivos. 
b) A abordagem e a estrutura para o projeto, execução, incidentes, manutenção e melhoria da
segurança da informação estejam em consonância com a cultura da organização.
c) O apoio significativo e o compromisso de todos os níveis da Direção, especialmente da alta Direção. 
d) O conhecimento e entendimento dos requisitos de proteção dos ativos de informação obtidos
mediante a aplicação da gestão de risco da segurança da informação (ver Norma ISO/IEC 27005).
e) Um programa efetivo de conscientização, formação e educação sobre segurança da informação,
informando a todos funcionários e outras partes interessadas, de suas obrigações em segurança
da informação estabelecidas na política de segurança da informação, normas, etc., e motivá-los a
atuar adequadamente. 
f) Um processo eficaz de gestão de incidentes de segurança da informação. 
g) Uma abordagem efetiva de gestão da continuidade do negócio. 
h) Um sistema de medição utilizado para avaliar o desempenho na gestão da segurança da informação
e para propor sugestões de melhoria.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Um SGSI aumenta a probabilidade de que uma organização atinja de forma coerente os fatores
fundamentais para o sucesso na proteção de seus ativos de informação.

Benefícios da Família de Normas SGSI

Os benefícios de implementar um SGSI produzirão principalmente uma redução dos riscos associados
a segurança da informação (quer dizer, reduzir a probabilidade e/ou impacto causado pelos incidentes
de segurança da informação). De uma forma mais específica os benefícios que para uma organização
produz com êxito a adoção da família de normas SGSI são:

a) Apoio ao processo de especificação, implementação, operação e manutenção de um SGSI, global,


eficiente em custos, integrado e alinhado para satisfazer as necessidades da organização em
diferentes operações e locais. 
b) Ajuda à direção na estrutura de seu conteúdo para a gestão da segurança da informação, no contexto
da gestão e administração do risco corporativo, incluídas as ações de educação e formação em uma
gestão holística da segurança da informação aos proprietários do negócio e do sistema.

15
c) A promoção de boas práticas de segurança da informação aceitas mundialmente, de uma maneira
não obrigatória, oferecendo para as organizações a flexibilidade de adoção e melhoria dos
controles aplicáveis, respeitando suas circunstâncias específicas e para mantê-los de preparados
para enfrentar futuras mudanças internas e externas. 
d) Estabelecer uma linguagem comum e uma base conceitual para a segurança da informação,
tornando mais fácil adquirir confiança em sócios de um negócio que esteja em conformidade com
um SGSI, especialmente se for requerida a certificação conforme a Norma ISO/IEC 27001 por um
órgão de certificação credenciado. 
e) Aumentar a confiança na organização pelas partes interessadas. 
f) Satisfazer necessidades e expectativas sociais. 
g) Gestão mais eficaz do ponto de vista econômico dos investimentos em segurança da informação.
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

16
3.1 Controle de Acesso

Meios para garantir que o acesso aos ativos esteja autorizado e restringido às exigências do negócio
e da segurança.

3.2 Modelo Analítico

Algoritmo ou cálculo que combina uma ou mais medidas básicas (3.10) ou derivadas (3.22) seguindo
critérios de decisão associados às mesmas.

3.3 Ataque

Tentativa de destruir, expor, alterar, desativar, roubar ou acessar sem autorização ou fazer uso não
autorizado de uma informação.

3.4 Atributo

Propriedade ou característica de um objeto (3.55) que seja quantitativa ou qualitativamente distinguível


por meios humanos ou automáticos. 
 
[Adaptado de ISO/IEC 15939:2007]
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

3.5 Auditoria

Processo (3.61) sistemático, independente e documentado para obter evidências da auditoria e avaliá-
las de maneira objetiva com a finalidade de determinar o grau em que se cumprem os critérios de
auditoria. 
 
NOTA 1: Uma auditora pode ser interna (da primeira parte); de fornecedor (da segunda parte); para
certificação ou regulamentação (terceira parte), e pode ser combinada (com duas ou mais áreas). 
 
NOTA 2: “Evidência de auditoria” e “critérios de auditoria” se definem na Norma ISSO 19011.

3.6 Escopo da Auditoria

Extensão e limites de uma auditoria (3.5).


  
[ISO 19011:2011]

18
3.7 Autenticação

Comprovação de garantias de que são corretas as características que uma entidade reivindica para si
mesma.

3.8 Autenticidade

Recurso consistente, no qual uma entidade é o que diz ser.

3.9 Disponibilidade

Estar acessível e pronto para o seu uso ou demanda de uma entidade autorizada.

3.10 Medida Básica

Medida (3.47) definida por meio de um recurso (3.4) e/ou método para quantificá-lo. [ISO/IEC
15939:2007]
 
NOTA: Uma medida básica é funcionalmente independente de outras medidas.

3.11 Competência

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Capacidade para aplicar conhecimentos e habilidades com o fim de atingir os resultados previstos.

3.12 Confidencialidade

Posse da informação que é mantida inacessível e não se revela a indivíduos, entidades ou processos
(3.61) não autorizados.

3.13 Conformidade

Cumprimento de um requisito (3.63).

19
3.14 Consequência

Resultado de um incidente (3.25) que afeta os objetivos (3.56).


  
[Guia ISO 73:2009] 
 
NOTA 1: Um incidente pode gerar uma série de consequências. 
NOTA 2: Uma consequência pode ser certa ou incerta e normalmente é negativa no contexto da
segurança da informação. 
NOTA 3: As consequências podem ser manifestadas de forma qualitativa ou quantitativa. 
NOTA 4: As consequências iniciais podem se converter em reações em cadeia.

3.15 Melhoria Contínua

Atividade recorrente para melhorar o desempenho (3.59).

3.16 Controle

Medida que modifica um risco (3.68). 


 
[ISO Guia 73:2090] 
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

 
NOTA 1: Os controles incluem qualquer processo, política, dispositivo, prática, e outras ações que
modifiquem um risco. 
NOTA 2: Os controles nem sempre podem proporcionar o efeito de modificação previsto ou assumido.

3.17 Objetivo do Controle

Declaração que descreve o que se deseja alcançar como resultado da implementação de controles
(3.16).

3.18 Correção

Ação para eliminar uma não conformidade (3.53) detectada.

3.19 Ação Corretiva

Ação para eliminar a causa de uma não conformidade (3.53) e prevenir que volte a ocorrer.

20
3.20 Ativos

Conjunto de valores associados a medidas básicas (3.10), medidas derivadas (3.22) e/ou indicadores
(3.30). 
 
[ISO/IEC 15939:2007] 
 
NOTA: Esta definição só se aplica no contexto da Norma ISO/IEC 27004:2009.

3.21 Critérios de Decisão

Limites, objetivos ou padrões utilizados para determinar a necessidade de uma ação ou de uma maior
investigação, ou para descrever o nível de confiança em um determinado resultado.
  
[ISO/IEC 15939:2007]

3.22 Medida Derivada

Medida (3.47) que se define em função de dois ou mais valores de medidas básicas (3.10).
  
[ISO/IEC 15939:2007]

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


3.23 Informação Documentada

Informação que uma organização (3.57) tem que controlar e a forma de mantê-la. 
 
NOTA 1: A informação documentada pode estar em qualquer formato e método, e pode vir de qualquer
fonte.  
NOTA 2: A informação documentada pode fazer referência a:

●● O sistema de gestão (3.46), incluídos os processos (3.61) relacionados. 


●● A Informação criada para que a organização funcione (documentação). 
●● A evidência dos resultados alcançados (registros).

3.24 Eficácia

Grau em que se realizam as atividades planejadas e se alcançam os resultados planejados.

21
3.25 Evento

Ocorrência ou mudança de um conjunto específico de circunstâncias. 


  
[Equivalente a “incidente” na Guia ISO 73:2009] 
 
NOTA 1: Um evento pode ser único ou se repetir, devido à várias causas.  
NOTA 2: Um evento pode consistir em algo que nem chegue a acontecer.  
NOTA 3: Algumas vezes, um evento se classifica como “incidente” ou “acidente”.

3.26 Direção Executiva

Pessoa ou grupo de pessoas de órgãos do governo (3.29) que delegam a responsabilidade de


implementar estratégias e políticas para alcançar a missão da organização (3.57).
  
NOTA: A direção executiva às vezes se chama alta direção e pode incluir diretores gerais, diretores
financeiros, diretores de informação e outras funções similares.

3.27 Contexto Externo

Ambiente externo no qual a organização busca alcançar seus objetivos.


CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

 
[Guia ISO 73:2009] 
 
NOTA: O ambiente externo pode incluir: 
 
●● O ambiente cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e
competitivo, a nível internacional, nacional, regional ou local. 
●● Os fatores e as tendências que tenham impacto sobre os objetivos (3.56) da organização (3.57). 
●● As relações com as partes interessadas externas (3.82), suas percepções e seus valores.

3.28 Governança da Segurança da Informação

Conjunto de princípios e processos (3.61) diante dos quais uma organização (3.57) dirige e supervisiona
as atividades relacionadas com a segurança da informação.

22
3.29 Órgão do Governo

Grupo de pessoas que respondem e prestam contas do desempenho (3.59) da organização (3.57).
  
NOTA: Em algumas jurisdições, o órgão do governo pode ser o conselho de administração.

3.30 Indicador

Medida (3.47) que proporciona uma estimativa ou avaliação de determinados recursos (3.4) usando
um modelo analítico (3.2) para satisfazer determinadas necessidades de informação (3.31).

3.31 Necessidades de Informação

Conhecimento necessário para gerenciar os objetivos, metas, riscos e problemas.


  
[ISO/IEC 15939:2007]

3.32 Recursos (estações) de Tratamento de Informação

Qualquer sistema de tratamento da informação, serviços ou infraestrutura, ou locais físicos que os


comportem.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


3.33 Segurança da Informação

Preservação da confidencialidade (3.12), integridade (3.40) e disponibilidade (3.9) da informação.


  
NOTA: Podendo também, cobrir outros recursos, como a autenticidade (3.8), responsabilidade, a não
rejeição (3.54) e a confiabilidade (3.62).

3.34 Continuidade da Segurança da Informação

Processos (3.61) e procedimentos para garantir a continuidade das atividades relacionadas com a
segurança da informação (3.33).

3.35 Incidente ou Ocorrência de Segurança da Informação

Ocorrência detectada no estado de um sistema, serviço ou rede que indique uma possível violação
da política de segurança da informação, uma falha dos controles ou uma situação desconhecida até o
momento e que pode ser relevante para a segurança.

23
3.36 Incidente de Segurança da Informação

Evento isolado ou série de eventos de segurança da informação (3.35), inesperados ou não desejados,
que tenha uma probabilidade significativa de comprometer as operações do negócio e de ameaçar a
segurança da informação (3.33).

3.37 Gestão de Incidentes de Segurança da Informação

Processos (3.61) para a detecção, notificação, avaliação, resposta, tratamento, e conhecimento de


incidentes de segurança da informação (3.36).

3.38 Grupo que Compartilha Informação

Grupo de organizações que concordam em compartilhar informação.


  
NOTA: Uma organização pode ser um indivíduo.

3.39 Sistema de Informação

Aplicações, serviços, recursos de tecnologia da informação e outros componentes para trabalhar a


informação.
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

3.40 Integridade

Capacidade de precisão e integridade.

3.41 Parte Interessada

Pessoa ou organização (3.57) que possa afetar, estar afetada, ou perceber que foi afetada por uma
decisão ou atividade.

24
3.42 Contexto Interno

Ambiente interno no qual a organização busca alcançar seus objetivos. 


 
[Guia ISO 73:2009] 
 
NOTA: O contexto interno pode incluir: 
●● O governo, a estrutura da organização, as funções e a obrigação de prestar contas. 
●● As políticas, os objetivos as estratégias que se estabelecem para consegui-los. 
●● As capacidades, entendidas em termos de recursos e conhecimentos (por exemplo, capital, tempo,
pessoas, processos, sistemas e tecnologias). 
●● Os sistemas de informação, os fluxos de informação e os processos de tomada de decisão (tanto
formais como informais). 
●● As relações, percepções e os valores das partes internas interessadas. 
●● A cultura da organização. 
●● As normas, as diretrizes e os modelos adotados pela organização. 
●● A forma e amplitude das relações contratuais.

3.43 Projeto de SGSI

Atividades estruturais levadas em consideração por uma organização (3.57) para implementar um

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


SGSI.

3.44 Nível de Risco

Importância de um risco (3.68) ou combinação de riscos, demonstrados em termos da combinação das


consequências (3.14) e de sua probabilidade (3.45).
 
[Guia ISO 73:2009]

3.45 Probabilidade (likehood)

Possibilidade de que algo feito se produza.


  
[Guia ISO 73:2009]

25
3.46 Sistema de Gestão

Conjunto de elementos de uma organização (3.57) inter-relacionados ou que interajam para definir
políticas (3.60), objetivos (3.56) e processos (3.61) para atingir estes objetivos. 
 
NOTA 1: Um sistema de gestão pode tratar uma ou várias áreas.  
NOTA 2: Os elementos do sistema incluem a estrutura da organização, os papeis e as responsabilidades,
o planejamento, a operação, etc.  
NOTA 3: O escopo de um sistema de gestão pode incluir a totalidade da organização, funções
específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma
ou mais funções dentro de um grupo de organizações.

3.47 Medida

Variável na qual um valor é atribuído como resultado de uma medição (3.48).


   
[ISO/IEC 15939:2007]
  
NOTA: O termo “medida” é usado para se referir a medidas básicas, derivativos e indicadores.

3.48 Medição
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Processo (3.61) para determinar um valor. 


 
NOTA: No contexto de segurança da informação (3.33), o processo para determinar um valor requer
informação sobre a eficácia (3.24) de um sistema de gestão (3.46) de segurança da informação e seus
controles correspondentes (3.16) usando um método de medição (3.50), uma função de medição
(3.49), um modelo analítico (3.2), e critérios de decisão (3.21).

3.49 Função de Medição

Algoritmo ou cálculo realizado para combinar duas ou mais medidas básicas (3.10).
  
[ISO/IEC 15939:2007]

26
3.50 Método de Medição

Sequência lógica de operações descritas genericamente, usada na quantificação de um atributo (3.4)


em relação a uma escala (3.80) específica. 
 
[ISO/IEC 15939:2007] 
 
NOTA: O tipo de método de medição depende da natureza das operações usadas para quantificar um
atributo. Existem dois tipos: 
 
●● Subjetivo: A quantificação se baseia no julgamento humano. 
●● Objetivo: A quantificação se baseia em regras numéricas.

3.51 Resultados das Medições

Um ou mais indicadores (3.30) e suas correspondentes interpretações que se referem a necessidade


de informação (3.31).

3.52 Supervisão, Rastreamento ou Monitoramento (monitoring)

Determinação do estado de um sistema, processo (3.61) ou atividade.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


  
NOTA: Para determinar o estado pode ser necessário verificar, supervisionar e observar de forma
crítica.

3.53 Não Conformidade

Não cumprimento de um requisito (3.63).

3.54 Não Rejeição

Capacidade para afirmar que está certa a reivindicação de que ocorreu algum incidente ou realizou-se
certa ação por parte das entidades que o originaram.

3.55 Objeto

Elemento caracterizado por meio da medição (3.48) de seus atributos (3.4).

27
3.56 Objetivo

Resultado a alcançar. 

NOTA 1: Um objetivo pode ser estratégico, tático ou operacional. 


NOTA 2: Os objetivos podem referir-se a diferentes áreas como financeira, segurança, saúde e
ambiental) e podem se aplicar em diferentes níveis como estratégicos, para toda a organização, para
projetos, produtos e processos (3.61). 
NOTA 3: Um objetivo pode ser demonstrado de outras maneiras, por exemplo, como um resultado
previsto, um propósito, um critério operacional, um objetivo de segurança da informação, ou no uso
de termos com significados similares (por exemplo, finalidade ou meta). 
NOTA 4: No contexto de sistemas de gestão da segurança da informação, a organização estabelece
os objetivos de segurança da informação, de acordo com a política de segurança da informação, para
atingir resultados específicos.

3.57 Organização

Pessoa ou grupo de pessoas que têm suas próprias funções com responsabilidades, poderes e relações
para atingir seus objetivos (3.56).
  
NOTA: O conceito de organização inclui, mas não se limita a, empresários, empresa individual,
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

corporações, empresas, autoridades, associações, etc., em si, parcialmente ou grupo de organizações,


sejam elas públicas ou privadas.

3.58 Contratar Externamente (Termo)

Estabelecer um acordo mediante o qual uma organização (3.57) externa realiza parte de uma função
ou processo (3.61) de uma organização.
 
NOTA 1: Uma organização externa está fora do escopo do sistema de gestão (3.46), ainda que a
função ou processo contratado externamente faça parte do negócio.

3.59 Desempenho

Resultado mensurável. 

NOTA 1: O desempenho pode se relacionar com resultados quantitativos ou qualitativos. 


NOTA 2: O desempenho pode se relacionar com a gestão de atividades, processos (3.61), produtos
(incluídos serviços), sistemas e organizações (3.57).

28
3.60 Política

Intenções e direcionamentos de uma organização (3.57), como as manifestam formalmente sua alta
direção (3.84).

3.61 Processo

Conjunto de atividades inter-relacionadas ou que interagem, que transforma elementos de entrada


em elementos de saída.

3.62 Confiabilidade

Recurso relativo à consistência no comportamento e nos resultados desejados.

3.63 Requisito

Necessidade ou expectativa que está estabelecida, geralmente implícita e obrigatória.


  
NOTA 1: “Geralmente implícita” significa que é um costume ou prática comum na organização e pelas
partes interessadas, que a necessidade ou expectativa que se considera está implícita. 
NOTA 2: Um requisito especificado é o que está declarado, por exemplo, na informação documentada.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


3.64 Risco Residual

Risco (3.68) remanescente depois do tratamento de risco (3.79).


  
NOTA 1: O risco residual pode conter riscos não identificados.  
NOTA 2: O risco residual também é conhecido como “risco retido”.

3.65 Revisão

Atividade que se realiza para determinar a idoneidade, a adequação e a eficácia (3.24) do tema
estudado para alcançar os objetivos estabelecidos.
  
[Guia ISO 73:2009]

3.66 Objeto em Revisão

Elemento específico que está sendo revisado.

29
3.67 Objetivo da Revisão

Declaração que descreve o que se deseja alcançar como resultado da revisão.

3.68 Risco

Efeito da incerteza sobre a realização dos objetivos. 


 
[Guia ISO 73:2009] 
 
NOTA 1: Um efeito é um desvio, positivo e/ou negativo, em relação ao previsto.  
NOTA 2: A incerteza é o estado, incluso parcial, de falha na informação relativa a compreensão ou ao
conhecimento de um incidente (3.25), de suas consequências (3.14) ou de sua probabilidade (3.45).
NOTA 3: Com frequência, o risco se caracteriza por referência a incidentes (3.25) potenciais e a suas
consequências (3.14) ou uma combinação de ambos. 
NOTA 4: Com frequência, o risco se manifesta em termos de combinação das consequências (3.14) de
um incidente (incluindo as mudanças nas circunstâncias) e de sua probabilidade (3.45).  
NOTA 5: No contexto de sistema de gestão da segurança da informação, os riscos de segurança da
informação podem se manifestar como o efeito da incerteza sobre os objetivos de segurança da
informação.  
NOTA 6: O risco de segurança da informação se relaciona com a possibilidade de que as ameaças
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

(3.83) explorem vulnerabilidades (3.89) de um dado ou grupo de ativos de informação e que causem
prejuízo à uma organização.

3.69 Aceitação de Risco

Decisão informada a favor de assumir um risco (3.68) particular. 


 
[Guia ISO 73:2009] 
 
NOTA 1: A aceitação de risco pode ocorrer sem que exista tratamento de risco (3.79) ou durante o
processo de tratamento de risco.  
NOTA 2: Os riscos aceitos são objeto de monitoramento (3.52) e de revisão (3.65).

30
3.70 Análise de Risco

Processo que permite compreender a natureza do risco (3.68) e determinar o nível de risco (3.44). 
 
[Guia ISO 73:2009] 
 
NOTA 1: A análise de risco oferece a base para a avaliação do risco (3.74) e para tomar as decisões
relativas ao tratamento do risco (3.79).  
NOTA 2: A análise de risco inclui a sua estimativa.

3.71 Verificação de Risco

Processo (3.61) global que compreende a identificação do risco (3.75), a análise de risco (3.70) e a
avaliação de risco (3.74).
  
[Guia ISO 73:2009]

3.72 Comunicação e Consulta de Risco

Processos iterativos e contínuos que uma organização realiza para fornecer, compartilhar e obter
informação para estabelecer o diálogo com as partes interessadas (3.82), em relação à gestão de risco

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


(3.68).  

[Guia ISO 73:2009]  

NOTA 1: A informação pode corresponder a existência, a natureza, a forma, a probabilidade, a


importância, a avaliação, a aceitação e o tratamento da gestão de risco. 
NOTA 2: A consulta constitui um processo de comunicação em duas direções, entre a organização
e suas partes interessadas sobre uma questão antes de tomar uma decisão, ou determinar uma
orientação sobre tal questão. A consulta é:  
●● Um processo que impacta sobre uma decisão através da influência; mais que pela autoridade. 
●● Uma contribuição para a tomada de decisão e não uma tomada de decisão conjunta.

31
3.73 Critérios de Risco

Termos de referência com base nos se avalia a importância de um risco (3.68). 


 
[Guia ISO 73:2009] 
 
NOTA 1: Os critérios de risco se baseiam nos objetivos da organização e no contexto externo e interno. 
NOTA 2: Os critérios de risco são obtidos de normas, leis, políticas e outros requisitos.

3.74 Avaliação de Risco

Processo (3.61) de comparação dos resultados de análise de risco (3.70) com os critérios de risco
(3.73) para determinar se o risco (3.68) e/ou sua magnitude são aceitáveis ou toleráveis. 
 
[Guia ISO 73:2009] 
 
NOTA: A avaliação de risco ajuda na tomada de decisão sobre o tratamento de risco (3.79).

3.75 Identificação de Risco

Processo que abrange a busca, o reconhecimento e a descrição de riscos (3.68). 


CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

 
[Guia ISO 73:2009] 
 
NOTA 1: A identificação de risco consiste na identificação das causas de riscos, os incidentes, suas
causas e suas potenciais consequências.  
NOTA 2: A identificação de risco pode incluir dados históricos, análise teóricas, opiniões obtidas de
especialistas, assim como necessidades das partes interessadas.

3.76 Gestão de Risco

Atividades coordenadas para dirigir e controlar uma organização (3.57) em relação ao risco (3.68).
 
[Guia ISO 73:2009]

32
3.77 Processo de Gestão de Risco

Aplicação sistemática de políticas, procedimentos e práticas de gestão das atividades de comunicação,


consulta, estabelecimento do contexto, e identificação, análise, avaliação, tratamento, monitoramento
e revisão de risco (3.68). 
 
[Guia ISO 73:2009]
  
NOTA: A Norma ISO/IEC 27005 utiliza o termo “processo” para descrever a gestão integral de risco.
Os elementos dentro do processo de gestão de risco se denominam “atividades”.

3.78 Proprietário do Risco

Pessoa ou entidade que tem a responsabilidade e autoridade para gerenciar um risco (3.68).
  
[Guia ISO 73:2009]

3.79 Tratamento de Risco

Processo (3.61) destinado a modificar o risco (3.68). 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


[Guia ISO 73:2009] 
 
NOTA 1: O tratamento de risco pode resultar em:  
●● Evitar o risco, decidindo no início ou continuar com a atividade que leva ao risco. 
●● Aceitar ou aumentar o risco com o objetivo de buscar uma oportunidade. 
●● Eliminar a causa de risco. 
●● Mudar a probabilidade. 
●● Mudar as consequências. 
●● Compartilhar o risco com outra(s) partes (incluindo os contratos e o financiamento de risco). 
●● Manter o risco com base em uma decisão informada.

NOTA 2: Os tratamentos de risco que levam à consequências negativas, em certos momentos são
citados como “mitigação de risco”, “eliminação de risco”, “prevenção de risco” e “redução de risco”.  
NOTA 3: O tratamento de risco pode originar novos riscos ou modificar os riscos existentes.

33
3.80 Escala

Conjunto ordenado de valores, contínuo ou discreto, ou conjunto de categorias às quais são


denominadas atributo (3.4).
 
[ISO/IEC 15939:2007] 
 
NOTA: O tipo de escala depende da natureza da relação entre os valores da escala. 
Geralmente são identificados quatro tipos de escala: 
1. Nominal: Os valores de medição são categorias. 
2. Ordinal: Os valores de medição são categorias ordenadas. 
3. Intervalo: Os valores das medições se ajustam a faixas de valores quantitativos do atributo. 
4. Proporção: Os valores das medições são relativos e proporcionais ao valor de outro atributo;
correspondendo o valor zero ao valor zero do atributo. 
Estes são apenas exemplos de tipos de escala.

3.81 Norma de Implementação de Segurança

Documento que especifica as formas autorizadas para satisfazer as necessidades de segurança.

3.82 Parte Interessada


CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Pessoa ou organização que pode afetar, ser afetada, ou perceber que foi afetada por uma decisão ou
atividade.
  
[ISO/IEC 73:2009]

3.83 Ameaça

Possível causa de um incidente não desejado, o qual pode ocasionar prejuízo em um sistema ou à uma
organização.

3.84 Alta Direção

Pessoa ou grupo de pessoas que dirigem e controlam uma organização (3.57) ao mais alto nível. 
 
NOTA 1: A alta direção tem o poder para delegar autoridade e oferecer recursos dentro da organização.  
NOTA 2: Se o escopo do sistema de gestão (3.46) corresponde apenas a uma parte da organização,
então “alta direção” se refere àqueles que dirigem e controlam essa parte da organização.

34
3.85 Entidade de Confiança para a Comunicação da Informação

Organização independente que controla a troca de informação dentro de um grupo que compartilha
informação.

3.86 Unidade de Medida

Quantidade específica, definida e adotada por convenção, com a qual se comparam outras quantidades
da mesma natureza a fim de demonstrar sua dimensão em relação a determinada quantidade.
 
[ISO/IEC 15939:2007]

3.87 Validação

Confirmação mediante o fornecimento de evidência objetiva de que foram cumpridos os requisitos


para a utilização ou aplicação específica prevista.
  
[ISO/IEC 9000:2005]

3.88 Verificação

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Confirmação mediante o fornecimento de evidência objetiva de que foram cumpridos os requisitos
especificados. 
 
[ISO/IEC 9000:2005] 
 
NOTA: Também poderia se chamar prova de conformidade.

3.89 Vulnerabilidade

Debilidade de um ativo ou controle (3.16) que pode ser explorada por uma ou mais ameaças (3.83).

35
4.1 Compreensão da Organização e de seu Contexto

A organização deve determinar as questões


externas e internas que são pertinentes ao seu
propósito e que afetam a sua capacidade para
alcançar os resultados previstos de seu sistema
de gestão da segurança da informação. 
 
NOTA: A determinação destas questões se
refere ao estabelecimento do contexto externo e
interno da organização considerando o parágrafo
5.3 da Norma ISO 31000:2009.

4.2 Compreensão das Necessidades e Expectativas das Partes Interessadas

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


A organização deve determinar: 
 
a) As partes interessadas que são relevantes para o sistema de gestão da segurança da informação. 
b) Os requisitos das partes interessadas que são relevantes para a segurança da informação. 
 
NOTA: Os requisitos das partes interessadas podem incluir requisitos legais e regulatórios, assim como
obrigações contratuais.

37
4.3 Determinação do Escopo do Sistema de Gestão de Segurança da Informação

A organização deve determinar os limites e a aplicabilidade do sistema de gestão de segurança da


informação para estabelecer seu escopo.
 
Quando se determina este escopo, a organização deve considerar: 

a) As questões externas e internas referidas no parágrafo 4.1. 


b) Os requisitos referidos no parágrafo 4.2. 
c) As interfaces e a relação entre as atividades realizadas pela organização com as que são feitas por
outras organizações. 

O escopo deve estar disponível como informação documentada.

4.4 Sistema de Gestão de Segurança da


Informação
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

A organização deve estabelecer, implementar,


manter e melhorar de maneira contínua o sistema
de gestão de segurança da informação, de acordo
com os requisitos da norma internacional.

38
5.1 Liderança e Compromisso

A alta direção deve demonstrar liderança e compromisso com o sistema de gestão de segurança da
informação: 
 

a) Garantindo que se estabeleçam a política e


os objetivos de segurança da informação e
que estes sejam compatíveis com a direção
estratégica da organização. 
b) Garantindo a integração dos requisitos do
sistema de gestão de segurança da informação
nos processos da organização. 
c) Garantindo que os recursos necessários para o
sistema de gestão de segurança da informação
estejam disponíveis.
d) Comunicando a importância da gestão
de segurança da informação eficaz e em
conformidade com os requisitos do sistema de
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

gestão de segurança da informação. 


e) Garantindo que o sistema de gestão de
segurança da informação consiga os resultados
previstos. 
f) Dirigindo e apoiando as pessoas, para
contribuir com a eficácia do sistema de gestão
de segurança da informação. 
g) Promovendo a melhoria contínua. 
h) Apoiando outros papeis pertinentes à direção,
para demonstrar sua liderança aplicada às
áreas sob sua responsabilidade.

40
5.2 Política

A alta direção deve estabelecer uma política de


segurança da informação que:  
 
a) Seja adequada ao propósito da organização. 
b) Inclua objetivos de segurança da informação
(ver 6.2) ou crie um quadro de referência para
o estabelecimento dos objetivos de segurança
da informação. 
c) Inclua o compromisso de cumprir os requisitos
aplicáveis à segurança da informação. 
d) Inclua o compromisso de melhoria contínua do
sistema de gestão de segurança da informação.

A política de segurança da informação deve: 


  
e) Estar disponível como informação
documentada. 
f) Ser divulgada dentro da organização. 
g) Estar disponível para as partes interessadas,

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


conforme seja apropriado.

5.3 Papeis, Responsabilidades e Poderes na Organização

A alta direção deve certificar-se de que as responsabilidades e poderes para os papeis pertinentes a
segurança da informação sejam atribuídos e comunicados dentro da organização.

A alta direção deve atribuir a responsabilidade e poder para:

a) Certificar-se que o sistema de gestão da segurança da informação está conformidade com os


requisitos da norma internacional.
b) Informar à alta direção sobre o comportamento do sistema de gestão de segurança da informação.

NOTA: A alta direção também pode atribuir responsabilidades e poderes para informar sobre o
comportamento do sistema de gestão de segurança da informação dentro da organização.

41
6.1 Ações para Tratar os Riscos e Oportunidades

6.1.1 Considerações Gerais

Ao planejar o sistema de gestão de segurança da informação, a organização deve considerar as questões


que fazem referência ao parágrafo 4.1 e os requisitos incluídos no parágrafo 4.2, e determinar os riscos
e oportunidades que deverão ser tratados com o fim de:
 
a) Certificar-se de que o sistema de gestão de segurança da informação atinja os resultados previstos.
b) Prevenir ou reduzir efeitos indesejados.
c) Buscar a melhoria contínua.

A organização deve planejar: 


d) As ações para tratar estes riscos e
oportunidades.
e) A maneira de:

1. Integrar e implementar as ações nos


processos do sistema de gestão da

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


segurança da informação.
2. Avaliar a eficácia destas ações.

6.1.2 Verificação de Riscos de Segurança da Informação 

A organização deve definir e aplicar um processo de verificação de riscos de segurança da informação


para:

a) Definir e manter critérios sobre riscos de segurança da informação incluindo:


1. Critérios de aceitação de riscos.
2. Critérios para realizar a verificação de riscos de segurança da informação.
b) Garantir que as sucessivas verificações de riscos de segurança da informação gerem resultados
consistentes, válidos e comparáveis.
c) Identificar os riscos de segurança da informação:
1. Realizar o processo de verificação de riscos de segurança da informação para identificar os
riscos associados a perda de confidencialidade, integridade e disponibilidade da informação no
escopo do sistema de gestão de segurança da informação.
2. Identificar os responsáveis pelos riscos.

43
d) Analisar os riscos de segurança da informação:
1. Avaliar as possíveis consequências que ocorreriam se os riscos identificados no item 6.1.2 c) 1),
chegassem a acontecer. 
2. Avaliar de forma realista a probabilidade de ocorrência de riscos identificados no item 6.1.2 c) 1). 
3. Determinar os níveis de risco.`
e) Avaliar os riscos de segurança da informação:
1. Comparar os resultados da análise de riscos com os critérios de risco estabelecidos no item
6.1.2 a).
2. Priorizar o tratamento dos riscos analisados.

A organização deve manter a informação documentada do processo de verificação de riscos de


segurança da informação.

6.1.3 Tratamento de Riscos de Segurança da Informação 


 
A organização deve definir e criar o processo de tratamento de riscos de segurança da informação
para: 
 
a) Selecionar as opções adequadas de tratamento de riscos de segurança da informação considerando
os resultados da verificação de riscos. 
b) Determinar todos os controles necessários para implementar a(s) opção(es) de tratamento de riscos
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

de segurança da informação escolhida(s). 


 
NOTA: As organizações podem criar controles conforme seja necessário, ou identificá-los a partir de
qualquer fonte.

c) Comparar os controles determinados no item 6.1.3 b) com os do anexo A e garantir que não sejam
omitidos controles necessários. 
 
NOTA 1: O anexo A contém uma ampla lista de
objetivos de controle e controles. É indicado aos
usuários da norma internacional que se dirijam ao
anexo A para garantir que não deixem de fazer os
controles necessários. 
NOTA 2: Os objetivos de controle estão
subentendidos nos controles selecionados. Os
objetivos de controle e os controles enumerados
no anexo A não são estão completos, portanto,
pode ser necessário exigir objetivos de controle e
controles adicionais.

44
d) Elaborar uma “Declaração de Aplicabilidade” que contenha:

●● Controles necessários [ver 6.1.3 b) e c)]. 


●● A justificativa das inclusões. 
●● Se os controles necessários estão implementados ou não. 
●● A justificativa da exclusão de qualquer um dos controles do anexo A.

e) Criar um plano de tratamento de riscos de segurança da informação.


f) Obter a aprovação do plano de tratamento de riscos de segurança da informação e a aceitação de
riscos residuais de segurança da informação por parte dos responsáveis pelos riscos. 

A organização deve manter a informação documentada do processo de tratamento de riscos de


segurança da informação. 
 
NOTA: A verificação de riscos de segurança da informação e o processo de tratamento coletado nesta
norma internacional se alinham com os princípios e diretrizes genéricas definidos na Norma ISO 31000.

6.2 Objetivos de Segurança da Informação e Planejamento para sua Execução

A organização deve definir os objetivos de segurança da informação e as funções e níveis pertinentes. 


 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Os objetivos de segurança da informação devem: 
 
a) Ser coerentes com a política de segurança da informação. 
b) Ser mensuráveis (se possível). 
c) Considerar os requisitos de segurança da informação aplicáveis e os resultados da verificação e do
tratamento de riscos. 
d) Ser divulgados. 
e) Ser atualizados, conforme a necessidade.

A organização deve manter a informação documentada sobre os objetivos de segurança da informação. 


 
Quando se faz o planejamento para a realização dos objetivos de segurança da informação, a
organização deve determinar: 
 
f) O que será realizado. 
g) Quais recursos serão necessários. 
h) Quem será o responsável. 
i) Quando se finalizará. 
j) Como serão avaliados os resultados.

45
7.1 Recursos

A organização deve determinar e fornecer os


recursos necessários para o estabelecimento,
implementação, manutenção e melhoria contínua
do sistema de gestão de segurança da informação.

7.2 Competência

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


A organização deve:

a) Determinar a competência necessária das pessoas que realizam, sob seu controle, o trabalho que
afeta o seu desempenho em segurança da informação. 
b) Certificar-se de que estas pessoas sejam competentes, baseando-se na educação, formação ou
experiência compatível. 
c) Quando aplicável, colocar em prática ações para aquisição da competência necessária e avaliar a
eficácia das ações tomadas. 
d) Manter documentada a informação obtida, como evidência da competência.
 
NOTA: As ações aplicáveis podem incluir, por exemplo: a formação, a tutoria ou a realocação das
pessoas empregadas atualmente; ou a contratação de pessoas competentes.

47
7.3 Conscientização

As pessoas que trabalham sob o controle da


organização devem estar conscientes sobre:
  
a) A política de segurança da informação. 
b) Sua contribuição para a eficácia do sistema de
gestão da segurança da informação, incluindo
os benefícios de uma melhoria de desempenho
em segurança da informação. 
c) As implicações em não cumprir os requisitos
do sistema de gestão de segurança da
informação.

7.4 Comunicação
A organização deve determinar a necessidade de
comunicação internas e externas pertinentes ao
sistema de gestão da segurança da informação,
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

que inclua: 
 
a) O conteúdo da comunicação. 
b) Quando comunicar. 
c) A quem comunicar. 
d) Quem deve comunicar. 
e) Por quais processos realizar a comunicação.

7.5 Informação Documentada

7.5.1 Considerações Gerais 

O sistema de gestão de segurança da informação da organização deve incluir: 


 
a) A informação documentada requerida pela norma internacional. 
b) A informação documentada que a organização determinou ser necessária para a eficácia do sistema
de gestão de segurança da informação. 
 

48
NOTA: O escopo da informação documentada para um sistema de gestão de segurança da informação
pode ser diferente de uma organização para outra, devido a: 

1. O tamanho da organização, tipo de atividade, processos, produtos e serviços. 


2. A complexidade dos processos e suas interações. 
3. A competência das pessoas.
7.5.2 Criação e Atualização 

Quando se cria e atualiza a informação documentada, a organização deve garantir o atendimento dos
seguintes itens:

a) A identificação e descrição (por exemplo, título, data, autor ou número de referência). 


b) O formato (por exemplo, idioma, versão do software, gráficos) e meios de suporte (por exemplo,
papel, eletrônico). 
c) A revisão e aprovação relativa a idoneidade e adequação.
7.5.3 Controle da Informação Documentada 

A informação documentada exigida pelo sistema de gestão de segurança da


informação e pela norma internacional deve ser controlada para garantir que: 
 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


a) Esteja disponível e pronta para o uso, onde e quando se necessite. 
b) Esteja protegida adequadamente (por exemplo, contra perda de
confidencialidade, uso inadequado, ou perda de integridade).

Para o controle da informação documentada, a organização deve tratar as seguintes atividades,


conforme seja aplicável:

c) Distribuição, acesso, recuperação e uso. 


d) Armazenamento e preservação, incluída a preservação da leitura. 
e) Controle de mudanças (por exemplo, controle de versão). 
f) Retenção e disposição.

A informação documentada de origem externa, que a organização tenha determinado ser necessária
para o planejamento e operação do sistema de gestão da segurança da informação deve ser identificada
e controlada, adequadamente.

NOTA: O acesso depende de uma decisão relativa a permissão somente para consultar a informação
documentada, ou a permissão e autorização para consultar e modificar a informação documentada,
etc.

49
8.1 Planejamento e Controle Operacional

A organização deve planejar, implementar e controlar os processos necessários para cumprir os


requisitos de segurança da informação e para implementar as ações determinadas no parágrafo 6.1. A
organização deve implementar também projetos para atingir os objetivos de segurança da informação
determinados no parágrafo 6.2.
 
É indispensável que a organização mantenha a informação documentada, para ter a confiança de que
os processos foram realizados conforme o planejado. 
 
A organização deve controlar as mudanças planejadas e revisar as consequências das mudanças não
previstas, tomando ações para minimizar os efeitos negativos, quando for necessário.
 
A organização deve garantir que os processos contratados externamente estejam controlados.

8.2 Verificação de Riscos de Segurança da Informação

A organização deve realizar a verificação de


riscos de segurança da informação em intervalos

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


planejados, e quando se proponham ou sejam
feitas modificações importantes, considerando
os critérios estabelecidos no item 6.1.2 a).

A organização deve manter a informação


documentada dos resultados das verificações de
riscos de segurança da informação.

8.3 Tratamento de Riscos de Segurança da Informação

A organização deve implementar o plano de


tratamento de riscos de segurança da informação.

A organização deve manter a informação


documentada dos resultados do tratamento de
riscos de segurança da informação.

51
9.1 Rastreamento, Medição, Análise e Avaliação

A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de


gestão de segurança da informação. 
 
A organização deve determinar:

a) Onde é necessário fazer rastreamento e o que é necessário medir, incluindo processos e controles
de segurança da informação. 
b) Os métodos de rastreamento, medição, análise e avaliação, conforme seja aplicável, para garantir
resultados válidos. 
 
NOTA: Os métodos selecionados devem produzir resultados comparáveis e reproduzíveis para ser
considerados válidos.

c) Quando devem ser realizados o rastreamento


e a medição. 
d) Quem deve fazer o rastreamento e a medição. 
e) Quando se deve analisar e avaliar os resultados
do rastreamento e da medição. 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


f) Quem deve analisar e avaliar estes resultados. 
 
A organização deve manter a informação
documentada indicada como evidência dos
resultados.

9.2 Auditoria Interna

A organização deve realizar auditorias internas em intervalos planejados, para fornecer informação se
o sistema de gestão de segurança da informação:

a) Apresenta:
1. Os requisitos próprios da organização para seu sistema de gestão de segurança da informação. 
2. Os requisitos da norma internacional.
b) Implementação e manutenção de maneira correta.

53
A organização deve:  

c) Planejar, estabelecer, implementar e manter um ou vários programas de auditoria que incluam a


frequência, os métodos, as responsabilidades, os requisitos de planejamento, e a elaboração de
relatórios. Os programas de auditoria devem considerar a importância dos processos envolvidos e
os resultados das auditorias prévias. 
d) Para cada auditoria, definir os critérios e seu escopo. 
e) Selecionar os auditores e realizar auditorias para garantir a objetividade e a imparcialidade do
processo de auditoria. 
f) Certificar-se de informar a direção apropriadamente sobre os resultados das auditorias. 
g) Manter a informação documentada como evidência da implementação do programa de auditoria
e dos resultados desta.

9.3 Revisão da Direção

A alta direção deve revisar o sistema de gestão de segurança da informação da organização em


intervalos planejados, para ter certeza de sua conveniência, adequação e eficácia contínua. 
 
A revisão feita pela direção deve incluir considerações sobre: 
 
a) O estado das ações tomadas nas revisões anteriores pela direção. 
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

b) As mudanças nas questões externas e internas que sejam apropriadas ao sistema de gestão de
segurança da informação.
c) A informação sobre o comportamento de segurança da informação, incluídas as tendências relativas
a:
1. Não conformidades e ações corretivas. 
2. Acompanhamento e resultados das medições. 
3. Resultados de auditoria. 
4. O cumprimento dos objetivos de segurança da informação.
d) Os comentários provenientes das partes interessadas.
e) Os resultados de verificação de riscos e o estado do plano de tratamento
de riscos.
f) As oportunidades de melhora contínua.

Os elementos de saída da revisão feita pela direção devem incluir as decisões


relacionadas com as oportunidades de melhoria contínua e qualquer
necessidade de mudança no sistema de gestão de segurança da informação.

A organização deve manter a informação documentada como evidência dos


resultados das revisões feitas pela direção.

54
10.1 Não Conformidade e Ações Corretivas

Quando ocorre uma não conformidade, a organização deve:

a) Reagir a não conformidade, e conforme o caso:


1. Tomar ações de controle e correção.
2. Enfrentar as consequências.
b) Avaliar a necessidade de ações para eliminar as causas de não conformidade, a fim de que não volte
a ocorrer, nem ocorra em outra parte, mediante:
1. Revisão da não conformidade. 
2. Determinar as causas de não conformidade. 
3. Determinar se existem não conformidades similares, ou que potencialmente poderiam ocorrer.
c) Implementar qualquer ação necessária. 
d) Revisar a eficácia das ações corretivas realizadas. 
e) Se necessário, fazer mudanças no sistema de gestão de segurança da informação.

As ações corretivas devem ser adaptadas aos efeitos das não conformidades encontradas.

A organização deve manter a informação documentada, com as seguintes de:


CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

f) A natureza das não conformidades e qualquer ação posterior realizada.


g) Os resultados de qualquer ação corretiva.

10.2 Melhoria Contínua

A organização deve melhorar de maneira contínua


a idoneidade, adequação e eficácia do sistema de
gestão de segurança da informação.

56
Auditor

“Processo sistemático, independente, documentado, para obter a evidência e avaliá-la objetivamente, com
o fim de determinar em que grau se cumprem os critérios da auditoria”. ISO 19011

Termos e Definições ISO 19011:2011


CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Auditoria:
 
É um processo realizado por profissionais especialmente treinados para esse fim, que consiste em
coletar, agrupar e avaliar evidências para determinar se um sistema de informação protege o ativo do
negócio, mantém a integridade dos dados, efetua efetivamente os propósitos de A organização usa
recursos de maneira eficiente e está em conformidade com as leis e regulamentações estabelecidas.

58
Tipos

• Primeira Parte • Segunda Parte • Terceira Parte

Critérios de Auditoria

Critérios 

●● Normas (integral). 
●● Políticas. 
●● Procedimentos. 
●● Regulamentos. 
Legislação. 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


●●
●● Requisitos da Norma. 
●● Requisitos contratuais.
●● Códigos de conduta do setor comercial.

Grupo de políticas, procedimentos ou requisitos usados como referência e com os quais se compara a
evidência da auditoria.

Evidência da Auditoria

Registros, declarações de fatos ou qualquer


outra informação, que sejam pertinentes para os
critérios de auditoria e que sejam verificáveis.

59
Achados da Auditoria

Resultados da avaliação da evidência da auditoria compilados de acordo com os critérios de auditoria.


Se os critérios de auditoria forem selecionados de requisitos legais ou outros, os resultados da auditoria
são chamados de Conformidade ou Padrão.
●● Achados de cumprimento. 
●● Requisitos (norma, legal, regulatório, contratual). 
●● O elemento se ajusta à exigência. 
●● A implantação corresponde a intenção. 
●● A implantação está correta.

Melhores práticas: 
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

 
●● Verificar os fatos verbais. 
●● Definir a natureza da não conformidade com o auditado, detalhando a evidência da auditoria. 
●● Fazer anotações e consultá-las posteriormente para fazer o relatório. 
●● Fazer um esboço do relatório de achados durante a coleta de informações.
●● Ao final de cada dia terminar com revisão privada.

Conclusões da Auditoria

Resultado de uma auditoria, depois de considerar


os objetivos e achados da auditoria.

60
Cliente da Auditoria

Organização ou pessoa que solicita uma auditoria.

Auditado

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Organização que está sendo auditada.

Auditor

Pessoa que conduz a auditoria.

61
Equipe de Auditoria

Um ou mais auditores conduzem a auditoria, se necessário com o apoio de especialistas técnicos.

Especialista Técnico
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Pessoa que traz conhecimentos ou experiência específicos à equipe auditora.

Observador

Pessoa que acompanha a equipe auditora, mas não audita.

62
Guia

Pessoa nomeada pelo auditado para auxiliar a


equipe auditora.

Programa de Auditoria

Conjunto de uma ou mais auditorias planejadas


para um período de tempo determinado e
dirigidas para um propósito específico.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Escopo da Auditoria

Duração e limites de uma auditoria, o escopo


da auditoria geralmente inclui uma descrição
dos locais, unidades da organização, atividades
e processos, bem como o período de tempo
coberto.

63
Plano de Auditoria

Descrição das atividades e dos detalhes acordados de uma auditoria.


Risco
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Efeito da incerteza nos objetivos.

Competência

Habilidade para aplicar conhecimentos e habilidades para alcançar os resultados esperados.

64
Conformidade Não Conformidade

Cumprimento de um requisito. Descumprimento de um requisito.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Sistema de Gestão

Sistema para estabelecer políticas e objetivos,


para alcançar tais objetivos.

65
Programa de Auditoria

Princípios de Auditoria

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


O Auditor
 
Conduta ética: Profissionalismo, confiança,
integridade, confidencialidade e discrição são
essenciais para o auditor.

Apresentação equânime: Os achados, conclusões


e relatórios de auditoria refletem com precisão e
exatidão as atividades da auditoria.

Devido cuidado profissional: Atuar de acordo


com a Importância da tarefa que realizam e da
confiança depositada nele. 

67
Atributos dos Auditores
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Auditoria e Evidência

Auditoria Evidência

Independência: Independência:

Independência da atividade auditada. Devem Independência da atividade auditada. Devem


manter-se livres de qualquer prejuízo ou conflito manter-se livres de qualquer prejuízo ou conflito
de interesses. de interesses.
   
   
Atitude objetiva para garantir que os achados Atitude objetiva para garantir que os achados
e conclusões da auditoria estejam baseados e conclusões da auditoria estejam baseados
apenas na vidência da auditoria. apenas na vidência da auditoria.

68
Reunião de Abertura

●● Apresentação dos auditores ao pessoal. 


●● Revisar o escopo. 
●● Revisar os objetivos da auditoria. 
●● Confirmar o plano de auditoria. 
●● Registros da reunião de abertura. 
●● Fornecer um breve resumo de como as
atividades de auditoria serão realizadas. 
●● Canais oficiais de comunicação. 
●● Métodos utilizados na auditoria. 
●● Necessidade de recursos especiais. 
●● Hora e data da reunião de encerramento. 
●● Oferecer ao auditado a oportunidade de fazer
perguntas.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

69
Estabelecer um Programa de Auditoria

Propósito:  
●● Apresentação dos auditores ao pessoal. 
●● Revisar o escopo. 
●● Revisar os objetivos da auditoria interna. 
●● Confirmar o plano de auditoria. 
●● Registros da reunião de abertura. 
●● Fornecer um breve resumo de como as
atividades de auditoria serão realizadas.Canais
oficiais de comunicação. 
●● Métodos utilizados na auditoria.
●● Necessidade de recursos especiais. 
●● Hora e data da reunião de encerramento. 
●● Fornecer ao auditado a oportunidade de fazer
perguntas.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


Competências dos Auditores

●● Determinação das competências do auditor


requeridas para satisfazer as necessidades do
programa de auditoria. 
●● Estabelecimento de critérios de avaliação do
auditor. 
●● Escolha do método apropriado de avaliação
do auditor. 
●● Realização da avaliação do auditor. 
●● Manutenção e melhoria da competência do
auditor.

71
Métodos de Auditoria Aplicáveis

Objetivos da Auditoria Interna


CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Auditorias Internas 
 
Todas as normas têm como requisito realizar auditorias internas, em intervalos planejados, para
determinar se o Sistema de Gestão cumpre os requisitos desta parte da norma que está sendo auditada
(Exemplo ISO/IEC 20000, ISO 22301, etc.).
 
As auditorias ajudam na melhoria contínua dos Sistemas de Gestão.

Auditoria Interna Evidência Objetiva

●● Evidência que existe. 


●● Não influenciada por emoções ou prejuízos. 
●● Pode ser documentada. 
●● Pode ser baseada na observação. 
●● Deve estar relacionada com o Sistema de
Gestão. 
●● Pode ser quantificada e qualitativa. 
●● Pode ser verificada.

72
Atividades da Auditoria

Início da Auditoria
 
●● Revisão de Documentos. 
●● Preparação. 
●● Realização.  
●● Preparação e Entrega de Relatórios. 
●● Finalização.

Preparação das Atividades De Auditoria do Site

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


●● Designação do chefe/líder. 
●● Definição dos objetivos, escopo e critérios de
auditoria. 
●● Determinação da viabilidade da auditoria. 
●● Seleção da equipe auditora (auditor, auditores
especialistas). 
●● Estabelecimento de contato inicial com o
auditado. 
●● Preparação do plano de auditoria. 
●● Atribuição de tarefas à equipe auditora. 
●● Preparação dos documentos de trabalho.

73
Responsabilidades do Auditor Líder

●● Direção do processo de auditoria. 


●● Ajuda na seleção do pessoal da equipe. 
●● Responsável por todas as etapas da auditoria. 
●● Preparar o plano de auditoria. 
●● Representação da equipe auditora frente à direção. 
●● Preparação e entrega do relatório final da auditoria. 
●● Direcionamento das atividades de acompanhamento. 
●● Tratar a informação com a devida discrição.

Responsabilidades do Co-Auditor

●● Conservar e proteger a documentação da


auditoria. 
●● Reportar os resultados da auditoria. 
●● Verificar a eficácia das ações aplicadas
como resultado da auditoria. 
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

●● Cumprir 100 % dos requisitos de auditoria. 


●● Realizar efetivamente as atividades
atribuídas. 
●● Documentar os achados (resultados) da
auditoria. 
●● Cooperar e oferecer suporte ao auditor.

74
Preparação Individual do Auditor

●● Ler os procedimentos com antecipação. 


●● Determinar onde serão realizadas as inspeções. 
●● Utilizar listas de verificação. 
●● Conhecer a responsabilidade e posição das pessoas auditadas. 
●● Saber quais pistas poderá seguir.

Plano de Auditoria

●● Objetivos e escopo.  ●● Determinação das cláusulas chave para


●● Documento de referência.  preparar a lista de verificação. 
●● Lugares (direções) e contatos chave.  ●● Pessoas de contato. 
●● Áreas ou dependências que serão auditadas. ●● Definição dos papeis do grupo de auditores. 
●● Datas. 
●● Hora e duração esperada para cada atividade
principal. 
●● Programação de reuniões. 
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

●● Requisitos de confidencialidade. 
●● Distribuição do relatório e a data esperada de
publicação. 
●● Elaboração e preparação dos documentos de
trabalho.

Listas de Checagem ou Verificação

●● Otimizar o tempo. 
●● Ser uma orientação. 
●● Utilização de perguntas. 
●● Ferramenta para coletar evidências. 
●● Ajuda para identificar elementos e processos. 
●● Avaliar o estado atual do Sistema de Gestão. 
●● Adequar as perguntas ao processo a ser
auditado.

76
Perguntas-Chave do Auditor

Tipo de Perguntas

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


●● Realizaram auditorias internas? 
●● Existe uma política de Sistema de Gestão? 
●● O Sistema de Gestão foi comunicado? 
●● Você faz parte do grupo interno de auditoria?
●● O processo se executa como está
documentado? 
●● Onde a informação está registrada? 
●● Qual é o procedimento? 
●● Conhece a política? 
●● Cumpre a legislação?

77
Captação de Evidência Objetiva

Obter provas tangíveis de que o sistema de qualidade tem funcionamento correto e eficaz.

Executando a Auditoria

●● Faça uma amostra de atividades, não se


concentre apenas em uma. 
●● Busque evidência observando o que ocorre e
revise os registros. 
●● Faça anotações completas. 
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

●● Escute as explicações do auditado. 


●● Anote e confirme os resultados e observações.
Se tiver dúvidas sobre o cumprimento de um
requisito poderá adicionalmente fazer algumas
perguntas abertas. 
●● Sempre escreva os detalhes do que foi
observado ou evidenciado, por exemplo,
deverá anotar o procedimento auditado,
os identificadores dos registros, número de
ordens, identificação de lotes, códigos de
documentos etc. 
●● A auditoria aberta e amigável resultará no
acordo de que o problema existe. 
●● Verifique se a Não Conformidade é pontual ou
não.

78
Fontes de Informação

●● Entrevistas com funcionários e outras pessoas. 


●● Observação das atividades e do ambiente de
trabalho. 
●● Documentação. 
●● Política, objetivos, procedimentos, normas e
riscos. 
●● Atas de reunião, informes de auditoria,
acompanhamento e medições. 
●● Indicadores de gerenciamento. 
●● Retroalimentação das partes interessadas. 
●● Bases de dados e Internet.

Realização de Entrevistas

Seja amigável. 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


●●
●● Faça com que o auditado se sinta confortável. 
●● Explique as razões da entrevista e das
anotações feitas. 
●● Inicie com a descrição das atividades. 
●● Não faça perguntas indutivas (Evite perguntas
cuja resposta seja SIM ou NÃO). 
●● Agradeça aos auditados.

79
Técnicas de Entrevista Do Auditor

Atitudes a Tomar para Controlar a Auditoria


CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

Como dificultar a  Auditoria (Auditado)?

●● Perder tempo. 
●● Manipular o auditor. 
●● Situações inesperadas. 
●● Colocar em prova o caráter do auditor. 
●● Respostas limitadas. 
●● Enganar o auditor.

80
Administração do Tempo

●● Realizar primeiro as atividades mais complexas


ou difíceis. 
●● Atribuir trabalho aos outros auditores. 
●● Adquirir o hábito de fazer imediatamente. 
●● Conhecer a curva de cansaço do auditado e
do auditor. 
●● Estabelecer limite de tempo e cumpri-lo. 
●● Ser criativo.

Lidar com Situações Difíceis

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


●● O responsável pelo processo ou atividade auditada não está presente na reunião de abertura.
●● A auditoria foi prevista para visitar duas instalações e nenhum veículo ou acompanhante está
disponível. 
●● O auditado desvia a pergunta do auditor. Exemplo: Foi perguntado sobre como os documentos são
controlados e o auditado explicou como os registros são controlados, pois os documentos são um
tipo de registro.
●● O auditado fornece pouca informação. Exemplo: As informações são solicitadas nos resultados de
janeiro a maio e só apresentam os resultados do último mês. 
●● O auditado reformula as perguntas do auditor. 
●● O auditado questiona as perguntas do auditor. Exemplo: “o que você está perguntando não faz
sentido”. 
●● Na reunião de abertura há discordância entre o objeto e o escopo da auditoria.

81
Resultados da Auditoria

Achados 

 
●● Resultados da avaliação da evidência objetiva
compilada com o conjunto de políticas,
procedimentos ou requisitos utilizados como
referência.  

●● Está registrado na lista de verificação como


resposta aos questionamentos que foram
preparados.

Tipos de Achados
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

●● Não conformidade 
 
Descumprimento de um requisito especificado.  
 
●● Observação  
 
Situação que pode afetar potencialmente o
sistema de gestão da qualidade.

82
Violações mais Comuns

●● Documentação não encontrada. 


●● Competências de recurso humano não avaliada. 
●● Controles implementados inadequadamente. 
●● Não conformidades por auditorias internas sem encerramento correto. 
●● Ações corretivas sem revisão da direção. 
●● Deficiência na metodologia de análise de risco. 
●● Violação de procedimentos.

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

83
A Reunião de Encerramento

●● Dirigida pelo auditor líder. 


●● É uma atividade posterior a atividade de campo. 
●● Permite apresentar as conclusões da equipe auditora ao auditado e sua gerência. 
●● Durante os primeiros ciclos de auditoria se recomenda a realização de uma reunião prévia da equipe
auditora para obter consenso sobre as não conformidades e observações. 
●● Na reunião de encerramento são apresentados somente não conformidades e comentários escritos
por consenso da equipe de auditoria são apresentados.
●● Deve-se enfatizar a obtenção de um acordo entre os auditados e a equipe auditora sobre as não
conformidades e observações.

A Reunião de Encerramento

Dirigida pelo Auditor Líder 


●● Agradecimentos. 
●● Confirmar o escopo, representante e direção. 
●● Resumo do escopo da auditoria. 
●● Nem todas as Não Conformidades são descobertas. 
●● Objetivo e método usado. 
●● Perguntas e discussões ao final. 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


●● Apresentação das Não Conformidades pela equipe (apenas fatos). 
●● Explicação do acompanhamento pelo Auditor Líder. 
●● Acordo de datas para o término das ações corretivas. 
●● Registros. 
●● Perguntas a respeito.

Relatório da Auditoria

●● Traduzir fielmente as conclusões da reunião


de encerramento. 
●● Relembrar o objetivo e escopo da auditora. 
●● Informar a data da auditoria. 
●● Definir as não conformidades pontuais.
●● Pontos fortes da atividade auditada.

85
O Que não Incluir no Relatório da Auditoria?

●● Opiniões subjetivas. 
●● Informação confidencial. 
●● Crítica feita por indivíduos. 
●● Declarações ambíguas. 
●● Detalhes triviais. 
●● Observações ou não conformidades não
discutidas na reunião de encerramento.

Modelo de Relatório
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

86
Ações Corretivas

●● Leitura da Não Conformidade. 


●● Investigação do problema. 
●● Determinação das causas fundamentais. 
●● Elaboração do plano de ação para corrigi-la. 
●● Atividades, responsável, recursos e data de execução. 
●● Data de acompanhamento para o encerramento. 
●● Avaliar a eficácia da ação corretiva. 
●● Responsável pelo encerramento.

Auditorias de Acompanhamento

Responsabilidades do auditor: 
 
●● Acordar a data da auditoria de
acompanhamento. 
●● Desenvolver a auditoria de acompanhamento
de acordo com as ações corretivas e
preventivas. 

CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)


●● Apresentar e informar os resultados da
auditoria de acompanhamento. 
●● Avaliar a eficácia das ações corretivas e
preventivas implantadas.

Redigir as Não Conformidades


●● A Evidência  
Lista de achados, respaldados por evidências
objetivas ou atestadas pelo auditado. 
 
●● A Referência  
Ao requisito da norma e/ou manual de qualidade
ou procedimento. Um requisito por vez, é o mais
aplicado. 
 
●● A Conclusão  
Genérica, breve, precisa e aceita pelo auditado.

87
Forma de Escrita das Não Conformidades

O relatório deve conter no mínimo: 


 
●● Uma visão geral do resultado. 
●● Descrição completa e precisa do observado. 
●● Exemplos da evidência da auditoria. 
●● Referência à cláusula da norma/documento da
organização. 
●● Explicação dos requisitos da cláusula/
documento. 
●● As discrepâncias devem ser atribuídas apenas
à uma cláusula da norma, é o mais aplicável.
●● Em algumas ocasiões, a única referência é a
documentação da organização.

Fases da Auditoria
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

88
Conclusões

A Normal ISO 27001 pode ser implementada em qualquer tipo de organização, pois fornece uma
metodologia para implementar um Sistema de Gerenciamento de Segurança da Informação, permitindo
também que uma empresa seja certificada em conformidade com esta norma, onde seu eixo central
é proteger a confidencialidade, integridade e disponibilidade de informações da empresa. Isso é feito
investigando quais são os possíveis problemas que podem afetar as informações (avaliação de riscos)
e, em seguida, definindo o que precisa ser feito para evitar que esses problemas ocorram (tratamento
de risco).
 
Portanto, a filosofia principal da norma ISO 27001 baseia-se no gerenciamento de riscos: 
investigar onde se encontram, para tratá-los sistematicamente.
CERTIPROF CERTIFIED ISO 27001 AUDITOR / LEAD AUDITOR (I27001A/LA)

90
Certiprof_llc