Comparação das normas ISO 9001 e ISO 20000 1
Whoi am RESUME OF THE PRESENTER Coordenador de processos de Certificação na APCER Auditor ISO 9001 / ISO 27001 / ISO 20000 / SA 8000 Assessor Qweb e IQNET 9004 ISO 20000 Consultant e ITIL v3 Foundations Certificate. Formação superior em Engª Electrotécnica Pós-graduação em Gestão de Processos de Negócio Electrónico Com mais de 20 anos de experiência na área das TI s, na administração de sistemas, na coordenação de projectos de desenvolvimento de software, e na consultoria em tecnologias de informação e na segurança de informação, em varias organizações nos mais diversos sectores de actividade.
Agenda A ISO 9001:2008 e a ISO/IEC 20000-1:2005 Integração de Sistemas de Gestão ISO (PAS 99) Objectivos das Normas Comparação dos Requisitos Pontos comuns e principais diferenças Documentação obrigatória Metodologias de auditoria Sumário Perguntas
A ISO 9001:2008 e a ISO/IEC 20000-1:2005 4
Integração de Sistemas de Gestão ISO (PAS 99) 5
Filosofia ISO Diz o que fazes Faz o que dizes Mostra que fazes como dizes e MELHORA!
Ciclo de Gestão P.D.C.A. Agir Planear Act Plan Check Do Verificar Realizar
Ciclo de Gestão P.D.C.A. Política Análise Crítica pela Gestão de Topo Revisão do Sistema Requisitos Cliente e Riscos Requisitos Legais e Outros Objectivos e Metas Programa(s) de Gestão Act Plan Gestão de Topo Auditoria(s) Registos Não conformidade, acção correctiva e preventiva Monitorização e Medição Check Do Estrutura e Responsabilidade Formação, Consciencialização e Competência Comunicação, Documentação e Controlo Documental Controlo Operacional Planeamento e Gestão de Emergências
Sistemas de Gestão Integrados
Sistemas de Gestão Integrados - PAS 99 A PAS 99 fornece um modelo simples para as organizações integrarem numa única estrutura todas as normas e especificações de sistemas de gestão que adoptam. O principal objectivo da PAS 99 é simplificar a implementação de múltiplos sistemas e sua respectiva avaliação de conformidade. As organizações que a utilizarem deverão incluir como entrada do sistema integrado os requisitos específicos das normas que adoptam, tais como, por exemplo, os requisitos específicos da ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000 e OHSAS 18001. PAS significa PubliclyAvailableSpecification(Especificação Disponível Publicamente).
Sistemas de Gestão Integrados - PAS 99 O modelo utilizado para a estrutura da PAS 99 está intimamente relacionado aos elementos comuns propostos no ISO Guide 72:2001, que é um guia para o desenvolvimento de normas. O Guia 72 inclui uma estrutura que foi desenvolvida como um modelo que possibilite a elaboração de normas de forma a contemplar os diversos elementos principais, de maneira consistente. Os especialistas que desenvolveram a PAS 99 consideram que essa estrutura é a mais adequada para a criação de uma nova especificação, uma vez que permite que toda e qualquer norma de sistema de gestão seja contemplada, possibilitando e gestão eficaz e eficiente dos requisitos comuns dos sistemas de gestão. No ISO Guide 72, está categorizado nos seguintes temas: Política Planeamento Implementação e operação Avaliação de desempenho Melhoria RevisãopelaGestãodeTopo.
Objectivos das Normas 12
Objectivos das Normas ISO 9001 Conformidade do produto/serviço Satisfação do Cliente Melhoria Contínua ISO/IEC 20000 Cumprimento dos níveis de serviços acordados Melhoria Contínua
Comparação dos Requisitos 14
Comparação de Requisitos ISO 9001:2008 ISO/IEC 20000-1:2005 4. Quality Management System 4.1 General requirements 4. Planning and implementing 4.2 Documentation requirements 3.2 Documentation requirements 4.2.1 General 4.2.2 Quality manual 4.2.3 Control of documents 3.2 Documentation requirements 5. Management Responsibility 4.2.4 Control of records 3.2 Documentation requirements 5.1 Management commitment 3.1 Management responsibility 5.2 Customer focus 3.1 Management responsibility 5.3 Quality policy 5.4 Planning 4.1 Plan service management 5.5 Responsability, authority and communication 5.6 Management review 3.1 Management responsibility
Comparação de Requisitos (continuação) ISO 9001:2008 ISO/IEC 20000-1:2005 6. Resource Management 7. Product Realization 7.1 Planning of product realization 6.1 Provision of resources 4.2 Implementation of service management/ 6.5 Capacity management 6.2 Human resource management 4.2 Implementation of service management 6.5 Capacity management 6.2.2 Competence, training& 3.3 Competence, awareness and awareness training 6.3 Infrastructure 4.2 Implementation of service management 6.4 Work environment 4.2 Implementation of service management 6.1 Service level management (service rather than product) 7.2 Customer-related processes 7 Relationship process 7.3 Design anddevelopment 5 Planning and implementing new or changed services 7.4 Purchasing 7.3 Supplier management
Comparação de Requisitos (continuação) ISO 9001:2008 ISO/IEC 20000-1:2005 7. Product Realization (continuation) 7.5 Production and service provision 7.5.1 Control of production and service provision 7.5.2 Validation of processes for production and service provision 7.5.3 Identification and traceability (Note: Configuration management in some industry sectors) 7.5.4 Customer property 4.2 Implement service management and provide the services ISO 20000 all requirements and processes 4.3 Monitoring, measuring and reviewing 9.1 Configuration management 9.2 Change management 10.1 Release management 7.5.5 Preservation of product (includesidentification, handling, packaging, storage & protection - includes constituent parts) 7.6 Control of monitoring and measuring equipment 9.1 Configuration management 9.2 Change management 10.1 Release management
Comparação de Requisitos (continuação) ISO 9001:2008 ISO/IEC 20000-1:2005 8. Measurement, Analysis& Improvement 8.1 General 4.3 Monitoring, measuring and reviewing 6.1 Service level management 8.2 Monitoring & measurement 4.3 Monitoring, measuring and reviewing 8.2.1 Customer satisfaction 7.1 Business relationship processes 8.2.2 Internal audit 4.3 Monitoring, measuring and reviewing 8.2.3 Monitoring & measurement of processes 8.2.4 Monitoring & measurement of product 8.3 Control of non-conforming product 6.2 Service reporting and all process sections 6.1 Service level management (for service) 8.2 Incident management 8.3 Problem management 8.4 Analysisofdata 4.3 Monitoring, measuring and reviewing 8.5 Improvement 6.2 Service reporting 4.4 Continual improvement
Comparação de Requisitos (continuação) ISO 9001:2008 ISO/IEC 20000-1:2005 8. Measurement, Analysis& Improvement (continuation) 8.5.1 Continualimprovement 4.4 Continual improvement 8.5.2 Corrective action 8 Resolution Process 8.5 3 Preventative action 8.3 Problem Management
Pontos comuns e principais diferenças 20
Pontos Comuns Sistema de gestão baseado no PDCA Politica Revisão periódica do Sistema Auditorias Internas Melhoria Continua Monitorização do Desempenho dos Processos
Diferenças Rede de Processos Enfoque Metodologia de Abordagem Documentação Obrigatória
Documentação obrigatória 23
Documentos 2.13 Service Level Agreement(SLA) Contratos escritos com Clientes em que estejam descritos os serviços e níveis de serviço acordados com os Clientes/ 4.1 Plan Service Mgmt: Documentar responsabilidades para rever, autorizar, comunicar, implementar e manter os planos de gestão do serviço 4.2 Implement Service Management and Provide the Services: Documentar e manter politicas, planos, procedimentos e descrições para cada processo ou conjunto de processos 4.4 Continual Improvement: Processo implementado para identificar, medir, reportar e gerira as actividades de melhoria forma contínua 6.1 Service Level Mgmt: Cada serviço disponibilizado aos Clientes devem estar definidos, acordados e documentados em um ou mais níveis de serviço (SLAs) 6.6 Info Security Mgmt: Os controlos de Segurança tem que estar documentados. Esta documentação deve descrever os riscos a que os controlos estão associados, e a forma de operar e manter estes controlos
Documentos (continuação) 7.1 Business Relationship Mgmt: O fornecedor de serviço deve identificar e documentar os Clientes e outras partes interessadas nos seus serviços 7.2 Supplier Mgmt: O fornecedor de serviço deve documentar o seu processo de gestão de fornecedores no âmbito desta norma, e deve ter nomeado um gestor de relação para cada fornecedor. Os requisitos, âmbito, níveis de serviço e processos de comunicação a serem providenciados pelo fornecedor(es) devem estar documentados em SLAs outros documentos acordados entre as partes. As ligações entre os processos de cada uma das partes devem estar documentados e acordados. 8.1 Incident Mgmt: Devem existir procedimentos definidos para registo, priorização, análise de impactos no negócio, classificação, actualização, escalamento, resolução e fecho formal para todos os incidentes 8.2 Problem Mgmt: Devem existir procedimentos para identificar, minimizar ou mitigar o impacto dos incidentes e problemas. Devem definir a forma de registo, classificação, actualização, escalamento, resolução e fecho de todos os problemas.
Documentos (continuação) 9.1 Configuration Mgmt: Deve existir uma política onde está definida a gestão da base de dados (CMBD) dos elementos da configuração e dos seus componentes. Devem existir procedimentos de auditoria que verifique periodicamente falhas de registo nesta base de dados, e respectivas acções correctivas com o respectivo reporte dos resultados. 9.2 Change Mgmt: As alterações aos serviços e infra-estruturas devem ter um âmbito bem definido e documentado. 10.1 Release Mgmt: A política de entrega do serviço deve declarar qual a frequência e o tipo de entregas que devem ser documentadas e acordadas com os Clientes.
Registos 3.2 Documentation Requirements: O fornecedor de serviço deve evidenciar registos que assegure um efectivo planeamento, operação e controlo da sua gestão de serviços. 7.1 Business Relationship Mgmt:Devem ser documentadas as reuniões entre o fornecedor de serviço e os Clientes. 4.3 Monitoring, Measuring and Reviewing: Devem ser registados os objectivos da revisão do sistema, das auditorias, bem como as constatações e respectivas acções desencadeadas. 4.4 Continual Improvements: Todas as melhorias devem ser verificadas, registadas, priorizadas e autorizadas. 6.1 Service Level Mgmt: Devem ser definidos, acordados, registados e geridos todos os níveis de serviço. Devem existir registos para todos os serviços, dos níveis de serviço e características de volumes de carga acordados entre as partes envolvidas.
Registos (continuação) 6.3 Availability and Service Continuity Management: A disponibilidade deve ser medida e registada. Todos os testes de continuidade devem ser registados e as para falhas detectadas devem ser evidenciados planos de acção. 6.6 Info Security Mgmt: Todos os incidentes de segurança devem ser reportados e registados de acordo com o procedimento de gestão de incidentes. 7.1 Business Relationship Mgmt: Todas as reclamações relacionadas com os serviços devem ser registadas, investigadas, tomadas acções em conformidade, reportadas e formalmente encerradas. Devem existir um processo de avaliação de satisfação do Cliente. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço. 7.2 Supplier Mgmt: O desempenho em relação aos objectivos dos níveis de serviço deve ser monitorizado e avaliado. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço. 8.1 Incident Mgmt: Todos os incidentes devem ser registados.
Registos (continuação) 8.2 Problem Mgmt: Todos os problemas devem ser registados. A gestão de problemas é responsável por garantir a actualização da informação relativa aos erros conhecidos e problemas resolvidos, e que está disponível para a gestão de incidentes. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço. 9.1 Config Mgmt: Deve existir uma política de gestão da configuração. A informação a ser registada para cada elemento da base de dados deve estar definida e deve incluir as relações e documentação necessária para uma gestão eficaz do serviço. Todos os elementos da configuração devem ser identificados univocamente e registados na CMDB, cuja actualização deve ser controlada de forma muito restrita. 9.2 Change Mgmt: Todos os pedidos de alteração devem ser registados e classificados (ex: urgente, maior, menor,etc.) Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço. 10.1 Release Mgmt: Os planos devem registar as datas e objectos de entrega, e ter referências relacionadas com pedidos de alteração, erros conhecidos e problemas. Estas últimas devem ser comunicadas á gestão de incidentes.
Metodologias de auditoria 30
PROCESSO DE CERTIFICAÇÃO Candidatura / Pedido de Certificação Instrução de processo Visita prévia (opcional) Auditoria de Concessão (realizada em duas fases: 1ª e 2ª fase) Plano de Acções Correctivas Decisão de Certificação Manutenção da Certificação Auditoria de acompanhamento (anual) Auditoria de renovação (findo os três anos de validade do certificado)
PEDIDO DE CERTIFICAÇÃO Documentação do SGSTI requerida: Política de gestão dos serviços de Tecnologias de Informação Os objectivos e requisitos que a Organização pretende atingir Descrição dos processos identificados pela Organização e a sua interacção Procedimento para o tratamento de reclamações Contratos (service level agreement(sla s))
QUESTIONÁRIO DE CANDIDATURA Âmbito de certificação Identificação das actividades que sejam subcontratadas, incluídas no respectivo âmbito de certificação, e quais os fornecedores desses serviços adquiridos. Identificação dos clientes da organização, por cada serviço disponibilizado e incluído no âmbito de certificação. Identificação das aplicações informáticas que suportam o sistema.
INSTRUÇÃO DO PROCESSO A definição do âmbito de certificação pode ser complexa Na definição do âmbito, duas questões se colocam: O fornecedor de serviço(service provider) TI é elegível à certificação de acordo com a ISO/IEC 20000-1? Se o fornecedor de serviços é elegível, qual o âmbito dos processos a serem auditados? Os sistemas a auditar devem já estar implementados à pelo menos 3 meses antes da auditoria de concessão de forma a fornecer evidências
DURAÇÃO DAS AUDITORIAS Para a definição da duração deve ser considerado o número de colaboradores afectos às TI s, ou seja, os indivíduos cujas actividades de trabalho sustentam ou suportam todos os processos, actividades, instalações ou locais incluídos no âmbito de certificação, necessários à disponibilização do serviço de TI s. Tal significa que os trabalhadores subcontratados a outras empresas devem ser incluídos no número utilizado para a definição da duração da auditoria quando se incluam no definido anteriormente.
DURAÇÃO DAS AUDITORIAS Número colaboradores afectos às TI de Duração da Auditoria de Concessão (dia/auditor) Duração do Acompanhamento (dia/auditor) 1-25 3 1 26-45 4 1 ou 2 46-65 5 2 66-85 6 2 86-125 7 2 ou 3 126-175 8 3 176-275 9 3 276-425 10 3 ou 4
DURAÇÃO DAS AUDITORIAS As durações para as auditorias de acompanhamento e renovações são estabelecidas do seguinte modo: Auditorias de acompanhamento: o tempo de auditoria necessário para cada auditoria é no mínimo 33% do tempo previsto para a auditoria de concessão (duração total); Auditorias de renovação: no mínimo 66% da duração da auditoria de concessão(duração total). As auditorias de seguimento são dimensionadas caso a caso em função do número de constatações cujo encerramento será verificado.
AUDITORIA DE CONCESSÃO A auditoria de concessão deve ser realizada em duas fases(1ª e 2ª fase), devendo a duração da auditoria ser repartida pelas duas fases de acordo com as seguintes instruções: Aauditoriade1ªfasenãodeveexceder30%daduraçãototal; Podem ser consideradas outras distribuições, no entanto, a duração da 2ªfasedevesermaiorouigualàda1ªfase.
METODOLOGIAS DE AUDITORIA As metodologias para a realização de auditorias de acordo com o referencial ISO/IEC 20000-1 seguem o preconizado pela ISO 19011 e os critérios de auditoria da APCER
ENVIO DO PAC A Organização elabora, em resposta ao Relatório de Auditoria, um plano de acções correctivas, a ser remetido à APCER no prazo de 30 dias após a conclusão da auditoria, identificando para cada Não Conformidade (NC) ou Não Conformidade Maior (NCM) a análise de causas, a correcção e a acção correctiva realizada ou planeada, o prazo definido e o responsável pela mesma. Quando no Relatório de Auditoria é solicitado o esclarecimento de uma área sensível (AS), a Organização deve igualmente apresentar a análise de causas, a correcção e a acção correctiva realizada ou planeada, o prazo definido e o responsável pela mesma.
DECISÃO DE CERTIFICAÇÃO CONCESSÕES As acções correctivas às NC e NCM devem ser implementadas pela Organização no prazo de 6 meses, a contar do último dia da auditoria. Em situações excepcionais, a Organização pode propor outro prazo, apresentando a justificação à APCER, a quem compete a análise e a decisão sobre a sua aceitação. A Organização deve remeter à APCER as evidências da implementação das correcções e acções correctivas das NCM.
MANUTENÇÃO ACOMPANHAMENTOSprazo de implementação das acções correctivas a eventuais NC ou NCM é de quatro meses a contar do último dia da auditoria.
Sumário 43
Existem vantagens em já ter um sistema baseado na ISO 9001 Poderão existir ganhos efectivos na melhoria da prestação dos serviços Para novas organizações a adopção do modelo de processos da ISO/IEC 20000, poderá ajudar a estruturar melhor o sistema de gestão da qualidade
Questões?! 45