Roadmap para implementação e certificação ISO 27001/ ISO 20000-1/ISO 9001
robótica
66
Transponder Consultores Tel.: +351 229 535 638 geral@transponder.pt · www.transponder.pt
NOTA TÉCNICA
Porquê implementar?
As empresas são motivadas para a implementação e certificação por diferentes razões que podem ser tão simples quanto a exigência de um cliente ou tão complexas como a visão estratégica de médio/longo prazo para implementar melhorias internas na organização. Outro motivo para a empresa se certificar pode ser a diferenciação, em particular no caso das normas ISO 27001 e ISO 20000-1, mais recentes e com poucas empresas certificadas. No caso da norma ISO 9001, já com muitas empresas certificadas, a motivação pode ser a necessidade de não ficar atrás dos concorrentes já certificados. BENEFÍCIOS A implementação de um sistema de gestão faz com que gestores e colaboradores persigam objetivos organizacionais comuns dentro de um prazo pré-determinado, permite que um conjunto de boas práticas sejam implementadas e os mecanismos existentes sejam repensados e melhorados. O sistema implementado pode ser certificado, ou não, mas a certificação reforça a confiança externa e melhora a reputação da empresa porque se baseia em normas reconhecidas internacionalmente. Um sistema de gestão da qualidade implementado e certificado de acordo com a norma ISO 9001 está focado na satisfação de cliente e obriga à definição de processos. Esta formalização permite a definição de rotinas de controlo do produto ou serviço fornecidos, de planeamento das atividades e de monitorização do desempenho dos processos. Este esforço permitirá a melhoria das práticas, evitará erros e trará melhores resultados. Um sistema de gestão de segurança da informação implementado e certificado de acordo com a norma ISO 27001 está focado na preservação da confidencialidade, integridade e disponibilidade da informação. Para que a confidencialidade, a integridade e disponibilidade da informação sejam mantidas são aplicados controlos previstos na norma
ISO 27001, que mitigam os riscos de segurança da informação, de que é exemplo o plano de continuidade. Também os requisitos legais são considerados na implementação do sistema de gestão, auxiliando no objetivo de evitar incumprimentos e multas. Um sistema de gestão de serviços TI implementado e certificado de acordo com a norma ISO 20000-1 está focado em níveis de serviço e na satisfação do cliente. A ISO 20000-1 estabelece 12 processos baseados nas boas práticas do ITIL, que abrangem a conceção, transição e entrega do serviço. Estes processos permitem a operação eficaz dos serviços e o alinhamento dos prestadores de serviço ao longo da cadeia de fornecimento, com os níveis de serviço acordados com os clientes.
"A implementação de um sistema de gestão faz com que gestores e colaboradores persigam objetivos organizacionais comuns dentro de um prazo prédeterminado, permite que um conjunto de boas práticas sejam implementadas e os mecanismos existentes sejam repensados e melhorados."
CUSTOS Existem custos internos e externos: os internos correspondem ao tempo gasto pelos colaboradores na formalização dos processos e na implementação das novas práticas, e os custos externos estão relacionados com a contratação de serviços de consultoria e formação, para apoio na implementação do sistema de gestão e com a contratação de serviços de certificação a um organismo de certificação, acreditado para a ISO 9001, ISO 27001 e ISO 20000-1. Podem também existir custos de ferramentas ou equipamentos a adquirir que podem ser muito reduzidos ou avultados, dependendo de cada caso. Neste ponto deve ser pedida ajuda a um profissional experiente, contratando um consultor que não seja representante, distribuidor ou fabricante destes equipamentos ou aplicações que podem ser, por exemplo: t ISO 9001: Equipamentos de medição para controlo de qualidade; t ISO 27001: Aplicações de controlo de acessos e monitorização dos sistemas de TI; t ISO 20000-1: Ferramentas informáticas de IT Service Management.
PONTO DE PARTIDA No início da implementação deve ser feito um diagnóstico e um gap-analysis entre a norma e as boas práticas existentes. Esta análise deve ser o ponto de partida para a implementação de um sistema de gestão. Em regra, as empresas quando decidem avançar para a implementação de um sistema de gestão já possuem um conjunto de boas práticas que devem ser mantidas. Por exemplo no caso da ISO 9001 (qualidade) um diagnóstico efetuado por