Comparação das normas ISO 9001 e ISO 20000

1

Comparação das normas

ISO 9001 e ISO 20000

Who i am …

RESUME OF THE PRESENTER

Coordenador de processos de Certificação na APCER Auditor ISO 9001 / ISO 27001 / ISO 20000 / SA 8000 Assessor Qweb e IQNET 9004

ISO 20000 Consultant e ITIL v3 Foundations Certificate.

Formação superior em Engª Electrotécnica

Pós-graduação em Gestão de Processos de Negócio Electrónico

Com mais de 20 anos de experiência na área das TI’s, na administração de sistemas, na Com mais de 20 anos de experiência na área das TI’s, na administração de sistemas, na coordenação de projectos de desenvolvimento de software, e na consultoria em tecnologias de informação e na segurança de informação, em varias organizações nos mais diversos sectores de actividade.

Agenda

q A ISO 9001:2008 e a ISO/IEC 20000-1:2005

q Integração de Sistemas de Gestão ISO (PAS 99) q Objectivos das Normas

q Comparação dos Requisitos q Comparação dos Requisitos

q Pontos comuns e principais diferenças q Documentação obrigatória

q Metodologias de auditoria q Sumário

q Perguntas

4

A ISO 9001:2008 e a

ISO/IEC 20000-1:2005

5

Integração de Sistemas de Gestão ISO

(PAS 99)

Filosofia ISO

• Diz o que fazes

• Faz o que dizes

• Mostra que fazes como dizes

• Mostra que fazes como dizes

• e MELHORA!

• Planear

• Agir

Act Plan

Ciclo de Gestão – P.D.C.A.

• Realizar

• Verificar

Do

Check

•Requisitos Cliente e Riscos

•Requisitos Legais e Outros

•Objectivos e Metas

•Programa(s) de Gestão

• Análise Crítica pela Gestão de Topo

•Revisão do Sistema

Act Plan

Gestão

Política

Ciclo de Gestão – P.D.C.A.

•Estrutura e Responsabilidade

•Formação, Consciencialização e Competência

•Comunicação, Documentação e Controlo Documental

•Controlo Operacional

•Planeamento e Gestão de Emergências

•Auditoria(s)

•Registos

•Não conformidade, acção correctiva e preventiva

•Monitorização e Medição

Check Do

Gestão de Topo

Sistemas de Gestão Integrados

A PAS 99 fornece um modelo simples para as organizações integrarem numa única estrutura todas as normas e especificações de sistemas de gestão que adoptam. O principal objectivo da PAS 99 é simplificar a implementação de múltiplos sistemas e sua respectiva avaliação de conformidade. As organizações que a utilizarem deverão incluir como entrada do sistema integrado os requisitos específicos das normas que adoptam, tais como, por exemplo, os requisitos específicos da ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000 e OHSAS 18001.

Sistemas de Gestão Integrados - PAS 99

PAS significa Publicly Available Specification(Especificação Disponível Publicamente).

O modelo utilizado para a estrutura da PAS 99 está intimamente relacionado aos elementos comuns propostos no ISO Guide 72:2001, que é um guia para o desenvolvimento de normas. O Guia 72 inclui uma estrutura que foi desenvolvida como um modelo que possibilite a elaboração de normas de forma a contemplar os diversos elementos principais, de maneira consistente.

Os especialistas que desenvolveram a PAS 99 consideram que essa estrutura é a mais adequada para a criação de uma nova especificação, uma vez que permite que toda e qualquer norma de sistema de gestão seja contemplada, possibilitando e gestão eficaz e eficiente dos requisitos comuns dos sistemas de gestão.

Sistemas de Gestão Integrados - PAS 99

No ISO Guide 72, está categorizado nos seguintes temas:

• Política

• Planeamento

• Implementação e operação

• Avaliação de desempenho

• Melhoria

• Revisão pela Gestão de Topo.

12

Objectivos das Normas

• Conformidade do produto/serviço

• Satisfação do Cliente

• Melhoria Contínua

ISO 9001

Objectivos das Normas

• Cumprimento dos níveis de serviços acordados

• Melhoria Contínua

ISO/IEC

20000

14

Comparação dos Requisitos

ISO 9001:2008 ISO/IEC 20000-1:2005 4. Quality Management

System

4.1 General requirements 4. Planning and implementing 4.2 Documentation requirements 3.2 Documentation requirements 4.2.1 General

4.2.2 Quality manual

4.2.3 Control of documents 3.2 Documentation requirements

Comparação de Requisitos

4.2.3 Control of documents 3.2 Documentation requirements 4.2.4 Control of records 3.2 Documentation requirements

5. Management Responsibility

5.1 Management commitment 3.1 Management responsibility 5.2 Customer focus 3.1 Management responsibility 5.3 Quality policy

5.4 Planning 4.1 Plan service management

5.5 Responsability, authority and communication

5.6 Management review 3.1 Management responsibility

ISO 9001:2008 ISO/IEC 20000-1:2005 6. Resource

Management

6.1 Provision of resources 4.2 Implementation of service management /

6.5 Capacity management 6.2 Human resource management 4.2 Implementation of service

management

6.5 Capacity management

6.2.2 Competence, training & 3.3 Competence, awareness and

Comparação de Requisitos (continuação)

6.2.2 Competence, training &

awareness

3.3 Competence, awareness and training

6.3 Infrastructure 4.2 Implementation of service management

6.4 Work environment 4.2 Implementation of service management

7. Product Realization 7.1 Planning of product realization

6.1 Service level management (service rather than product) 7.2 Customer-related processes 7 Relationship process

7.3 Design and development 5 Planning and implementing new or changed services

7.4 Purchasing 7.3 Supplier management

ISO 9001:2008 ISO/IEC 20000-1:2005 7. Product Realization

(continuation)

7.5 Production and service provision

4.2 Implement service

management and provide the services

7.5.1 Control of production and service provision

ISO 20000 – all requirements and processes

7.5.2 Validation of processes for production and service provision

4.3 Monitoring, measuring and reviewing

Comparação de Requisitos (continuação)

production and service provision reviewing 7.5.3 Identification and

traceability (Note: Configuration management in some industry sectors)

9.1 Configuration management 9.2 Change management

10.1 Release management 7.5.4 Customer property

7.5.5 Preservation of product (includes identification, handling, packaging, storage & protection - includes constituent parts)

9.1 Configuration management 9.2 Change management

10.1 Release management 7.6 Control of monitoring and

measuring equipment

ISO 9001:2008 ISO/IEC 20000-1:2005 8. Measurement,

Analysis & Improvement

8.1 General 4.3 Monitoring, measuring and

reviewing

6.1 Service level management 8.2 Monitoring & measurement 4.3 Monitoring, measuring and

reviewing

8.2.1 Customer satisfaction 7.1 Business relationship processes

Comparação de Requisitos (continuação)

processes

8.2.2 Internal audit 4.3 Monitoring, measuring and reviewing

8.2.3 Monitoring & measurement of processes

6.2 Service reporting and all process sections

8.2.4 Monitoring & measurement of product

6.1 Service level management (for service)

8.3 Control of non-conforming product

8.2 Incident management 8.3 Problem management 8.4 Analysis of data 4.3 Monitoring, measuring and

reviewing

8.5 Improvement 6.2 Service reporting

4.4 Continual improvement

ISO 9001:2008 ISO/IEC 20000-1:2005 8. Measurement,

Analysis & Improvement (continuation)

8.5.1 Continual improvement 4.4 Continual improvement 8.5.2 Corrective action 8 Resolution Process

8.5 3 Preventative action 8.3 Problem Management

Comparação de Requisitos (continuação)

20

Pontos comuns e principais

diferenças

Pontos Comuns

Sistema de gestão baseado no PDCA

Politica

Revisão periódica do Sistema

Auditorias Internas

Melhoria Continua

Monitorização do Desempenho dos Processos

Diferenças

Rede de Processos

Enfoque

Metodologia de Abordagem

Documentação Obrigatória

23

Documentação obrigatória

2.13 Service Level Agreement (SLA) – Contratos escritos com Clientes em que estejam descritos os serviços e níveis de serviço acordados com os Clientes/

4.1 Plan Service Mgmt: Documentar responsabilidades para rever, autorizar, comunicar, implementar e manter os planos de gestão do serviço

4.2 Implement Service Management and Provide the Services: Documentar e manter politicas, planos, procedimentos e descrições para cada processo ou conjunto de processos

Documentos

conjunto de processos

4.4 Continual Improvement: Processo implementado para identificar, medir, reportar e gerira as actividades de melhoria forma contínua

6.1 Service Level Mgmt: Cada serviço disponibilizado aos Clientes devem estar definidos, acordados e documentados em um ou mais níveis de serviço (SLAs) 6.6 Info Security Mgmt: Os controlos de Segurança tem que estar documentados.

Esta documentação deve descrever os riscos a que os controlos estão associados, e a forma de operar e manter estes controlos

7.1 Business Relationship Mgmt: O fornecedor de serviço deve identificar e documentar os Clientes e outras partes interessadas nos seus serviços

7.2 Supplier Mgmt: O fornecedor de serviço deve documentar o seu processo de gestão de fornecedores no âmbito desta norma, e deve ter nomeado um gestor de relação para cada fornecedor.

Os requisitos, âmbito, níveis de serviço e processos de comunicação a serem providenciados pelo fornecedor(es) devem estar documentados em SLAs

Documentos (continuação)

providenciados pelo fornecedor(es) devem estar documentados em SLAs outros documentos acordados entre as partes.

As ligações entre os processos de cada uma das partes devem estar documentados e acordados.

8.1 Incident Mgmt: Devem existir procedimentos definidos para registo, priorização, análise de impactos no negócio, classificação, actualização, escalamento, resolução e fecho formal para todos os incidentes

8.2 Problem Mgmt: Devem existir procedimentos para identificar, minimizar ou mitigar o impacto dos incidentes e problemas. Devem definir a forma de

registo, classificação, actualização, escalamento, resolução e fecho de todos os problemas.

9.1 Configuration Mgmt: Deve existir uma política onde está definida a gestão da base de dados (CMBD) dos elementos da configuração e dos seus componentes.

Devem existir procedimentos de auditoria que verifique periodicamente falhas de registo nesta base de dados, e respectivas acções correctivas com o respectivo reporte dos resultados.

9.2 Change Mgmt: As alterações aos serviços e infra-estruturas devem ter um âmbito bem definido e documentado.

10.1 Release Mgmt: A política de entrega do serviço deve declarar qual a

Documentos (continuação)

10.1 Release Mgmt: A política de entrega do serviço deve declarar qual a

frequência e o tipo de entregas que devem ser documentadas e acordadas com os Clientes.

3.2 Documentation Requirements: O fornecedor de serviço deve evidenciar registos que assegure um efectivo planeamento, operação e controlo da sua gestão de serviços.

7.1 Business Relationship Mgmt: Devem ser documentadas as reuniões entre o fornecedor de serviço e os Clientes.

4.3 Monitoring, Measuring and Reviewing: Devem ser registados os objectivos da revisão do sistema, das auditorias, bem como as constatações e respectivas

Registos

da revisão do sistema, das auditorias, bem como as constatações e respectivas acções desencadeadas.

4.4 Continual Improvements: Todas as melhorias devem ser verificadas, registadas, priorizadas e autorizadas.

6.1 Service Level Mgmt: Devem ser definidos, acordados, registados e geridos todos os níveis de serviço.

Devem existir registos para todos os serviços, dos níveis de serviço e

características de volumes de carga acordados entre as partes envolvidas.

6.3 Availability and Service Continuity Management: A disponibilidade deve ser medida e registada. Todos os testes de continuidade devem ser registados e as para falhas detectadas devem ser evidenciados planos de acção.

6.6 Info Security Mgmt: Todos os incidentes de segurança devem ser reportados e registados de acordo com o procedimento de gestão de incidentes.

7.1 Business Relationship Mgmt: Todas as reclamações relacionadas com os serviços devem ser registadas, investigadas, tomadas acções em conformidade,

Registos (continuação)

serviços devem ser registadas, investigadas, tomadas acções em conformidade, reportadas e formalmente encerradas.

Devem existir um processo de avaliação de satisfação do Cliente. Acções de

melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.

7.2 Supplier Mgmt: O desempenho em relação aos objectivos dos níveis de serviço deve ser monitorizado e avaliado. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.

8.1 Incident Mgmt: Todos os incidentes devem ser registados.

8.2 Problem Mgmt: Todos os problemas devem ser registados.

A gestão de problemas é responsável por garantir a actualização da informação relativa aos erros conhecidos e problemas resolvidos, e que está disponível para a gestão de incidentes. Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.

9.1 Config Mgmt: Deve existir uma política de gestão da configuração. A informação a ser registada para cada elemento da base de dados deve estar definida e deve incluir as relações e documentação necessária para uma gestão

Registos (continuação)

definida e deve incluir as relações e documentação necessária para uma gestão eficaz do serviço.

Todos os elementos da configuração devem ser identificados univocamente e registados na CMDB, cuja actualização deve ser controlada de forma muito restrita.

9.2 Change Mgmt: Todos os pedidos de alteração devem ser registados e classificados (ex: urgente, maior, menor ,etc.)

Acções de melhoria que decorram deste processo devem ser registadas e ser entradas para o plano de melhoria do serviço.

10.1 Release Mgmt: Os planos devem registar as datas e objectos de entrega, e ter referências relacionadas com pedidos de alteração, erros conhecidos e

problemas. Estas últimas devem ser comunicadas á gestão de incidentes.

30

Metodologias de auditoria

PROCESSO DE CERTIFICAÇÃO

• Candidatura / Pedido de Certificação

• Instrução de processo

• Visita prévia (opcional)

• Auditoria de Concessão (realizada em duas fases: 1ª e 2ª fase)

• Auditoria de Concessão (realizada em duas fases: 1ª e 2ª fase)

• Plano de Acções Correctivas

• Decisão de Certificação

• Manutenção da Certificação

• Auditoria de acompanhamento (anual)

• Auditoria de renovação (findo os três anos de validade do

certificado)

q Documentação do SGSTI requerida:

• Política de gestão dos serviços de Tecnologias de Informação

• Os objectivos e requisitos que a Organização pretende atingir

PEDIDO DE CERTIFICAÇÃO

• Os objectivos e requisitos que a Organização pretende atingir

• Descrição dos processos identificados pela Organização e a sua interacção

• Procedimento para o tratamento de reclamações

• Contratos (service level agreement (SLA’s))

QUESTIONÁRIO DE CANDIDATURA

• Âmbito de certificação

• Identificação das actividades que sejam subcontratadas, incluídas no respectivo âmbito de certificação, e quais os fornecedores desses serviços adquiridos.

fornecedores desses serviços adquiridos.

• Identificação dos clientes da organização, por cada serviço disponibilizado e incluído no âmbito de certificação.

• Identificação das aplicações informáticas que suportam o

sistema.

• A definição do âmbito de certificação pode ser complexa

• Na definição do âmbito, duas questões se colocam:

INSTRUÇÃO DO PROCESSO

– O fornecedor de serviço (service provider) TI é elegível à certificação de acordo com a ISO/IEC 20000-1?

– Se o fornecedor de serviços é elegível, qual o âmbito dos processos a serem auditados?

• Os sistemas a auditar devem já estar implementados à pelo menos 3

meses antes da auditoria de concessão de forma a fornecer evidências

• Para a definição da duração deve ser considerado o número número de

de colaboradores colaboradores afectos afectos às às TI’s TI’s, ou seja, os indivíduos cujas actividades de trabalho sustentam ou suportam todos os processos, actividades, instalações ou locais incluídos no

DURAÇÃO DAS AUDITORIAS

processos, actividades, instalações ou locais incluídos no âmbito de certificação, necessários à disponibilização do serviço de TI’s.

• Tal significa que os trabalhadores subcontratados a outras

empresas devem ser incluídos no número utilizado para a

definição da duração da auditoria quando se incluam no

definido anteriormente.

Número de colaboradores

afectos às TI

Duração da Auditoria de Concessão

(dia/auditor)

Duração do Acompanhamento

(dia/auditor)

1-25 3 1

26-45 4 1 ou 2

46-65 5 2

66-85 6 2

DURAÇÃO DAS AUDITORIAS

66-85 6 2

86-125 7 2 ou 3

126-175 8 3

176-275 9 3

276-425 10 3 ou 4

• As durações para as auditorias de acompanhamento e renovações são estabelecidas do seguinte modo:

–

– AuditoriasAuditorias dede acompanhamentoacompanhamento:: o tempo de auditoria necessário para cada auditoria é no mínimo 33% do tempo previsto para a auditoria de concessão (duração total);

DURAÇÃO DAS AUDITORIAS

(duração total);

–

– AuditoriasAuditorias dede renovaçãorenovação:: no mínimo 66% da duração da auditoria de concessão (duração total).

• As auditorias de seguimento são dimensionadas caso a caso em função do

número de constatações cujo encerramento será verificado.

• A auditoria de concessão deve ser realizada em duas fases (1ª e 2ª fase), devendo a duração da auditoria ser repartida pelas duas fases de acordo com as seguintes instruções:

– A auditoria de 1ª fase não deve exceder 30% da duração total;

AUDITORIA DE CONCESSÃO

– A auditoria de 1ª fase não deve exceder 30% da duração total;

– Podem ser consideradas outras distribuições, no entanto, a duração da

2ª fase deve ser maior ou igual à da 1ª fase.

METODOLOGIAS DE AUDITORIA

• As metodologias para a realização de auditorias de acordo

com o referencial ISO/IEC 20000-1 seguem o preconizado pela

ISO 19011 e os critérios de auditoria da APCER

ENVIO DO PAC

• A Organização elabora, em resposta ao Relatório de Auditoria, um plano de acções correctivas, a ser remetido à APCER no prazo de 30 dias após a conclusão da auditoria, identificando para cada Não Conformidade (NC) ou Não Conformidade

Maior (NCM) a análise de causas, a correcção e a acção correctiva realizada ou planeada, o prazo definido e o correctiva realizada ou planeada, o prazo definido e o responsável pela mesma.

• Quando no Relatório de Auditoria é solicitado o

esclarecimento de uma área sensível (AS), a Organização deve igualmente apresentar a análise de causas, a correcção e a

acção correctiva realizada ou planeada, o prazo definido e o

responsável pela mesma.

DECISÃO DE CERTIFICAÇÃO

•• CONCESSÕES CONCESSÕES As acções correctivas às NC e NCM devem ser implementadas pela Organização no prazo de 6 meses, a

contar do último dia da auditoria. Em situações excepcionais, a Organização pode propor outro prazo, apresentando a

a Organização pode propor outro prazo, apresentando a justificação à APCER, a quem compete a análise e a decisão sobre a sua aceitação.

• A Organização deve remeter à APCER as evidências da

implementação das correcções e acções correctivas das NCM.

MANUTENÇÃO

•• ACOMPANHAMENTOS ACOMPANHAMENTOS prazo de implementação das acções

correctivas a eventuais NC ou NCM é de quatro meses a

contar do último dia da auditoria.

43

Sumário

Existem vantagens em já ter um sistema baseado na Existem vantagens em já ter um sistema baseado na ISO 9001

Poderão existir ganhos efectivos na melhoria da prestação dos serviços

Para novas organizações a adopção do modelo de processos da ISO/IEC 20000, poderá ajudar a

estruturar melhor o sistema de gestão da qualidade

45

Questões?!