RELATÓRIO DE AUDITORIA PARA LDCC Confidencial

RELATÓRIO DE AUDITORIA PARA LDCC

Preparado por: Srinivasa Rajagopal K

Nome do cliente: Lake Dale Contact Center

Representante do cliente : Clive Prichard

Datado: 20 de setembro de 2019

Período de auditoria: auditoria de 2 dias em 16 e 17 de setembro de 2019

SUMÁRIO EXECUTIVO
Sobre LDCC

A LDCC é uma especialista em call center que fornece soluções de contato com clientes de altíssima
qualidade e preços competitivos em nome de diversas empresas multinacionais e de primeira linha
que oferecem serviços financeiros, de pessoal, de serviços públicos e de vendas.

Declaração de missão estratégica da LDCC

Fornecer aos clientes:

 Um serviço terceirizado que inclui infraestrutura técnica, expertise em processos e experiência

em gerenciamento, mas com custo mais baixo e sem compromisso de contrato de longo prazo
 O mais alto grau de integridade, profissionalismo e segurança da informação de nossos próprios
fornecedores terceirizados
 Um ambiente seguro e melhores práticas em conformidade com a ISO 27001:2013
 Níveis adequados e eficazes de confidencialidade dos dados
 Continuidade de negócios garantindo disponibilidade de dados
 A Segurança da Informação para a integridade dos dados do LDCC retém e fornece

ESCOPO, OBJETIVO E CRITÉRIOS DA AUDITORIA

Escopo

O Sistema de Gestão de Segurança da Informação (SGSI) aplica-se à prestação de serviços de

telefonia, gestão de informações e serviços de suporte comercial em nossa única unidade em
Mumbai (ÍNDIA), de acordo com a revisão ISMS SOA datada de 03 de abril de 2018. O âmbito deste
SGSI exclui todos os processos terceirizados de SI (uma vez que estes não são controlados pela
LDCC).

Objetivo

 Para determinar o grau de conformidade do sistema de gestão com os Critérios de Auditoria

Página1 de 3
RELATÓRIO DE AUDITORIA PARA LDCC Confidencial

 Avaliar a capacidade do sistema de gestão para garantir o cumprimento dos requisitos legais e
contratuais
 Avaliar a eficácia dos Sistemas de Gestão de acordo com o objetivo e identificar áreas para
potenciais melhorias

Critério

 ISO/IEC 27001:2013

Participantes da equipe de auditoria

Não. Nome Papel

1 Srinivas Líder da equipe

Participantes da Avaliação

Não. Nome Designação Reunião de Reunião de Entrevista

abertura encerramento
1 Amanda Gerentes de  
França Operações
2 Simon Gerente de  
Bloqueio Instalações
3 Clive Prichard Gerente de SI   
4 Página Clive Gerente de vendas 
5 João Bispo Líder de equipe de  
TI
6 Cisne CEO/Alta   
Administração

Definição de descobertas:

Não conformidade : Não cumprimento de um requisito.

Não conformidade maior: Não conformidade que afeta a capacidade do sistema de gestão de atingir
os resultados pretendidos. As não conformidades podem ser classificadas como graves nas seguintes
circunstâncias: Se houver uma dúvida significativa de que existe um controle eficaz do processo ou
de que os produtos ou serviços atenderão aos requisitos especificados; Várias não conformidades
menores associadas ao mesmo requisito ou questão podem demonstrar uma falha sistêmica e,
portanto, constituir uma não conformidade maior.

Não conformidade menor: Não conformidade que não afeta a capacidade do sistema de gestão de
atingir os resultados pretendidos.

Oportunidade de melhoria: É uma declaração de fato feita por um auditor durante uma avaliação, e
fundamentada por evidências objetivas, referindo-se a uma fraqueza ou potencial deficiência em um
sistema de gestão que, se não for melhorado, poderá levar a não conformidades no futuro. Podemos

Página2 de 3
RELATÓRIO DE AUDITORIA PARA LDCC Confidencial

fornecer informações genéricas sobre as melhores práticas industriais, mas nenhuma solução
específica será fornecida como parte de uma oportunidade de melhoria.

Resultados e recomendações de auditoria

Númer Encontrando Não Cláusula Padrão Recomendação

o NC conformidad de Gestão
e
NC001 Com base no modelo de Principal 6.1.3(f) Necessidade de
Avaliação de Risco ISO 27001 obter aprovação
- D13 – edição 1, do Proprietário do
constatamos que alguns Risco do Plano de
“Proprietários do Risco” não Tratamento de
foram aprovados, Riscos de
principalmente na seção A1 e segurança da
A18. informação (RTP) e
Durante o processo de aceitação de riscos
auditoria, o Representante residuais de
da Administração afirmou segurança da
que o Proprietário do Risco informação.
não aprovou porque estava
de licença
NC002 O documento Declaração de Principal 6.1.3(d) Necessidade de
Aplicabilidade (SoA) não é produzir uma
eficaz. No documento SoA Declaração de
número SoA - D14 - emissão Aplicabilidade que
1, que é baseado no ativo e contenha os
não é baseado no controle. controles
necessários do
Anexo A.

Conclusões da Auditoria

A equipa de Auditoria recomenda ao Representante da Gestão (MR) que estabeleça a ligação com as
partes interessadas relevantes sobre a correção e ação corretiva de todas as constatações. O MR
deve garantir que todas as aprovações do Proprietário do Risco sejam aprovadas e aceites os riscos.
A equipe de Segurança da Informação deverá produzir efetividade na implementação das correções
e ações corretivas das Não Conformidades reportadas. A equipe de auditoria constatou que existem
diversas não conformidades durante o processo de auditoria e decidiu não processar a certificação
ISO 27001:2013 para o LDCC até que as lacunas e não conformidades identificadas sejam resolvidas
pelo LDCC. A equipe de auditoria realizará o processo de auditoria de acompanhamento nos
próximos 60 dias.

Página3 de 3