CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS

Tamanho: px
Começar a partir da página:

Download "CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 27006:2011) - OTS"

Transcrição

1 CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (ISO/IEC 276:2011) - OTS NORMA Nº NIT-DICOR-011 APROVADA EM MAR/2013 Nº 01/46 SUMÁRIO 1 Objetivo 2 Campo de Aplicação 3 Responsabilidade 4 Siglas 5 Histórico da Revisão 6 Critérios adicionais para Acreditação Anexo Critérios Adicionais para a Acreditação de Organismos de Certificação de Sistemas de Gestão da Segurança da Informação (ISO/IEC 271:2011) 1 OBJETIVO Esta Norma estabelece os critérios adicionais que um organismo de certificação de sistemas de gestão da qualidade deve atender para obter e manter a acreditação pela Cgcre como organismo de certificação de sistemas de gestão da Segurança da Informação (ISO/IEC 271:2011) Esta norma apresenta uma tradução livre em português da ISO/IEC 276:2011. Nota: Para fins de acreditação, o documento de referência é a versão original em inglês. 2 CAMPO DE APLICAÇÃO Esta norma aplica-se à Dicor. 3 RESPONSABILIDADE A responsabilidade pela revisão desta norma é da Dicor. 4 SIGLAS Dicor IAF ISO IEC Divisão de Acreditação de Organismos de Certificação International Accreditation Forum International Organization for Standardization International Electrotechnical Commission 5 HISTÓRICO DA REVISÃO Versão inicial 6 CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO Além dos critérios da NIT-Dicor-8, os organismos de certificação de sistemas de gestão da Segurança da Informação (ISO/IEC 271:2011) devem atender aos critérios adicionais estabelecidos em anexo desta norma. /ANEO

2 02/46 ANEO ISO/IEC 276:2011 Nota: Por ser uma tradução literal do documento do ISO/IEC, este Anexo não segue as prescrições da NIG-GQUAL-1. International Organization for Standardization ISO International Electrotechnical Commission - IEC Tecnologia da Informação Técnicas de Segurança Requisitos para organismos que fornecem auditoria e certificação de Sistemas de Gestão da Segurança da Informação (ISO/IEC 276:2011)

3 03/46 SUMÁRIO PREFÁCIO... 5 INTRODUÇÃO ESCOPO REFERÊNCIAS NORMATIVAS TERMOS E DEFINIÇÕES PRINCÍPIOS REQUISITOS GERAIS ASPECTOS LEGAIS E CONTRATUAIS GESTÃO DA IMPARCIALIDADE RESPONSABILIDADE CIVIL E FINANÇAS REQUISITOS DE ESTRUTURA ESTRUTURA ORGANIZACIONAL E ALTA DIREÇÃO COMITÊ PARA SALVAGUARDAR A IMPARCIALIDADE REQUISITOS DE RECURSOS COMPETÊNCIA DA DIREÇÃO E DO PESSOAL PESSOAL ENVOLVIDO NAS ATIVIDADES DE CERTIFICAÇÃO USO DE AUDITORES E ESPECIALISTAS TÉCNICOS ETERNOS REGISTROS DO PESSOAL TERCEIRIZAÇÃO REQUISITOS SOBRE INFORMAÇÕES INFORMAÇÕES ACESSÍVEIS AO PÚBLICO DOCUMENTOS DE CERTIFICAÇÃO RELAÇÃO DE CLIENTES CERTIFICADOS REFERÊNCIAS À CERTIFICAÇÃO E AO USO DE MARCAS CONFIDENCIALIDADE TROCA DE INFORMAÇÕES ENTRE UM ORGANISMO DE CERTIFICAÇÃO E SEUS CLIENTES REQUISITOS DOS PROCESSOS REQUISITOS GERAIS AUDITORIA INICIAL E CERTIFICAÇÃO ATIVIDADES DE SUPERVISÃO RECERTIFICAÇÃO AUDITORIAS ESPECIAIS SUSPENSÃO, CANCELAMENTO OU REDUÇÃO DO ESCOPO DE CERTIFICAÇÃO APELAÇÕES RECLAMAÇÕES REGISTROS DE SOLICITANTES E CLIENTES REQUISITOS DE SISTEMAS DE GESTÃO PARA ORGANISMOS DE CERTIFICAÇÃO OPÇÕES OPÇÃO 1 REQUISITOS DE SISTEMA DE GESTÃO DE ACORDO COM A ABNT NBR ISO OPÇÃO 2 REQUISITOS GERAIS DE SISTEMAS DE GESTÃO ANEO A A.1 POTENCIAL DE RISCO DA ORGANIZAÇÃO A.2 CATEGORIAS DE RISCO DE SEGURANÇA DA INFORMAÇÃO DE SETORES ESPECÍFICOS ANEO B B.1 CONSIDERAÇÕES GERAIS SOBRE COMPETÊNCIA... 28

4 04/46 B.2 CONSIDERAÇÕES ESPECÍFICAS SOBRE COMPETÊNCIA ANEO C C.1 INTRODUÇÃO C.2 PROCEDIMENTO PARA DETERMINAR O TEMPO DE AUDITOR C.3 GRÁFICO DE TEMPO DE AUDITOR ANEO D D.1 OBJETIVO D.2 COMO USAR A TABELA D

5 05/46 Prefácio A ISO (International Organization for Standardization) e a IEC (International Electrotechnical Commission) formam um sistema especializado de padronização mundial. Os organismos nacionais membros da ISO ou da IEC participam no desenvolvimento de normas internacionais por meio de comitês técnicos estabelecidos pela respectiva organização para lidar com campos específicos de atividade técnica. Os comitês técnicos ISO e IEC colaboram em áreas de interesse mútuo. Outras organizações internacionais, governamentais e não-governamentais, em ligação com a ISO e a IEC, também podem participar do trabalho. No campo da tecnologia da informação, a ISO e a IEC estabeleceram um comitê técnico conjunto, ISO/ IEC JTC1. As normas internacionais são elaboradas de acordo com regras estabelecidas no documento ISO/IEC Directives, Part 2. A principal tarefa do comitê técnico conjunto é elaborar Normas Internacionais. Os projetos de Normas Internacionais adotados pelo comitê técnico conjunto são distribuídos aos organismos nacionais para votação. A publicação como Norma Internacional requer aprovação de pelo menos 75% dos organismos nacionais com direito a voto. É possível que alguns dos elementos deste documento sejam objeto de direitos de patente. A ISO e a IEC não são responsáveis pela identificação de quaisquer direitos de patente. A ISO/IEC 276 foi preparada pelo Comitê Técnico Conjunto ISO/IEC JTC 1, Tecnologia da Informação, SC Subcomitê 27, Técnicas de Segurança em TI. Esta segunda edição cancela e substitui a primeira edição (ISO/IEC 276:27), que foi tecnicamente revisada.

6 06/46 Introdução A norma ABNT NBR ISO/IEC estabelece critérios para organismos de auditoria e certificação de sistemas de gestão das organizações. Caso tais organismos devam ser acreditados em conformidade com a ABNT NBR ISO/IEC 17021, para oferecer auditoria e certificação de sistemas de gestão da segurança da informação (SGSI), de acordo com a norma ABNT NBR ISO/IEC 271:26, alguns requisitos adicionais e orientação para aplicação da norma ABNT NBR ISO/IEC são necessários. Estes são fornecidos por esta Norma. O texto desta Norma segue a estrutura da norma ABNT NBR ISO/IEC 17021, e os requisitos adicionais específicos de SGSI e a orientação para aplicação da ABNT NBR ISO/IEC para certificação de SGSI são identificados pela sigla "SI". O termo "deve" é usado nesta Norma para indicar aquelas disposições que, refletindo os requisitos da norma ABNT NBR ISO/IEC e ABNT NBR ISO/IEC 271, são de atendimento obrigatório. O termo "convém que" é usado para indicar uma recomendação. Um dos objetivos desta Norma é permitir que organismos de acreditação harmonizem de forma mais eficaz a aplicação das normas contra as quais eles são obrigados a avaliar os organismos de certificação. NOTA: Nesta Norma, os termos "sistema de gestão" e "sistema" são usados indistintamente. A definição de sistema de gestão pode ser encontrada na norma NBR ISO 90:25. O sistema de gestão usado na presente Norma não deve ser confundido com outros tipos de sistema, tais como sistemas de TI.

7 07/46 ISO/IEC 276:2011 Tecnologia da Informação Técnicas de segurança Requisitos para organismos que fornecem auditoria e certificação de Sistemas de Gestão da Segurança da Informação 1 Escopo Esta Norma Internacional contém requisitos e fornece orientações para organismos que realizam auditoria e certificação de sistemas de gestão da segurança da informação (SGSI), além das exigências contidas na ABNT NBR ISO/IEC e ABNT NBR ISO/IEC 271. Ela é destinada principalmente a auxiliar na acreditação de organismos de certificação que realizam certificação de SGSI. Os requisitos contidos nesta norma devem ser demonstrados em termos de competência e confiabilidade por qualquer organismo de certificação de SGSI, e as orientações contidas na presente Norma Internacional fornecem interpretação adicional destes requisitos para qualquer organismo que realiza a certificação de SGSI. NOTA Esta Norma pode ser utilizada como documento de referência para acreditação, avaliação de pares ou outros processos de auditoria. 2 Referências Normativas Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para referências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicamse as edições mais recentes do referido documento (incluindo emendas). ABNT NBR ISO/IEC 17021:2011, Avaliação de conformidade Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão. ABNT NBR ISO/IEC 271:26, Tecnologia da Informação Técnicas de segurança Sistemas de gestão da segurança da informação Requisitos NBR ISO 19011, Diretrizes para auditoria de sistemas de gestão ambiental e/ou da qualidade. 3 Termos e definições Para os efeitos deste documento, aplicam-se os termos e definições da ABNT NBR ISO/IEC 17021, ABNT NBR ISO/IEC 271, além dos seguintes: 3.1 certificado certificado emitido por um organismo de certificação de acordo com as condições de sua acreditação e possuindo um símbolo ou declaração de acreditação 3.2 organismo de certificação terceira parte que avalia e certifica o SGSI de uma organização cliente em conformidade com as normas existentes para SGSI, e toda documentação complementar exigida pelo sistema 3.3 documento de certificação documento atestando que o SGSI de uma organização cliente está em conformidade com os padrões especificados para SGSI e toda documentação complementar exigida pelo sistema

8 08/ marca marca ou símbolo legalmente registrado ou protegido de outro modo, emitido sob as regras de um organismo de acreditação ou de um organismo de certificação, indicando que foi demonstrada adequada confiança nos sistemas operados por um organismo, ou que produtos relevantes ou indivíduos foram considerados em conformidade com os requisitos de uma norma específica 3.5 organização companhia, corporação, firma, empresa, autoridade ou instituição, ou parte, ou combinação destas, incorporada ou não, pública ou privada, que tem funções próprias e administração, e é capaz de assegurar que mantém a segurança da informação 4 Princípios Aplicam-se os princípios da cláusula 4 da ABNT NBR ISO/IEC 17021: Requisitos gerais 5.1 Aspectos legais e contratuais Aplicam-se os requisitos da cláusula 5.1 da ABNT NBR ISO/IEC 17021: Gestão da imparcialidade Aplicam-se os requisitos da cláusula 5.2 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI 5.2 Conflitos de interesse Organismos de certificação podem realizar as seguintes atividades, sem que estas sejam consideradas como consultoria ou apresentem um potencial conflito de interesses: a) certificação, incluindo reuniões informativas, reuniões de planejamento, exame de documentos, auditoria (exceto auditoria interna do SGSI ou avaliação interna de segurança) e acompanhamento de não-conformidades; b) organizar e participar como palestrante em cursos de formação, desde que se os cursos forem relativos à gestão da segurança da informação, sistemas de gestão relacionados ou auditoria, os organismos de certificação limitem-se à prestação de informações genéricas e recomendações disponíveis em domínio público gratuito, isto é, os organismos não devem dar conselhos específicos à uma empresa que violem os requisitos de c) a seguir; c) tornar disponível ou publicar a pedido, informações descrevendo a interpretação do organismo de certificação sobre os requisitos das normas de auditoria de certificação (ver ); d) atividades anteriores à auditoria, desde que somente tenham o propósito de atestar a preparação para auditoria de certificação, no entanto, essas atividades não devem resultar no fornecimento de recomendações ou conselhos que violem esta cláusula, e o organismo de certificação deve assegurar que tais atividades não contrariam esses requisitos, e que estas não são utilizadas para justificar uma redução no tempo de duração da auditoria de certificação; e) realizar auditorias de segunda e terceira parte com base em normas ou regulamentos distintos daqueles que fazem parte do escopo de credenciamento;

9 09/46 f) agregar valor durante as auditorias de certificação e de supervisão, por exemplo, através da identificação de oportunidades de melhoria, caso se tornem evidentes durante a auditoria, sem recomendar soluções específicas. O organismo de certificação deve ser independente do(s) organismo(s) (incluindo indivíduos) que realizam auditoria interna do SGSI da organização cliente objeto da certificação de SGSI. 5.3 Responsabilidade civil e finanças Aplicam-se os requisitos da cláusula 5.3 da ABNT NBR ISO/IEC 17021: Requisitos de estrutura 6.1 Estrutura organizacional e alta direção Aplicam-se os requisitos da cláusula 6.1 da ABNT NBR ISO/IEC 17021: Comitê para salvaguardar a imparcialidade Aplicam-se os requisitos da cláusula 6.2 da ABNT NBR ISO/IEC 17021: Requisitos de recursos 7.1 Competência da direção e do pessoal Aplicam-se os requisitos da cláusula 7.1 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI Considerações gerais Os elementos essenciais de competência necessários para realizar certificação de SGSI são selecionar, fornecer e gerenciar indivíduos cujas habilidades e competência coletiva são adequadas às atividades a serem auditadas e aos aspectos de segurança da informação relacionados Análise de competência e avaliação de contratos O organismo de certificação deve assegurar que detém conhecimento dos desenvolvimentos tecnológicos e legais relevantes para o SGSI da organização cliente que ele avalia. O organismo de certificação deve dispor de um sistema eficaz para a análise das competências em gestão da segurança da informação que necessita ter, relacionadas às áreas técnicas em que atua. Para cada organização cliente, o organismo de certificação deve ser capaz de demonstrar que realizou uma análise das competências (avaliação de habilidades em resposta às necessidades avaliadas) dos requisitos de cada setor relevante, antes de proceder à avaliação de contrato. O organismo de certificação deve então avaliar o contrato com a organização cliente, com base nos resultados da análise de competências. Em particular, o organismo de certificação deve ser capaz de demonstrar que tem a necessária competência para realizar as seguintes atividades: a) compreender as áreas de atividade da organização cliente e os riscos de negócio associados; b) definir as competências necessárias ao organismo de certificação relacionadas às atividades identificadas, e as ameaças à segurança da informação relacionadas a ativos, vulnerabilidades e impactos sobre a organização cliente;

10 10/46 c) d) confirmar a disponibilidade das competências requeridas Recursos A gerência do organismo de certificação deve ter processos e recursos necessários que lhe permitam determinar se os auditores estão em condições de realizar as tarefas que devem ser executadas no âmbito do escopo de certificação em que estão atuando. A competência dos auditores pode ser demonstrada com base na experiência possuída, e na formação específica ou no treinamento recebido (ver também Anexo B). O organismo de certificação deve ser capaz de comunicar-se de forma eficaz com todos os clientes para quem presta serviços SI Determinação de critérios de competência. Informações adicionais sobre conhecimento e habilidades são fornecidas no Anexo B para apoiar os critérios de competência da ISO/IEC Pessoal envolvido nas atividades de certificação Aplicam-se os requisitos da cláusula 7.2 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI 7.2 Competência do pessoal do organismo de certificação Os organismos de certificação devem dispor de pessoal competente para: a) selecionar e atestar a competência adequada dos auditores de SGSI das equipes de auditoria; b) treinar auditores de SGSI e organizar todo o treinamento necessário; c) decidir sobre a concessão, manutenção, cancelamento, suspensão, extensão, ou a redução de certificações; d) preparar e implementar um procedimento para tratar apelações e reclamações Treinamento das equipes de auditoria O organismo de certificação deve possuir critérios para o treinamento das equipes de auditoria que assegurem: a) conhecimento da norma de SGSI e outros documentos normativos pertinentes; b) compreensão dos princípios de segurança da informação; c) compreensão de avaliação e gestão de riscos, sob o ponto de vista de negócios; d) conhecimento técnico da atividade a ser auditada; e) conhecimento geral dos requisitos legais aplicáveis a SGSI; f) conhecimento de sistemas de gestão; g) compreensão dos princípios de auditoria com base na NBR ISO 19011; h) conhecimento de avaliação da eficácia de SGSI e eficácia do monitoramento de controle. Estes requisitos de formação aplicam-se a todos os membros da equipe de auditoria, com exceção da alínea d, que pode ser compartilhado entre os membros da equipe de auditoria Ao selecionar a equipe de auditoria para uma auditoria de certificação específica, o organismo de certificação deve assegurar que as competências reunidas para cada atividade são adequadas. A equipe deve:

11 11/46 a) ter conhecimento técnico adequado das atividades específicas dentro do escopo do SGSI objeto da certificação e, sempre que pertinente, com os procedimentos relacionados e seus riscos potenciais de segurança da informação (especialistas técnicos que não são auditores podem cumprir esta função); b) ter um grau suficiente de compreensão da organização cliente para realizar uma auditoria de certificação de SGSI confiável quanto à gestão dos aspectos de segurança da informação de suas atividades, produtos e serviços; c) ter compreensão adequada dos requisitos legais aplicáveis ao SGSI da organização cliente Quando necessário, a equipe de auditoria pode ser complementada por especialistas técnicos que demonstrem possuir competência específica em tecnologia apropriada para a auditoria. Deve ser tomado cuidado para que especialistas técnicos não atuem no lugar de auditores de SGSI, embora possam aconselhar os auditores em aspectos de tecnologia no escopo do sistema de gestão objeto da auditoria. O organismo de certificação deve ter um procedimento para: a) selecionar auditores e especialistas técnicos, com base em sua competência, treinamento, qualificações e experiência; b) inicialmente avaliar o comportamento dos auditores e especialistas técnicos durante as auditorias de certificação e, posteriormente, monitorar o desempenho dos auditores e especialistas técnicos Gestão do processo de tomada de decisão A função de gerência deve ter competência técnica e capacidade para gerir o processo de tomada de decisão compreendendo concessão, manutenção, extensão, redução, suspensão e cancelamento da certificação de SGSI, conforme os requisitos da norma ABNT NBR ISO/IEC Pré-requisitos de nível de escolaridade, experiência profissional, treinamento e experiência em auditoria para auditores que realizam auditorias de SGSI Cada auditor da equipe de auditoria de SGSI deve preencher os seguintes critérios. O auditor deve: a) possuir nível médio de escolaridade; b) ter experiência de trabalho prático em Tecnologia da Informação por pelo menos quatro anos em tempo integral, dos quais ao menos dois anos em cargo ou função relacionada à segurança da informação; c) ter concluído com êxito treinamento de cinco dias (40h) em programa abrangendo auditorias de SGSI e gestão de auditoria considerados adequados; d) ter adquirido experiência no processo de avaliação de segurança da informação antes de assumir a responsabilidade de atuar como auditor. Esta experiência deve ter sido adquirida pela participação em um mínimo de quatro auditorias de certificação de um total de pelo menos 20 dias, incluindo análise da documentação e análise de riscos, avaliação da implementação e elaboração de relatórios de auditoria; e) ter experiência razoavelmente recente; f) ser capaz de compreender operações complexas e entender o papel das unidades individuais em grandes organizações; g) manter atualizados seus conhecimentos e habilidades em segurança da informação e auditoria através do desenvolvimento profissional contínuo. Os especialistas técnicos devem preencher os seguintes critérios: a), b), e) e f) Além dos critérios previstos em , os auditores líderes de equipe devem preencher

12 12/46 os critérios a seguir, que devem ser atestados em auditorias sob orientação e monitoramento. a) ter conhecimento e habilidades para conduzir o processo de auditoria de certificação; b) ter sido auditor em pelo menos três auditorias completas de SGSI; c) demonstrar capacidade de se comunicar de forma eficaz, tanto oralmente quanto por escrito. 7.3 Uso de auditores e especialistas técnicos externos Aplicam-se os requisitos da cláusula 7.3 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI 7.3 Uso de auditores ou especialistas técnicos externos como parte da equipe de auditoria Ao utilizar auditores ou especialistas técnicos externos como parte da equipe de auditoria, o organismo de certificação deve assegurar que eles são competentes e cumprem as disposições aplicáveis desta norma, e que não estão envolvidos diretamente ou através de seu empregador no desenvolvimento, implementação, ou manutenção de um SGSI ou sistema(s) de gestão relacionado(s), de modo que a imparcialidade possa ser comprometida Uso de especialistas técnicos Especialistas técnicos com conhecimento específico no processo e em aspectos de segurança da informação e na legislação que afeta a organização cliente, mas que não preenchem todos os critérios previstos no item 7.2, podem fazer parte da equipe de auditoria. Especialistas técnicos devem trabalhar sob a supervisão de um auditor. 7.4 Registros do pessoal Aplicam-se os requisitos da cláusula 7.4 da ABNT NBR ISO/IEC 17021: Terceirização Aplicam-se os requisitos da cláusula 7.5 da ABNT NBR ISO/IEC 17021: Requisitos sobre informações 8.1 Informações acessíveis ao público Aplicam-se os requisitos da cláusula 8.1 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI 8.1 Procedimentos para concessão, manutenção, extensão, redução, suspensão e cancelamento da certificação O organismo de certificação deve exigir que a organização cliente possua um SGSI documentado e implementado em conformidade com a ABNT NBR ISO/IEC 271 e demais documentos exigidos para a certificação. O organismo de certificação deve ter procedimentos documentados para: a) realizar a auditoria de certificação inicial de SGSI de uma organização cliente, de acordo com as disposições da norma ABNT NBR ISO/IEC e demais documentos pertinentes; b) realizar as auditorias de supervisão e recertificação de SGSI de uma organização cliente, de

13 13/46 acordo com as disposições da norma ABNT NBR ISO/IEC 17021, em base periódica, para a manutenção da conformidade com os requisitos relevantes e para a verificação e registro de que a organização cliente toma ações corretivas em tempo hábil para sanar todas as não-conformidades. 8.2 Documentos de certificação Aplicam-se os requisitos da cláusula 8.2 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI 8.2 Documentos de certificação do SGSI O organismo de certificação deve fornecer a cada uma de suas organizações clientes cujo SGSI é certificado, documentos de certificação tais como uma carta ou um certificado assinado por um funcionário ao qual tenha sido atribuída tal responsabilidade. Para a organização cliente e cada um de seus sistemas de informação abrangidos pela certificação, estes documentos devem identificar o escopo da certificação concedida e a norma ABNT NBR ISO/IEC 271 com a qual o SGSI foi certificado. Além disso, o certificado deve incluir uma referência à versão específica da Declaração de Aplicabilidade. NOTA Uma alteração da Declaração de Aplicabilidade, que não altere a abrangência dos controles do escopo da certificação não requer uma atualização do certificado. 8.3 Relação de clientes certificados Aplicam-se os requisitos da cláusula 8.3 da ABNT NBR ISO/IEC 17021: Referências à certificação e ao uso de marcas Aplicam-se os requisitos da cláusula 8.4 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI 8.4 Controle de marcas de certificação O organismo de certificação deve exercer um controle adequado sobre a posse, uso e exibição de suas marcas de certificação de SGSI. Se o organismo de certificação confere o direito de usar uma marca para indicar a certificação de um SGSI, o organismo de certificação deve assegurar que a organização cliente use a marca especificada somente tal como autorizado por escrito pelo organismo de certificação. O organismo de certificação não dá direito à organização cliente de usar esta marca em um produto, ou de forma que possa ser interpretada como indicando a conformidade do produto. 8.5 Confidencialidade Aplicam-se os requisitos da cláusula 8.5 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI 8.5 Acesso a registros organizacionais Antes da auditoria de certificação, o organismo de certificação deve solicitar à organização cliente que informe se há registros do SGSI que poderiam não ser disponibilizados para avaliação pela equipe de auditoria, por conter informações confidenciais ou sensíveis. O organismo de certificação deve determinar se o SGSI pode ser adequadamente auditado na ausência desses registros. Se o organismo de certificação concluir que não é possível auditar adequadamente o SGSI sem avaliar os registros identificados como confidenciais ou sensíveis, deve alertar a organização cliente de que a auditoria de certificação não poderá se realizar até se obter acesso apropriado aos registros.

14 14/ Troca de informações entre um organismo de certificação e seus clientes Aplicam-se os requisitos da cláusula 8.6 da ABNT NBR ISO/IEC 17021: Requisitos dos processos 9.1 Requisitos gerais Aplicam-se os requisitos da cláusula 9.1 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI Requisitos gerais de auditoria de SGSI Critérios de auditoria de certificação Os critérios contra os quais o SGSI da organização cliente é auditado devem ser os descritos na norma ABNT NBR ISO/IEC 271 e nos demais documentos necessários para a certificação, relevantes para a atividade desenvolvida. Se houver necessidade de um esclarecimento quanto à aplicação destes documentos para um programa de certificação específico, tal explicação deve ser feita por um comitê competente e imparcial, ou por pessoas que tenham a necessária competência técnica, e divulgada pelo organismo de certificação Políticas e procedimentos A documentação do organismo de certificação deve incluir a política e os procedimentos para a implementação do processo de certificação, incluindo controles de uso e aplicação dos documentos utilizados na certificação de SGSI e os procedimentos para auditoria e certificação do SGSI da organização cliente Equipe de auditoria A equipe de auditoria deve ser formalmente nomeada e munida dos documentos apropriados de trabalho. O plano de auditoria e a sua data de realização devem ser acordados com a organização cliente. O mandato dado à equipe de auditoria deve ser claramente definido e divulgado para a organização cliente, e deve determinar que a equipe de auditoria examine a estrutura, políticas e procedimentos da organização cliente, e confirme que estes cumprem todos os requisitos relevantes para o escopo de certificação e que os procedimentos são executados e apropriados para prover confiança no SGSI da organização cliente SI Escopo da certificação A equipe de auditoria deve auditar o SGSI da organização cliente coberto pelo escopo definido em relação a todos os requisitos de certificação aplicáveis. O organismo de certificação deve assegurar que o escopo e os limites do SGSI da organização cliente estão claramente definidos em termos das características do negócio, da organização, sua localização, ativos e tecnologia. O organismo de certificação deve confirmar, no escopo de seu SGSI, que a organização cliente atende aos requisitos estabelecidos na cláusula 1.2 da ABNT NBR ISO/IEC 271:26. Os organismos de certificação devem assegurar que a avaliação de riscos de segurança da informação e o tratamento de riscos realizados pela organização cliente reflete corretamente suas atividades e abrange os limites de suas atividades, conforme definido na norma ABNT NBR ISO/IEC 271. Os organismos de certificação devem confirmar que isto está declarado no escopo do SGSI da organização cliente e em sua Declaração de Aplicabilidade.

15 15/46 Os organismos de certificação devem assegurar que as interfaces com serviços ou atividades que não estejam completamente dentro do escopo do SGSI sejam abrangidas pelo escopo do SGSI objeto de certificação, e tenham sido incluídas na avaliação de riscos de segurança da informação da organização cliente. Um exemplo de tal situação é o compartilhamento de recursos (por exemplo, sistemas de TI, bases de dados e sistemas de telecomunicações) com outras organizações SI Tempo de Auditoria Os organismos de certificação devem assegurar tempo suficiente para que os auditores realizem todas as atividades relacionadas à auditoria inicial, auditorias de supervisão, ou auditoria de recertificação. O tempo atribuído deve considerar os seguintes fatores: a) a amplitude do escopo do SGSI (e. g., número de sistemas de informação utilizados, número de funcionários); b) a complexidade do SGSI (e. g., a criticidade dos sistemas de informação, a situação de risco do SGSI), ver também Anexo A; c) o(s) tipo(s) de negócio(s) realizado no âmbito do escopo do SGSI; d) a amplitude e diversidade de técnicas utilizadas na implementação dos diversos componentes do SGSI (tais como, controles implementados, documentação e/ou controle de processos, ação corretiva/preventiva etc); e) número de sites; f) desempenho previamente demonstrado do SGSI; g) a abrangência da terceirização e de contratos de terceira parte usados no escopo do SGSI; h) as normas e regulamentos que se aplicam à certificação. O Anexo C fornece orientação sobre tempo de auditoria. O organismo de certificação deve estar preparado para comprovar ou justificar a quantidade de tempo utilizada na auditoria inicial, auditorias de supervisão e auditoria de recertificação SI Multi-site Decisões de amostragem multi-site na área de certificação de SGSI são mais complexas do que as mesmas decisões para sistemas de gestão da qualidade. Quando a organização cliente possui diversos sites que preenchem os critérios de a) a c) abaixo, convém que os organismos de certificação adotem uma abordagem baseada em amostragem multi-site na auditoria de certificação: a) todos os sites operam sob um mesmo SGSI administrado centralmente, e são auditados e sujeitos à avaliação pela gestão central; b) todos os sites estão incluídos na programação de auditorias internas de SGSI da organização cliente; c) todos os sites estão incluídos na programação de análise crítica de SGSI da organização cliente O organismo de certificação que pretenda utilizar uma abordagem baseada em amostragem deve ter procedimentos definidos para assegurar que: a) A avaliação inicial de contrato identifique da forma mais abrangente possível a diferença entre esses sites para que um nível adequado de amostragem seja determinado; b) Um número representativo de sites seja amostrado pelo organismo de certificação, levando em consideração:

16 16/46 1) resultados de auditorias internas na sede e nos sites, 2) resultados de análises críticas, 3) diferenças no tamanho dos sites, 4) diferenças na finalidade de negócio dos sites, 5) a complexidade do SGSI, 6) a complexidade dos sistemas de informação dos diferentes sites, 7) diferenças nas práticas de trabalho, 8) diferenças nas atividades realizadas, 9) interação potencial com sistemas de informação críticos ou sistemas de informação que processem informações sensíveis, 10) diferentes requisitos legais aplicáveis. c) Uma amostra representativa seja selecionada a partir de todos os sites dentro do escopo de SGSI da organização cliente; essa seleção deve ser baseada em critério de julgamento que considere os fatores apresentados no item (b) acima, bem como um elemento aleatório; d) Todos os sites incluídos no SGSI sujeitos a riscos significativos sejam auditados pelo organismo de certificação antes da certificação; e) A programação de auditorias seja elaborada considerando os requisitos acima mencionados e abranja amostras representativas do escopo de certificação do SGSI dentro do período de três anos; f) Caso seja observada uma não-conformidade, seja na sede ou em um único site, o procedimento de ação corretiva aplica-se para a sede e todos os locais abrangidos pelo certificado. A auditoria descrita em SI deve abranger as atividades do escritório central da organização cliente para garantir que um SGSI único aplica-se a todos os sites e oferece gerenciamento centralizado a nível operacional. A auditoria deve abranger todos os aspectos acima descritos SI Metodologia de Auditoria O organismo de certificação deve ter procedimentos que requeiram que a organização cliente seja capaz de demonstrar que as auditorias internas do SGSI são programadas, a programação e os procedimentos são cumpridos e sua operacionalidade pode ser demonstrada. Os procedimentos do organismo de certificação não devem presumir uma forma particular de implementação de um SGSI ou um formato específico de documentos e registros. Os procedimentos de certificação devem se concentrar em confirmar que o SGSI da organização cliente atende aos requisitos da norma ABNT NBR ISO/IEC 271 e às políticas e objetivos definidos pela organização cliente. O plano de auditoria deve identificar quais técnicas de auditoria assistidas por rede serão utilizadas durante a auditoria, conforme o caso. NOTA Técnicas de auditoria assistidas por rede podem incluir, por exemplo, teleconferência, reunião via internet, comunicações interativas baseadas na internet, e acesso eletrônico remoto à documentação do SGSI e/ou processos do SGSI. O foco destas técnicas deve ser melhorar a eficácia e eficiência da auditoria e apoiar a integridade do processo de auditoria SI Relatório de Auditoria de Certificação Os procedimentos de reporte do organismo de certificação devem assegurar que:

17 17/46 a) seja realizada uma reunião entre a equipe de auditoria e a gerência da organização cliente, antes de sair das instalações do cliente, na qual a equipe de auditoria fornecerá: 1) uma indicação escrita ou oral sobre a conformidade do SGSI da organização cliente com os requisitos específicos de certificação; 2) uma oportunidade para a organização cliente fazer perguntas sobre as constatações e sua fundamentação. b) a equipe de auditoria entregue ao organismo de certificação um relatório de auditoria contendo suas constatações sobre a conformidade do SGSI da organização cliente em relação a todos os requisitos de certificação O relatório de auditoria deve fornecer as seguintes informações ou uma referência a: a) um relato da auditoria, incluindo um resumo da análise de documentos; b) um relato da auditoria de certificação acerca da avaliação de riscos da segurança de informação da organização cliente; c) o tempo total de auditoria e uma especificação detalhada do tempo gasto com a análise de documentos, avaliação da análise de riscos, auditoria on-site, e relatórios de auditoria; d) abordagem de auditoria adotada, justificativa de sua seleção, e metodologia empregada O relatório de auditoria deve ser suficientemente detalhado para facilitar e fundamentar a decisão de certificação. Ele deve conter: a) as áreas cobertas pela auditoria (por exemplo, os requisitos de certificação e os sites que foram auditados), incluindo as trilhas de auditoria relevantes seguidas e as metodologias de auditoria utilizadas (ver SI 9.1.5); b) observações feitas, de caráter positivo (e. g., características notáveis) e negativo (e. g., nãoconformidades potenciais); c) detalhes de quaisquer não-conformidades identificadas, apoiadas por evidências objetivas e uma referência dessas não-conformidades aos requisitos da norma ABNT NBR ISO/IEC 271 e aos demais documentos exigidos para a certificação; d) comentários sobre a conformidade do SGSI do cliente com os requisitos de certificação com uma declaração clara de não-conformidade, uma referência à versão da Declaração de Aplicabilidade, e, quando aplicável, qualquer comparação útil com os resultados de auditorias de certificação anteriores do cliente. Questionários preenchidos, listas de verificação, observações, registros, ou notas de auditoria podem fazer parte integrante dos relatórios de auditoria. Caso sejam utilizados, esses documentos devem ser apresentados ao organismo de certificação como evidência para apoiar a decisão de certificação. Informações sobre as amostras avaliadas durante a auditoria devem ser incluídas no relatório de auditoria, ou em outra documentação de certificação. O relatório deve considerar a adequação da organização interna e dos procedimentos adotados pela organização cliente para fornecer confiança no SGSI. Além dos requisitos para relato da cláusula da ABNT NBR ISO/IEC 17021:2011, o relatório deve abranger: a) O grau de confiança que pode ser atribuído às auditorias internas e análises críticas do SGSI; b) Um resumo das observações mais importantes, positivas e negativas, em relação à implementação e eficácia do SGSI; c) Uma recomendação da equipe de auditoria quanto à certificação ou não do SGSI da organização cliente, com informações que fundamentam esta recomendação.

18 18/ Auditoria inicial e certificação Aplicam-se os requisitos da cláusula 9.2 da ABNT NBR ISO/IEC 17021:2011, e adicionalmente aplicam-se os seguintes requisitos específicos de SGSI e diretrizes SI Competência da equipe de auditoria Aplicam-se os seguintes requisitos à avaliação de certificação, além dos requisitos listados na cláusula 7.2. Para as atividades de supervisão apenas os requisitos que são relevantes para a atividade de supervisão prevista são aplicáveis. Os seguintes requisitos aplicam-se à equipe de auditoria como um todo. a) Em cada uma das seguintes áreas pelo menos um membro da equipe de auditoria deve satisfazer os critérios do organismo de certificação para assumir a responsabilidade dentro da equipe: 1) liderança de equipes, 2) sistemas de gestão e processos aplicáveis a SGSI, 3) conhecimento de requisitos legais e regulatórios no campo específico da segurança da informação, 4) identificação de ameaças e tendências de incidentes de segurança da informação, 5) identificação de vulnerabilidades da organização cliente e compreensão de sua possibilidade de exploração, de seus impactos e de sua mitigação e controle, 6) conhecimento de controles de SGSI e sua implementação, 7) conhecimento da avaliação da eficácia de SGSI e monitoramento de controles, 8) conhecimento de normas relativas e/ou relevantes de SGSI, melhores práticas da indústria, políticas e procedimentos de segurança, 9) conhecimento de métodos de tratamento de contingências e continuidade de negócios, 10) conhecimento sobre ativos de informações tangíveis e intangíveis, e avaliação de impactos, 11) conhecimento da tecnologia atual, onde segurança pode ser relevante ou uma preocupação, 12) conhecimento de métodos e processos de gestão de risco. b) A equipe de auditoria deve ser competente para rastrear indícios de incidentes de segurança da informação no SGSI da organização cliente e relacioná-los aos elementos apropriados do SGSI; c) A equipe de auditoria deve ter adequada experiência de trabalho e aplicação prática dos itens acima (isso não significa que um auditor necessita de uma gama completa de experiência em todas as áreas da segurança da informação, mas a equipe de auditoria como um todo deve ter conhecimento e experiência suficientes para abranger o escopo do SGSI auditado). Uma equipe de auditoria pode se constituir de uma única pessoa, desde que essa pessoa reúna todos os critérios estabelecidos na alínea a) acima SI Demonstração da competência do auditor Auditores podem demonstrar o conhecimento e experiência descritos acima, por exemplo, através de a) comprovada qualificação específica em SGSI; b) registro como auditor; c) cursos reconhecidos de formação em SGSI;

19 19/46 d) registros atualizados de desenvolvimento profissional permanente; e) demonstração prática testemunhando auditores realizando processo de auditoria de SGSI em clientes SI Preparativos gerais para a auditoria inicial O organismo de certificação deve exigir que uma organização cliente tome todas as providências necessárias para a realização da auditoria de certificação, incluindo previsão para análise de documentação e acesso a todas as áreas, registros (incluindo relatórios de auditoria interna e relatórios de análises independentes sobre segurança da informação) e pessoal para efeitos de certificação, auditoria, auditoria de recertificação e resolução de reclamações. Pelo menos as seguintes informações devem ser fornecidas pelo cliente antes da auditoria de certificação on-site: a) Informações gerais sobre o SGSI e as atividades que ele abrange; b) uma cópia da documentação exigida na cláusula da norma ABNT NBR ISO/IEC 271:26, e, quando necessário, da documentação relacionada SI Auditoria de certificação inicial SI Auditoria Fase 1 Nesta etapa de auditoria, o organismo de certificação deve obter documentação sobre o desenvolvimento do SGSI, abrangendo a documentação exigida na cláusula da norma ABNT NBR ISO/IEC 271. O objetivo da Auditoria Fase 1 é proporcionar uma base para o planejamento da Auditoria Fase 2, obtendo-se uma compreensão do SGSI no contexto da política e objetivos de SGSI da organização cliente, e, em particular, do estágio de preparação do cliente para a auditoria. A Auditoria Fase 1 deve incluir, mas não deve se limitar à análise de documentos. O organismo de certificação deve acordar com a organização cliente quando e onde a análise de documentos será conduzida. Em qualquer caso, a análise de documentos deve ser concluída antes do início da Auditoria Fase 2. As constatações da Auditoria Fase 1 devem ser documentadas em um relatório escrito. O organismo de certificação deve analisar o relatório da Auditoria Fase 1 antes de se decidir por prosseguir com a auditoria fase 2, e selecionar membros para a equipe da Auditoria Fase 2 com a necessária competência. O organismo de certificação deve dar ciência à organização cliente dos outros tipos de informações e registros que podem ser necessários para exame detalhado na Auditoria Fase SI Auditoria Fase A Auditoria Fase 2 realiza-se sempre no(s) site(s) da organização cliente. Com base nos resultados documentados no relatório de Auditoria Fase 1, o organismo de certificação elabora um plano de auditoria para a realização da Auditoria Fase 2. Os objetivos da Auditoria Fase 2 são: a) confirmar que a organização cliente adere a suas próprias políticas, objetivos e procedimentos;

20 20/46 b) confirmar que o SGSI atende a todos os requisitos da norma ABNT NBR ISO/IEC 271 e está atingindo os objetivos da politica da organização cliente Para alcançar isso, a auditoria deve manter foco em: a) avaliação de riscos de segurança da informação relacionados, e se as avaliações produzem resultados comparáveis e reproduzíveis; b) exigências de documentação listadas na cláusula da norma ABNT NBR ISO/IEC 271:26; c) seleção de objetivos de controle e controles baseados em avaliação de riscos e processos de tratamento de riscos; d) avaliações da eficácia do SGSI e medições da eficácia dos controles de segurança da informação, comunicação e revisão contra os objetivos do SGSI; e) auditorias internas e análise crítica do SGSI; f) responsabilidade de gestão da política de segurança da informação; g) correspondência entre os controles selecionados e implementados, conforme a Declaração de Aplicabilidade, e os resultados do processo de avaliação de risco e de tratamento de risco, e da política e objetivos de SGSI; h) implementação de controles (ver Anexo D), levando em conta as medições da eficácia dos controles da organização [ver d) acima], para determinar se os controles implementados são eficazes para atingir os objetivos definidos; i) programas, processos, procedimentos, registros, auditorias internas e avaliação da eficácia do SGSI, para garantir que estes são rastreáveis a decisões de gestão e da política e objetivos de SGSI SI Elementos específicos da auditoria de SGSI O papel do organismo de certificação é confirmar que as organizações clientes são consistentes em estabelecer e manter procedimentos para a identificação, exame e avaliação de ameaças de segurança da informação relacionadas a ativos, vulnerabilidades e impactos sobre a organização cliente. Os organismos de certificação devem: a) exigir que a organização cliente demonstre que a análise de ameaças relacionadas à segurança é relevante e adequada para o funcionamento da organização cliente; NOTA A organização cliente é responsável por definir os critérios pelos quais os riscos de segurança da informação relacionados à organização cliente são identificados como significativos, e desenvolver procedimento(s) para isso. b) verificar se os procedimentos da organização cliente para a identificação, exame e avaliação de ameaças de segurança da informação relacionados a ativos, vulnerabilidades e impactos e os resultados da sua aplicação são consistentes com a política, objetivos e metas da organização. O organismo de certificação deve também determinar se os procedimentos empregados na análise de relevância são sólidos e adequadamente implementados. Se uma ameaça à segurança da informação relacionada aos ativos, uma vulnerabilidade, ou um impacto sobre a organização cliente é identificado como sendo relevante, deve ser gerido no âmbito do SGSI Conformidade legal e regulamentar A manutenção e avaliação de conformidade legal e regulamentar é de responsabilidade da organização cliente. O organismo de certificação deve restringir-se a controles e amostras, a fim de obter confiança nas funções do SGSI a este respeito. O organismo de certificação deve verificar se a organização cliente tem um sistema de gestão para assegurar a conformidade legal e regulamentar aplicável aos riscos e impactos de segurança da informação.

21 21/ Integração da documentação de SGSI com a de outros sistemas de gestão A organização cliente pode combinar a documentação de SGSI e de outros sistemas de gestão (tais como qualidade, saúde e segurança e meio ambiente), desde que o SGSI possa ser claramente identificado, juntamente com as interfaces apropriadas para os outros sistemas Auditoria combinadas de sistema de gestão Um organismo de certificação pode oferecer a certificação de outros sistemas de gestão associada com a certificação do SGSI, ou pode oferecer unicamente a certificação de SGSI. A auditoria do SGSI pode ser combinada com auditorias de sistemas de gestão. Essa combinação é possível, desde que se possa demonstrar que a auditoria satisfaz todos os requisitos para a certificação do SGSI. Todos os elementos importantes para um SGSI deverão constar claramente, e ser prontamente identificáveis, nos relatórios de auditoria. A qualidade da auditoria não deve ser adversamente afetada pela combinação das auditorias SI Informações para a concessão da certificação inicial A fim de fornecer fundamentos para a decisão de certificação, o organismo de certificação deve exigir relatórios claros, que fornecem informações suficientes para tomar essa decisão. Relatórios da equipe de auditoria para o organismo de certificação são necessários em várias fases do processo de auditoria de certificação. Em conjunto com as informações contidas no processo, esses relatórios devem conter pelo menos as informações exigidas em SI SI Decisão de certificação A entidade, ou uma pessoa, que toma a decisão sobre a concessão/revogação da certificação no organismo de certificação, deve reunir um nível de conhecimento e experiência em todas as áreas, que seja suficiente para avaliar os processos de auditoria e as recomendações relacionadas feitas pela equipe de auditoria. A decisão sobre se deve ou não certificar o SGSI de uma organização cliente deve ser tomada pelo organismo de certificação com base nas informações obtidas durante o processo de certificação e em qualquer outra informação relevante. Quem tomar a decisão de certificação não deve ter participado da auditoria. Essa decisão deve basear-se nos resultados e recomendação pela certificação da equipe de auditoria, tal como previsto no seu relatório de auditoria de certificação (ver SI 9.1.6) e em qualquer outra informação relevante disponível ao organismo de certificação. A entidade que toma a decisão sobre a concessão da certificação normalmente não deve reverter uma recomendação negativa da equipe de auditoria. Se tal situação se verificar, o organismo de certificação deve documentar e justificar os fundamentos da decisão de invalidar a recomendação. Sobre o tema de decisão pela certificação, a ABNT NBR ISO/IEC não menciona um período específico para que ocorra pelo menos uma auditoria interna completa do SGSI e uma análise crítica de gestão do SGSI da organização cliente. Convém que o organismo de certificação determine este período. Independentemente do organismo de certificação ter especificado uma frequência mínima, medidas devem ser estabelecidas pelo organismo de certificação para garantir a eficácia da análise crítica de processos e das auditorias internas do SGSI da organização cliente. A certificação não deve ser concedida à organização cliente até se obter evidência suficiente de que os processos para análise crítica e auditoria interna de SGSI foram implementados, são eficazes, e serão seguidos.

NORMA NBR ISO 9001:2008

NORMA NBR ISO 9001:2008 NORMA NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema

Leia mais

ABNT NBR ISO/IEC 17021

ABNT NBR ISO/IEC 17021 NORMA BRASILEIRA ABNT NBR ISO/IEC 17021 Primeira edição 19.03.2007 Válida a partir de 19.04.2007 Versão corrigida 03.09.2007 Avaliação de conformidade Requisitos para organismos que fornecem auditoria

Leia mais

Regulamento geral para a certificação dos Sistemas de Gestão

Regulamento geral para a certificação dos Sistemas de Gestão Regulamento geral para a certificação dos Sistemas de Gestão Em vigor a partir de 01/04/2016 RINA Via Corsica 12 16128 Genova - Itália tel. +39 010 53851 fax +39 010 5351000 website : www.rina.org Normas

Leia mais

1.1 O Certificado de Sistemas de Gestão da Qualidade SAS é um certificado de conformidade com a norma brasileira:

1.1 O Certificado de Sistemas de Gestão da Qualidade SAS é um certificado de conformidade com a norma brasileira: Documento analisado criticamente e aprovado quanto à sua adequação. * Revisão geral para atendimento à NBR ISO/IEC 17021-1:2015. Responsável: Carlos Henrique R. Figueiredo Diretor de Certificação 1 - Objetivo

Leia mais

CÓPIA CONTROLADA USO EXCLUSIVO PARA TREINAMENTO INTERNO DO LIM56

CÓPIA CONTROLADA USO EXCLUSIVO PARA TREINAMENTO INTERNO DO LIM56 NORMA ABNT BRASILEIRA NBR ISO 9001 Segunda edição 28.11.2008 Válida a partir de 28.12.2008 Sistemas de gestão da qualidade - Requisitos Quality management systems - Requirements CÓPIA CONTROLADA USO EXCLUSIVO

Leia mais

1.1 O Certificado de Sistemas da Gestão Ambiental SAS é um certificado de conformidade com a norma brasileira:

1.1 O Certificado de Sistemas da Gestão Ambiental SAS é um certificado de conformidade com a norma brasileira: Documento analisado criticamente e aprovado quanto à sua adequação. Responsável: Carlos Henrique R. Figueiredo Diretor de Certificação * Inclusão de notas do item 2.1."b" quanto a documentação necessária

Leia mais

MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA - INMETRO

MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA - INMETRO Serviço Público Federal MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DE METROLOGIA, QUALIDADE E TECNOLOGIA - INMETRO Portaria n.º 245, de 22 de maio de 2015. O PRESIDENTE

Leia mais

PROCEDIMENTO GERAL PARA ROTULAGEM AMBIENTAL FALCÃO BAUER ECOLABEL BRASIL

PROCEDIMENTO GERAL PARA ROTULAGEM AMBIENTAL FALCÃO BAUER ECOLABEL BRASIL 1. Introdução O Falcão Bauer Ecolabel é um programa de rotulagem ambiental voluntário que visa demonstrar o desempenho ambiental de produtos e serviços através da avaliação da conformidade do produto com

Leia mais

Coordenação Geral de Acreditação INTRODUÇÃO ÀS PRÁTICAS DE AUDITORIA DE ACREDITAÇÃO. Documento de caráter orientativo DOQ-CGCRE-021

Coordenação Geral de Acreditação INTRODUÇÃO ÀS PRÁTICAS DE AUDITORIA DE ACREDITAÇÃO. Documento de caráter orientativo DOQ-CGCRE-021 Coordenação Geral de Acreditação INTRODUÇÃO ÀS PRÁTICAS DE AUDITORIA DE ACREDITAÇÃO Documento de caráter orientativo DOQ-CGCRE-021 Revisão 01 FEV/2010 DOQ-CGCRE-021 Revisão 01 Fev/2010 Página: 02/28 Introdução

Leia mais

DIRETRIZ DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17020: 2006

DIRETRIZ DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17020: 2006 DIRETRIZ DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17020: 2006 NORMA Nº: NIT-DIOIS-008 APROVADA EM MAI/2012 Nº 01/18 SUMÁRIO 1 Objetivo 2 Campo de Aplicação 3 Responsabilidade 4 Siglas 5 Histórico da Revisão

Leia mais

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE

LISTA DE VERIFICAÇAO DO SISTEMA DE GESTAO DA QUALIDADE Questionamento a alta direção: 1. Quais os objetivos e metas da organização? 2. quais os principais Produtos e/ou serviços da organização? 3. Qual o escopo da certificação? 4. qual é a Visão e Missão?

Leia mais

MQ-1 Revisão: 06 Data: 20/04/2007 Página 1

MQ-1 Revisão: 06 Data: 20/04/2007 Página 1 MQ-1 Revisão: 06 Data: 20/04/2007 Página 1 I. APROVAÇÃO Emitente: Função: Análise crítica e aprovação: Função: Liliane Alves Ribeiro da Silva Gerente Administrativa Roberto José da Silva Gerente Geral

Leia mais

NORMA ISO 14004. Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio

NORMA ISO 14004. Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio Página 1 NORMA ISO 14004 Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio (votação 10/02/96. Rev.1) 0. INTRODUÇÃO 0.1 Resumo geral 0.2 Benefícios de se ter um Sistema

Leia mais

REQUISITOS PARA QUALIFICAÇÃO DE AVALIADORES E ESPECIALISTAS UTILIZADOS NAS AVALIAÇÕES DE ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO E DE INSPEÇÃO

REQUISITOS PARA QUALIFICAÇÃO DE AVALIADORES E ESPECIALISTAS UTILIZADOS NAS AVALIAÇÕES DE ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO E DE INSPEÇÃO REQUISITOS PARA QUALIFICAÇÃO DE AVALIADORES E ESPECIALISTAS UTILIZADOS NAS AVALIAÇÕES DE ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO E DE INSPEÇÃO NORMA Nº NIE-CGCRE-017 APROVADA EM JUN/2011 REV Nº 01/10

Leia mais

ISO/IEC 17050-1. Avaliação da conformidade Declaração de conformidade do fornecedor Parte 1: Requisitos gerais

ISO/IEC 17050-1. Avaliação da conformidade Declaração de conformidade do fornecedor Parte 1: Requisitos gerais QSP Informe Reservado Nº 42 Janeiro/2005 ISO/IEC 17050-1 Avaliação da conformidade Declaração de conformidade do fornecedor Parte 1: Requisitos gerais Tradução livre especialmente preparada para os Associados

Leia mais

ISO 14004:2004. ISO14004 uma diretriz. Os princípios-chave ISO14004. Os princípios-chave

ISO 14004:2004. ISO14004 uma diretriz. Os princípios-chave ISO14004. Os princípios-chave ISO14004 uma diretriz ISO 14004:2004 Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio Prof.Dr.Daniel Bertoli Gonçalves FACENS 1 Seu propósito geral é auxiliar as

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

ORIENTAÇÕES PARA A SELEÇÃO E CONTRATAÇÃO DE SERVIÇOS DE CONSULTORIA, TREINAMENTO E CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE

ORIENTAÇÕES PARA A SELEÇÃO E CONTRATAÇÃO DE SERVIÇOS DE CONSULTORIA, TREINAMENTO E CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE 1 ORIENTAÇÕES PARA A SELEÇÃO E CONTRATAÇÃO DE SERVIÇOS DE CONSULTORIA, TREINAMENTO E CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE (D.O 01 revisão 05, de 22 de março de 2011) 2 SUMÁRIO PARTE I INTRODUÇÃO

Leia mais

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001

PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 PERGUNTAS MAIS FREQUENTES CERTIFICAÇÃO NBR ISO/IEC 27001 Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de Sistemas de Gestão, a Fundação Vanzolini vem catalogando

Leia mais

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Políticas de Segurança Tópicos 1. Necessidade de uma Política de Segurança de Informação; 2. Definição de uma Política de

Leia mais

Conflito de Interesses e Imparcialidade dos Auditores dos Organismos Certificadores

Conflito de Interesses e Imparcialidade dos Auditores dos Organismos Certificadores QSP Informe Reservado Nº 58 Maio/2006 Conflito de Interesses e Imparcialidade dos Auditores dos Organismos Certificadores Tradução para o português especialmente preparada para os Associados ao QSP. Este

Leia mais

FTAD Formação Técnica em Administração de Empresas. Módulo: Gestão da Qualidade. Profa. Maria do Carmo Calado

FTAD Formação Técnica em Administração de Empresas. Módulo: Gestão da Qualidade. Profa. Maria do Carmo Calado FTAD Formação Técnica em Administração de Empresas Módulo: Gestão da Qualidade Profa. Maria do Carmo Calado Aula 3 O surgimento e a importância das Normas ISO Objetivos: Esclarecer como se deu o processo

Leia mais

Revisão da ISO 9001:2015. Fernanda Spinassi

Revisão da ISO 9001:2015. Fernanda Spinassi Revisão da ISO 9001:2015 Fernanda Spinassi Requisito 4 Contexto da Organização Está mais claramente definida a obrigação de monitorar e analisar criticamente as questões externas e internas da organização

Leia mais

Módulo 4. Conceitos e Princípios de Auditoria

Módulo 4. Conceitos e Princípios de Auditoria Módulo 4 Conceitos e Princípios de Auditoria NBR: ISO 14001:2008 Sistemas da Gestão Ambiental Requisitos com orientações para uso NBR:ISSO 19011: 2002 Diretrizes para auditorias de sistema de gestão da

Leia mais

ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO. Documento de caráter orientativo

ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO. Documento de caráter orientativo Coordenação Geral de Acreditação ORIENTAÇÃO PARA A REALIZAÇÃO DE AUDITORIA INTERNA E ANÁLISE CRÍTICA EM LABORATÓRIOS DE CALIBRAÇÃO E DE ENSAIO Documento de caráter orientativo DOQ-CGCRE-002 Revisão 03

Leia mais

GESTÃO DA QUALIDADE COORDENAÇÃO DA QUALIDADE

GESTÃO DA QUALIDADE COORDENAÇÃO DA QUALIDADE GESTÃO DA COORDENAÇÃO DA Primeira 1/12 CONTROLE DE APROVAÇÃO ELABORADO REVISADO POR APROVADO Marcelo de Sousa Marcelo de Sousa Marcelo de Sousa Silvia Helena Correia Vidal Aloísio Barbosa de Carvalho Neto

Leia mais

NBR ISO 14011 - DIRETRIZES PARA AUDITORIA AMBIENTAL - PROCEDIMENTOS DE AUDITORIA - AUDITORIA DE SISTEMAS DE GESTÃO AMBIENTAL

NBR ISO 14011 - DIRETRIZES PARA AUDITORIA AMBIENTAL - PROCEDIMENTOS DE AUDITORIA - AUDITORIA DE SISTEMAS DE GESTÃO AMBIENTAL NBR ISO 14011 - DIRETRIZES PARA AUDITORIA AMBIENTAL - PROCEDIMENTOS DE AUDITORIA - AUDITORIA DE SISTEMAS DE GESTÃO AMBIENTAL Sumário 1. Objetivo e campo de aplicação...2 2. Referências normativas...2 3.

Leia mais

ABNT NBR ISO/IEC 27002:2005

ABNT NBR ISO/IEC 27002:2005 ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002.

Leia mais

Auditorias 25-01-2013. ISO 19011 âmbito. Termos e definições. Gestão da Qualidade João Noronha ESAC 2012/2013

Auditorias 25-01-2013. ISO 19011 âmbito. Termos e definições. Gestão da Qualidade João Noronha ESAC 2012/2013 Auditorias Gestão da Qualidade João Noronha ESAC 2012/2013 ISO 19011 âmbito Linhas de orientação para auditoria a sistemas de gestão Princípios de auditoria Gestão de programas de auditoria Condução de

Leia mais

PROCEDIMENTOS DE AUDITORIA INTERNA. 1 Objetivo Este Procedimento tem como objetivo descrever a rotina aplicável aos procedimentos de auditoria interna

PROCEDIMENTOS DE AUDITORIA INTERNA. 1 Objetivo Este Procedimento tem como objetivo descrever a rotina aplicável aos procedimentos de auditoria interna 025 1/8 Sumário 1 Objetivo 2 Aplicação 3 Documentos complementares 4 Definições 5 Procedimento 6. Formulários 7. Anexo A 1 Objetivo Este Procedimento tem como objetivo descrever a rotina aplicável aos

Leia mais

ISO 9001: SISTEMAS DE GESTÃO DA QUALIDADE

ISO 9001: SISTEMAS DE GESTÃO DA QUALIDADE ISO 9001: SISTEMAS DE GESTÃO DA QUALIDADE Prof. MARCELO COSTELLA FRANCIELI DALCANTON ISO 9001- INTRODUÇÃO Conjunto de normas e diretrizes internacionais para sistemas de gestão da qualidade; Desenvolve

Leia mais

Auditoria e Análise Crítica do Sistema da Qualidade dos Laboratórios

Auditoria e Análise Crítica do Sistema da Qualidade dos Laboratórios Em Procedimento GGLAS 5 Auditoria e Análise Crítica do Sistema da Qualidade dos Laboratórios Proc./GGLAS nº 16 Página 1 de 15 Habilitação de Laboratório na Reblas Auditoria e Análise Crítica do Sistema

Leia mais

PROCESSO EXTERNO DE CERTIFICAÇÃO

PROCESSO EXTERNO DE CERTIFICAÇÃO 1 de 9 1. OBJETIVO: Este procedimento estabelece o processo para concessão, manutenção, extensão e exclusão da certificação de Sistema de Gestão de Segurança da Informação, em conformidade com norma ABNT

Leia mais

AMARO Gestão Empresarial Ltda.

AMARO Gestão Empresarial Ltda. Anexo SL Por se tratar de uma tradução livre e de uso somente informativo para os clientes da consultoria, selecionamos somente os trechos importantes do Anexo SL e colocamos abaixo o Apêndice 2 que estrutura

Leia mais

Sistemas de Informação

Sistemas de Informação Sistemas de Informação Segurança da Informação Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Norma: ISO/IEC NBR 27001 e ISO/IEC NBR 27002 Histórico O BSi (British Standard Institute) criou a norma BS 7799,

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

BUREAU VERITAS CERTIFICATION MANUAL DE UTILIZAÇÃO DAS MARCAS DE CONFORMIDADE DE PRODUTO

BUREAU VERITAS CERTIFICATION MANUAL DE UTILIZAÇÃO DAS MARCAS DE CONFORMIDADE DE PRODUTO BUREAU VERITAS CERTIFICATION MANUAL DE UTILIZAÇÃO DAS MARCAS DE CONFORMIDADE DE PRODUTO Versão 5 Outubro de 2015 INDICE 1 Introdução 2 Utilização das Marcas de Conformidade no Produto 3 Utilização das

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

REGRA DE CERTIFICAÇÃO TELECOMUNICAÇÕES

REGRA DE CERTIFICAÇÃO TELECOMUNICAÇÕES Página: 1/08 Elaborado por: Claudio Francisco Verificado por: Karen Martins Aprovado por: Arnaldo Barbulio Filho Data Aprovação: 22/07/13 OBJETIVO Esta Regra de Certificação estabelece os critérios utilizados

Leia mais

Implantação do sistema de gestão da qualidade ISO 9001:2000 em uma empresa prestadora de serviço

Implantação do sistema de gestão da qualidade ISO 9001:2000 em uma empresa prestadora de serviço Implantação do sistema de gestão da qualidade ISO 9001:2000 em uma empresa prestadora de serviço Adriana Ferreira de Faria (Uniminas) affaria@uniminas.br Adriano Soares Correia (Uniminas) adriano@ep.uniminas.br

Leia mais

ebook Tratamento das Reclamações dos Clientes nas Organizações

ebook Tratamento das Reclamações dos Clientes nas Organizações ebook Tratamento das Reclamações dos Clientes nas Organizações ParasalvaroeBookemseucomputador,aproxime o mouse do quadrado vermelho clique no ícone 0 INTRODUÇÃO 1 OBJETIVO PROGRAMA 2 REFERÊNCIAS NORMATIVAS

Leia mais

ENG 2332 CONSTRUÇÃO CIVIL I

ENG 2332 CONSTRUÇÃO CIVIL I ENG 2332 CONSTRUÇÃO CIVIL I Profº Eng Civil Bruno Rocha Cardoso Aula 3: Controle de Qualidade de Execução. Controle de Qualidade de Execução. Mas o que é Qualidade? Embora tenha demorado dois dias para

Leia mais

ISO/IEC 17050-2. Avaliação da conformidade Declaração de conformidade do fornecedor Parte 2: Documentação de apoio

ISO/IEC 17050-2. Avaliação da conformidade Declaração de conformidade do fornecedor Parte 2: Documentação de apoio QSP Informe Reservado Nº 43 Fevereiro/2005 ISO/IEC 17050-2 Avaliação da conformidade Declaração de conformidade do fornecedor Parte 2: Documentação de apoio Tradução livre especialmente preparada para

Leia mais

Módulo 5 Interpretação da norma NBR ISO 19011:2002 requisitos: 7, 7.1, 7.2, 7.3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.4, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.

Módulo 5 Interpretação da norma NBR ISO 19011:2002 requisitos: 7, 7.1, 7.2, 7.3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.4, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7. Módulo 5 Interpretação da norma NBR ISO 19011:2002 requisitos: 7, 7.1, 7.2, 7.3, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.4, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.5, 7.5.1, 7.5.2, 7.6, 7.6.1, 7.6.2 Exercícios 7 Competência

Leia mais

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM

SISTEMA DE GESTÃO AMBIENTAL: ISO 14001. Material Didático: IBB 254 Gestão Ambiental / 2015 Curso: Ciências Biológicas - UFAM SISTEMA DE GESTÃO AMBIENTAL: ISO 14001 Material Didático: IBB 254 Gestão Ambiental / 2015 Conceitos Gerais A gestão ambiental abrange uma vasta gama de questões, inclusive aquelas com implicações estratégicas

Leia mais

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001

Fundamentos em Segurança de Redes de Computadores NBR ISO 27001 Fundamentos em Segurança de Redes de Computadores 1 É a norma de certificação para SGSI ( Sistemas de Gestão da Segurança da Informação), editada em português em abril de 2006 e que substituiu a BS 7799-2.

Leia mais

NORMA INTERNACIONAL FSC

NORMA INTERNACIONAL FSC Forest Stewardship Council NORMA INTERNACIONAL FSC Todos os direitos reservados Todos os direitos reservados FSC Internacional (FSC F000100) CADEIA DE CUSTÓDIA Título: Código de Referência do Documento:

Leia mais

TRANSIÇÃO DAS CERTIFICAÇÕES DOS SISTEMAS DE GESTÃO DA QUALIDADE E SISTEMAS DE GESTÃO AMBIENTAL, PARA AS VERSÕES 2015 DAS NORMAS.

TRANSIÇÃO DAS CERTIFICAÇÕES DOS SISTEMAS DE GESTÃO DA QUALIDADE E SISTEMAS DE GESTÃO AMBIENTAL, PARA AS VERSÕES 2015 DAS NORMAS. TRANSIÇÃO DAS CERTIFICAÇÕES DOS SISTEMAS DE GESTÃO DA QUALIDADE E SISTEMAS DE GESTÃO AMBIENTAL, PARA AS VERSÕES 2015 DAS NORMAS. As novas versões das normas ABNT NBR ISO 9001 e ABNT NBR ISO 14001 foram

Leia mais

QUALIFICAÇÃO E CERTIFICAÇÃO DE PESSOAL EM CORROSÃO E PROTEÇÃO

QUALIFICAÇÃO E CERTIFICAÇÃO DE PESSOAL EM CORROSÃO E PROTEÇÃO ABRACO 00 de 0 OBJETIVO Esta norma estabelece a sistemática adotada pela Associação Brasileira de Corrosão ABRACO para o funcionamento do Sistema Nacional de Qualificação e Certificação em Corrosão e Proteção.

Leia mais

PROCEDIMENTO ESPECÍFICO PARA CERTIFICAÇÃO SELO ECOLÓGICO FALCÃO BAUER

PROCEDIMENTO ESPECÍFICO PARA CERTIFICAÇÃO SELO ECOLÓGICO FALCÃO BAUER 1. Introdução A Certificação do Selo Ecológico Falcão Bauer possui caráter voluntário e visa demonstrar o desempenho ambiental de produtos e serviços através da avaliação do diferencial ecológico apresentado

Leia mais

O que significa a ABNT NBR ISO 9001 para quem compra?

O que significa a ABNT NBR ISO 9001 para quem compra? 1 O que significa a ABNT NBR ISO 9001 para quem compra? (ADAPTAÇÃO REALIZADA PELO ABNT/CB-25 AO DOCUMENTO ISO, CONSOLIDANDO COMENTÁRIOS DO INMETRO E DO GRUPO DE APERFEIÇOAMENTO DO PROCESSO DE CERTIFICAÇÃO)

Leia mais

PREÇOS DOS SERVIÇOS DE ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO E DE INSPEÇÃO

PREÇOS DOS SERVIÇOS DE ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO E DE INSPEÇÃO PREÇOS DOS SERVIÇOS DE ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO E DE INSPEÇÃO NORMA Nº: NIE-CGCRE-0 APROVADA EM MAR/20 Nº 01/09 SUMÁRIO 1 Objetivo 2 Campo de Aplicação 3 Responsabilidade 4 Histórico das

Leia mais

PROCEDIMENTO ESTRUTURA: 1-Objetivo: 2- Campo de Aplicação: 3- Documento de Referência: 4- Definições e Siglas: 5- Descrição do Procedimento:

PROCEDIMENTO ESTRUTURA: 1-Objetivo: 2- Campo de Aplicação: 3- Documento de Referência: 4- Definições e Siglas: 5- Descrição do Procedimento: Página 1 de 8 ESTRUTURA: 1-Objetivo: 2- Campo de Aplicação: 3- Documento de Referência: 4- Definições e Siglas: 5- Descrição do Procedimento: Data da Revisão Nº da Revisão Histórico das Alterações 20/08/2007

Leia mais

Todos nossos cursos são preparados por mestres e profissionais reconhecidos no mercado, com larga e comprovada experiência em suas áreas de atuação.

Todos nossos cursos são preparados por mestres e profissionais reconhecidos no mercado, com larga e comprovada experiência em suas áreas de atuação. Curso Formação Efetiva de Analístas de Processos Curso Gerenciamento da Qualidade Curso Como implantar um sistema de Gestão de Qualidade ISO 9001 Formação Profissional em Auditoria de Qualidade 24 horas

Leia mais

ORIENTAÇÕES PARA A SELEÇÃO E CONTRATAÇÃO DE SERVIÇOS DE CONSULTORIA, TREINAMENTO E CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE

ORIENTAÇÕES PARA A SELEÇÃO E CONTRATAÇÃO DE SERVIÇOS DE CONSULTORIA, TREINAMENTO E CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE 1 ORIENTAÇÕES PARA A SELEÇÃO E CONTRATAÇÃO DE SERVIÇOS DE CONSULTORIA, TREINAMENTO E CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE Elaborado por: GT Especial do ABNT/CB-25 Grupo de Aperfeiçoamento do

Leia mais

2. AMPLITUDE 2.1. Todas as atividades que fazem parte do escopo do SGI desenvolvidas na ABCZ.

2. AMPLITUDE 2.1. Todas as atividades que fazem parte do escopo do SGI desenvolvidas na ABCZ. 1. OBJETIVO Este procedimento estabelece as diretrizes para a realização de auditorias internas no SISTEMA DE GESTÃO INTEGRADO DA ABCZ (SGI) tendo por base todos os requisitos previstos no MANUAL DO SGI

Leia mais

NORMAS SÉRIE ISO 14000

NORMAS SÉRIE ISO 14000 NORMAS SÉRIE ISO 14000 O que é a ISO? Organização Internacional para Padronização História e Filosofia da ISO A ISO foi fundada em 1947, tem sede em Genebra (Suíça) e é uma federação mundial de organismos

Leia mais

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS

SISTEMA DA GESTÃO AMBIENTAL SGA MANUAL CESBE S.A. ENGENHARIA E EMPREENDIMENTOS CESBE S.A. ENGENHARIA E EMPREENDIMENTOS SISTEMA DA GESTÃO AMBIENTAL MANUAL Elaborado por Comitê de Gestão de Aprovado por Paulo Fernando G.Habitzreuter Código: MA..01 Pag.: 2/12 Sumário Pag. 1. Objetivo...

Leia mais

TEXTO: INTRODUÇÃO AO SISTEMA DE GESTÃO AMBIENTAL

TEXTO: INTRODUÇÃO AO SISTEMA DE GESTÃO AMBIENTAL FACENS / IAT Instituto de Aperfeiçoamento Tecnológico Curso de Pós-Graduação MBA Lato-Sensu em: Gestão, Auditoria e Perícia Ambiental Disciplina: Gerenciamento e Controle Ambiental Carga horária: 24h Prof.

Leia mais

Regimento Interno do Sistema

Regimento Interno do Sistema Identificação: R.01 Revisão: 05 Folha: 1 / 14 Artigo 1 - Objetivo do documento 1.1. Este documento tem como objetivo regulamentar as atividades para credenciamento de uma planta de produção com o SELO

Leia mais

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES

ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO EM ORGANIZAÇÕES V CONGRESSO BRASILEIRO DE METROLOGIA Metrologia para a competitividade em áreas estratégicas 9 a 13 de novembro de 2009. Salvador, Bahia Brasil. ANÁLISE DOS REQUISITOS NORMATIVOS PARA A GESTÃO DE MEDIÇÃO

Leia mais

PROCESSO DE CERTIFICAÇÃO Palavra chave: certificacao, auditoria, organizacao, extensao, manutenção

PROCESSO DE CERTIFICAÇÃO Palavra chave: certificacao, auditoria, organizacao, extensao, manutenção 1 de 16 1. OBJETIVO: Estabelecer a metodologia para a solicitação, extensão, manutenção e revalidação de certificados de conformidade. 2. APLICAÇÃO: Aplicável a todo processo de certificação, extensão

Leia mais

CONSULTA PÚBLICA. Art. 5º - Publicar esta Portaria de Consulta Pública no Diário Oficial da União, quando iniciará a sua vigência.

CONSULTA PÚBLICA. Art. 5º - Publicar esta Portaria de Consulta Pública no Diário Oficial da União, quando iniciará a sua vigência. MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR - MDIC INSTITUTO NACIONAL DE METROLOGIA, NORMALIZAÇÃO E QUALIDADE INDUSTRIAL - INMETRO Portaria n º 105, de 02 de junho de 2005 CONSULTA PÚBLICA

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E COMUNICAÇÃO SERVIÇO PÚBLICO FEDERAL MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

Leia mais

REGRA DE CERTIFICAÇÃO GERAL DE SISTEMAS DE GESTÃO

REGRA DE CERTIFICAÇÃO GERAL DE SISTEMAS DE GESTÃO Pagina 1 de 16 1. OBJETIVO O objetivo deste documento é apresentar a Regra de Certificação Geral utilizada pela A ENOR Serviços de Certificação Brasil Ltda., ( AENOR Brasil), para realizar a prestação

Leia mais

REGULAMENTO PARA CERTIFICAÇÃO PBQP-H SiAC

REGULAMENTO PARA CERTIFICAÇÃO PBQP-H SiAC 1 ICQ BRASIL OCS Organismo de Certificação de Sistema de Gestão da Qualidade, credenciado pelo INME- TRO para certificações de terceira parte. 2 OBJETIVO E CAMPO DE APLICAÇÃO Este regulamento fornece diretrizes

Leia mais

Surgimento da ISO 9000 Introdução ISO 9000 ISO 9001 serviços 1. ABNT NBR ISO 9000:2000 (já na versão 2005):

Surgimento da ISO 9000 Introdução ISO 9000 ISO 9001 serviços 1. ABNT NBR ISO 9000:2000 (já na versão 2005): Surgimento da ISO 9000 Com o final do conflito, em 1946 representantes de 25 países reuniram-se em Londres e decidiram criar uma nova organização internacional, com o objetivo de "facilitar a coordenação

Leia mais

Selo de Qualidade e Sustentabilidade para Lavanderias - SQS REFERENCIAL NORMATIVO REF.001

Selo de Qualidade e Sustentabilidade para Lavanderias - SQS REFERENCIAL NORMATIVO REF.001 Selo de Qualidade e Sustentabilidade para Lavanderias - SQS REFERENCIAL NORMATIVO REF.001 Versão Jul.2011 1. Introdução Este programa da Qualidade, Meio Ambiente e Segurança em Lavanderias SQS estabelece

Leia mais

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos

SEGURANÇA FÍSICA & LÓGICA DE REDES. Material Complementar de Estudos SEGURANÇA FÍSICA & LÓGICA DE REDES Material Complementar de Estudos O que é a Organização ISO A ISO - Internacional Organization for Stardardization - é maior organização para Desenvolvimento e publicação

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DO IFSUL 1 OBJETIVO A Política de Segurança da Informação do Instituto Federal Sul-rio-grandense estabelece as diretrizes para a segurança da informação, visando preservar

Leia mais

NORMA ISO 14004. Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio

NORMA ISO 14004. Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio NORMA ISO 14004 Sistemas de Gestão Ambiental, Diretrizes Gerais, Princípios, Sistema e Técnicas de Apoio São Paulo, 10 de Março de 2003 Índice 0 INTRODUÇÃO...4 0.1 ASPECTOS GERAIS...4 0.2 BENEFÍCIOS DE

Leia mais

A Resolução CFC n.º 1.329/11 alterou a sigla e a numeração desta Norma de NBC T 12 para NBC TI 01.

A Resolução CFC n.º 1.329/11 alterou a sigla e a numeração desta Norma de NBC T 12 para NBC TI 01. A Resolução CFC n.º 1.329/11 alterou a sigla e a numeração desta Norma de NBC T 12 para NBC TI 01. RESOLUÇÃO CFC Nº 986/03 Aprova a NBC TI 01 Da Auditoria Interna. O CONSELHO FEDERAL DE CONTABILIDADE,

Leia mais

I SIMPÓSIO INTERNACIONAL DE CIÊNCIAS INTEGRADAS DA UNAERP CAMPUS GUARUJÁ

I SIMPÓSIO INTERNACIONAL DE CIÊNCIAS INTEGRADAS DA UNAERP CAMPUS GUARUJÁ I SIMPÓSIO INTERNACIONAL DE CIÊNCIAS INTEGRADAS DA UNAERP CAMPUS GUARUJÁ A importância do conhecimento da legislação ambiental para auditores profissionais Marcello Guimarães Couto, Esp. Gerente da Divisão

Leia mais

MATC99 Segurança e Auditoria de Sistemas de Informação

MATC99 Segurança e Auditoria de Sistemas de Informação MATC99 Segurança e Auditoria de Sistemas de Informação Gestão de Segurança da Informação (Normas ISO 27001 e 27002) Italo Valcy Italo Valcy Seg e Auditoria de SI, 2013.1 Licença de

Leia mais

Procedimento Geral para Certificação de Sistema de Gestão da Qualidade

Procedimento Geral para Certificação de Sistema de Gestão da Qualidade Pág. 1 de 12 1. OBJETIVO O objetivo deste documento é o de estabelecer os critérios de certificação da ABRACE, para prestação de serviços de avaliação da conformidade e certificação de Sistemas de Gestão.

Leia mais

Qualidade de Software

Qualidade de Software Qualidade de Software Prof. Sam da Silva Devincenzi sam.devincenzi@gmail.com ISO International Organization for Standardization Organização não governamental que elabora normas internacionais, que visam

Leia mais

Por que sua organização deve implementar a ABR - Auditoria Baseada em Riscos

Por que sua organização deve implementar a ABR - Auditoria Baseada em Riscos Março de 2010 UM NOVO PARADIGMA PARA AS AUDITORIAS INTERNAS Por que sua organização deve implementar a ABR - Auditoria Baseada em Riscos por Francesco De Cicco 1 O foco do trabalho dos auditores internos

Leia mais

CHECK - LIST - ISO 9001:2000

CHECK - LIST - ISO 9001:2000 REQUISITOS ISO 9001: 2000 SIM NÃO 1.2 APLICAÇÃO A organização identificou as exclusões de itens da norma no seu manual da qualidade? As exclusões são relacionadas somente aos requisitos da sessão 7 da

Leia mais

CIRCULAR DE INFORMAÇÃO

CIRCULAR DE INFORMAÇÃO AGÊNCIA NACIONAL DE AVIAÇÃO CIVIL - BRASIL GERÊNCIA GERAL DE CERTIFICAÇÃO DE PRODUTOS AERONÁUTICOS CIRCULAR DE INFORMAÇÃO Assunto: CONTROLE DE FORNECEDOR PELO FABRICANTE AERONÁUTICO 1 - OBJETIVO Data:

Leia mais

ABNT NBR ISO 9001:2008

ABNT NBR ISO 9001:2008 ABNT NBR ISO 9001:2008 Introdução 0.1 Generalidades Convém que a adoção de um sistema de gestão da qualidade seja uma decisão estratégica de uma organização. O projeto e a implementação de um sistema de

Leia mais

Programas de Certificação Ambiental. Sistemas de gestão ambiental (SGA).

Programas de Certificação Ambiental. Sistemas de gestão ambiental (SGA). Programas de Certificação Ambiental. Sistemas de gestão ambiental (SGA). Programas de Certificação Ambiental HOJE EM DIA as empresas estão VIVNCIANDO um ambiente de incertezas e sofrem pressões constantes

Leia mais

5. É altamente recomendado que Rotaract Clubs mencionem após seu nome, patrocinado pelo Rotary Club de (nome).

5. É altamente recomendado que Rotaract Clubs mencionem após seu nome, patrocinado pelo Rotary Club de (nome). Declaração de Normas do Rotaract 1. O programa Rotaract foi desenvolvido e estabelecido pelo Rotary International. A autoridade pela elaboração e execução dos dispositivos estatutários, requisitos de organização,

Leia mais

Módulo 4: Gerenciamento dos Riscos, das Aquisições, das Partes Interessadas e da Integração

Módulo 4: Gerenciamento dos Riscos, das Aquisições, das Partes Interessadas e da Integração Diretoria de Desenvolvimento Gerencial Coordenação Geral de Educação a Distância Gerência de Projetos - Teoria e Prática Conteúdo para impressão Módulo 4: Gerenciamento dos Riscos, das Aquisições, das

Leia mais

REGRA DE CERTIFICAÇÃO PRODUTO. Elaborado por: Karen C. Martins Verificado por: Arnaldo Barbúlio

REGRA DE CERTIFICAÇÃO PRODUTO. Elaborado por: Karen C. Martins Verificado por: Arnaldo Barbúlio Doc:700-RC-001 Página: 1/11 Elaborado por: Karen C. Martins Verificado por: Arnaldo Barbúlio Aprovado por: Regina Toscano Data Aprovação: 09/12/2013 1 OBJETIVO Esta Regra de Certificação estabelece os

Leia mais

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE PBQP-H / SiAC

CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE PBQP-H / SiAC CRITÉRIOS ADICIONAIS PARA A ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO DE SISTEMAS DE GESTÃO DA QUALIDADE PBQP-H / SiAC NORMA Nº: NIT-DICOR-007 APROVADA EM FEV/2010 01/07 SUMÁRIO 1 1 Objetivo 2 Campo de

Leia mais

MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DE METROLOGIA, NORMALIZAÇÃO E QUALIDADE INDUSTRIAL-INMETRO

MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DE METROLOGIA, NORMALIZAÇÃO E QUALIDADE INDUSTRIAL-INMETRO Serviço Público Federal MINISTÉRIO DO DESENVOLVIMENTO, INDÚSTRIA E COMÉRCIO EXTERIOR INSTITUTO NACIONAL DE METROLOGIA, NORMALIZAÇÃO E QUALIDADE INDUSTRIAL-INMETRO Portaria n.º 159, de 29 de junho de 2006.

Leia mais

REQUISITOS PARA ACREDITAÇÃO

REQUISITOS PARA ACREDITAÇÃO ABNT NBR ISO/IEC 17025:2005 REQUISITOS PARA ACREDITAÇÃO OBJETIVO Demonstrar a documentação básica necessária para atender aos requisitos de acreditação para ensaios. ISO 9001 X ISO 17025 Abordagem Abrangência

Leia mais

Considerando a elaboração da norma brasileira ABNT NBR 16001 Responsabilidade Social Requisitos;

Considerando a elaboração da norma brasileira ABNT NBR 16001 Responsabilidade Social Requisitos; Ministério do Desenvolvimento, Indústria e Comércio Exterior MDIC Instituto Nacional de Metrologia, Normalização e Qualidade Industrial- Inmetro Portaria n.º 027, de 09 de fevereiro de 2006. O PRESIDENTE

Leia mais

1 - Objetivo...1. 2 - Concessão do Certificado do Sistema de Avaliação da Conformidade de Empresas de Serviços e Obras da Construção Civil SiAC...

1 - Objetivo...1. 2 - Concessão do Certificado do Sistema de Avaliação da Conformidade de Empresas de Serviços e Obras da Construção Civil SiAC... Documento analisado criticamente e aprovado quanto à sua adequação. Responsável: Carlos Henrique R. Figueiredo - Diretor de Certificação * Revisão do item 1 (referência à Portaria e Regulamentos obsoletos

Leia mais

SUMÁRIO 1. HISTÓRICO DE MUDANÇAS...2 2. ESCOPO...3 3. MANUTENÇÃO...3 4. REFERÊNCIAS NORMATIVAS...3 5. DEFINIÇÕES...3

SUMÁRIO 1. HISTÓRICO DE MUDANÇAS...2 2. ESCOPO...3 3. MANUTENÇÃO...3 4. REFERÊNCIAS NORMATIVAS...3 5. DEFINIÇÕES...3 Página 1 de 21 SUMÁRIO 1. HISTÓRICO DE MUDANÇAS...2 2. ESCOPO...3 3. MANUTENÇÃO...3 4. REFERÊNCIAS NORMATIVAS...3 5. DEFINIÇÕES...3 6. QUALIFICAÇÃO DA EQUIPE DE AUDITORES...4 7. CONDIÇÕES GERAIS...4 8.

Leia mais

Introdução. Escritório de projetos

Introdução. Escritório de projetos Introdução O Guia do Conhecimento em Gerenciamento de Projetos (Guia PMBOK ) é uma norma reconhecida para a profissão de gerenciamento de projetos. Um padrão é um documento formal que descreve normas,

Leia mais

CERTIFICAÇÃO DO SISTEMA DE GESTÃO DA QUALIDADE E/OU AMBIENTAL (ISO 9001 / 14001) Palavra chave: certificação, qualidade, meio ambiente, ISO, gestão

CERTIFICAÇÃO DO SISTEMA DE GESTÃO DA QUALIDADE E/OU AMBIENTAL (ISO 9001 / 14001) Palavra chave: certificação, qualidade, meio ambiente, ISO, gestão 1 de 8 1. OBJETIVO Estabelecer o processo para concessão, manutenção, extensão, suspensão e cancelamento de certificações de Sistema de Gestão da Qualidade, conforme a Norma NBR ISO 9001 e Sistema de Gestão

Leia mais

IECEx DOCUMENTO OPERACIONAL

IECEx DOCUMENTO OPERACIONAL IECEx OD 314-2 Edição 1.0 2013-07 IECEx DOCUMENTO OPERACIONAL Sistema de Certificação da IEC em relação às normas sobre atmosferas explosivas (Sistema IECEx) IEC System for Certification to Standards relating

Leia mais

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO

POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO Versão 1.0 neutronica.com.br 2016 Sumário PARTE I... 5 I. Introdução... 5 II. Melhores Práticas de Governança... 6 III. Melhores Práticas de Entrega de Serviços...

Leia mais

Manual de Implantação e Roteiro para Auditoria do Critérios para Auditoria SISTEMA DE GESTÃO DO PROGRAMA ATUAÇÃO RESPONSÁVEL

Manual de Implantação e Roteiro para Auditoria do Critérios para Auditoria SISTEMA DE GESTÃO DO PROGRAMA ATUAÇÃO RESPONSÁVEL Manual de Implantação e Roteiro para Auditoria do Critérios para Auditoria SISTEMA DE GESTÃO DO PROGRAMA ATUAÇÃO RESPONSÁVEL É proibida a reprodução total ou parcial deste documento por quaisquer meios

Leia mais

Como ter confiança em um Organismo de Inspeção? É necessária certificação ABNT NBR ISO 9001 ou acreditação ABNT NBR ISO/IEC 17020?

Como ter confiança em um Organismo de Inspeção? É necessária certificação ABNT NBR ISO 9001 ou acreditação ABNT NBR ISO/IEC 17020? É necessária certificação ABNT NBR ISO 9001 ou acreditação ABNT NBR ISO/IEC 17020? O que buscar quando há uma necessidade 3 Como ter confiança em um Organismo 4 Como a acreditação do organismo de inspeção

Leia mais

RSQM-DO-028-02-DECLARAÇÃO_DOCUMENTADA_PROCESSO_DE_CERTIFICAÇÃO

RSQM-DO-028-02-DECLARAÇÃO_DOCUMENTADA_PROCESSO_DE_CERTIFICAÇÃO PGMQ - TV O que é OCC? Organismos de Certificação Credenciado (Acreditado) pelo INMETRO Conduzem e concedem a certificação de conformidade, com base em normas nacionais, regionais, internacionais ou regulamentos

Leia mais

SGI SISTEMA DE GESTÃO INTEGRADO

SGI SISTEMA DE GESTÃO INTEGRADO SGI SISTEMA DE GESTÃO INTEGRADO Qual o significado de ISO? ISO International Organization for Standardization, é uma organização não governamental com sede em Genebra, na Suíça, que foi criada em 1946

Leia mais

POLÍTICA DO BANCO SOBRE A AUDITORIA DE PROJETOS E ENTIDADES. (Documento AF-100) Washington, DC. Consultas: (202) 623-1617 y 2235 dev-fmr@iadb.

POLÍTICA DO BANCO SOBRE A AUDITORIA DE PROJETOS E ENTIDADES. (Documento AF-100) Washington, DC. Consultas: (202) 623-1617 y 2235 dev-fmr@iadb. Banco Interamericano de Desenvolvimento POLÍTICA DO BANCO SOBRE A AUDITORIA DE PROJETOS E ENTIDADES (Documento AF-100) Washington, DC. Consultas: (202) 623-1617 y 2235 dev-fmr@iadb.org 1 Í N D I C E Página

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Introdução Termos e definições Ativo: Qualquer coisa que possua valor para organização; Controle: Forma

Leia mais