Neste guia, exploraremos os primeiros passos cruciais para iniciar o caminho rumo à certificação ISO. Desde o engajamento dos gestores até a realização da auditoria interna, cada etapa será abordada de uma maneira para proporcionar clareza e direção aos gestores e equipes responsáveis por esse processo de significativa importância.
Como implementar?
O processo de certificação pode ser longo, e entendendo isso, para auxiliar vocês que estão interessados em ser certificados nas normas ISO, nós da Be iremos compartilhar abaixo algumas recomendações que foram essenciais e nos ajudaram durante toda a implantação.
1) Apoio dos gestores
Para ser iniciado um projeto com tamanha magnitude como a implementação do sistema de gestão, é primordial que os gestores da empresa estejam dispostos a investir em recursos humanos, financeiros, e até tecnológicos. Por isso, é recomendado que eles sejam conscientizados sobre os benefícios no que diz respeito à ISO, gerando o apoio necessário durante todas as mudanças que irão ocorrer nos processos internos, e consequentemente na cultura organizacional.
2) Entenda as normas
É recomendável que o Gestor do Sistema de Gestão, Diretor do Projeto e demais interessados e responsáveis, busquem entender mais sobre abrangência das normativas, por exemplo, sobre a ISO 27001 e 27701. Compreender a estrutura da norma, seus padrões e protocolos pedidos, é essencial para a implementação.
3) Defina o método de implementação
Decida se a organização contará com o auxílio de uma consultoria ou especialista no assunto.
Neste momento, é importante que a organização atue de forma estratégica, pois a ISO é uma norma técnica, e muitas vezes profissionais que lidam com a segurança ou tecnologia da informação acreditam que possuem condições de implementar o sistema de gestão, mas não possuem experiência com o sistema de gestão. Por outro lado, há profissionais que possuem experiência com o sistema de gestão, porém não detêm conhecimento técnico.
Com uma consultoria ou o trabalho conjunto de um profissional direcionado para o sistema de gestão e um com conhecimento em tecnologia o trabalho irá fluir de uma forma melhor e o foco na geração de resultados durante a implementação será mantido.
É possível implementar sozinho, porém como já mencionado, caso o profissional não esteja familiarizado com o sistema de gestão, e os requisitos da normativa, o projeto pode tornar-se difícil, já que durante a implantação será necessária a elaboração de procedimentos, políticas, controles necessários para atendimento da normativa e seu gerenciamento. Além disso, o profissional deve ter convicção do que atende e não atende ao requisito/controle ao ler e interpretar a norma para não abrir a possibilidade de não ter resultado positivo nas auditorias.
Desta forma, antes de iniciar o projeto, recomenda-se avaliar os custos de ambas as opções. Sem experiência a implementação pode demorar mais do que o estimado, podendo sair mais caro do que contratar um profissional para auxílio.
4) Escolha a equipe que irá compor o projeto
A equipe de gestão vai garantir que seja implementado e mantido os processos do sistema de gestão. Desta maneira, escolha profissionais que tenham conhecimento da cultura, atividades, e processos internos. Além disso, procure definir sua equipe de apoio com base em profissionais comprometidos, organizados, que tenham percepção e análise crítica.
5) Realização do diagnóstico (pré-auditoria)
O diagnóstico, ou a pré-auditoria, vai contribuir com a empresa na identificação dos gaps e no planejamento dos próximos passos para o sucesso na implementação, e ajudará na visualização de todo o processo. É importante que o cliente detalhe a sua empresa, com todas as informações possíveis para entenderem realmente como ela funciona, definindo-se de forma assertiva as melhorias necessárias.
6) Envolvimento dos colaboradores, por que é importante?
Nas organizações, muitas vezes a notícia do processo de certificação da ISO pode gerar desconforto para os colaboradores. No entanto, isso precisa ser trabalhado, pois o envolvimento dos colaboradores é uma das principais dificuldades para muitas empresas no processo de implantação da ISO. Isso ocorre devido às mudanças nos processos que vão ocorrendo nesse caminho. Por isso é muito importante que os responsáveis pelo projeto da ISO, comuniquem sobre as etapas com os colaboradores, demonstrando o impacto significativo de cada um durante esse processo, bem como, os aspectos benéficos, e a necessidade de todos colaborarem de forma mútua.
7) Definição do escopo para o SGSI e SGPI
Identificar as informações ou dados a serem resguardados requer uma compreensão aprofundada das operações e execuções, especialmente das atividades cruciais que englobam tais informações e dados. Este processo é fundamental, uma vez que permite à organização determinar de maneira precisa o que é importante para ela.
8) Implementação
Após ter realizado todas essas recomendações, a organização pode dar início ao processo de certificação. Esse processo vai exigir maior atenção, com uma ampla quantidade de documentos e definição das políticas, procedimentos, controles que atendem a norma e vão estruturar o sistema de gestão.
As diretrizes definem os requisitos que sua organização precisa atender para obter a certificação. Contudo, elas não detalham o modo como a implementação deve ser realizada. Dessa forma, a responsabilidade por essa decisão recai sobre cada gestor ou sobre o consultor contratado.
Além disso, neste momento vão ser definidas as regras de SI e PI, por exemplo; sendo importante que a organização sempre considere a cultura e sua expectativa com relação às regras, alinhando todos os documentos às características e valores específicos da organização, durante a elaboração dos controles.
9) Conscientização
Não menos importante, o processo de conscientização dos colaboradores para aplicação de todos os requisitos deve ser realizado, devendo esse processo ser contínuo, para o aculturamento de todos, e uma execução correta das políticas, procedimentos, e controles internos, garantindo uma maior efetividade, e cumprindo também com o requisito da normativa.
10) Realização da auditoria interna
Ao final do processo de implementação, como requisito da própria normativa deve ser realizada a auditoria interna para verificar tudo o que foi feito ao longo do processo de certificação. Nessa auditoria poderão ser levantadas não conformidades (maiores e menores) e pontos de melhoria.
Esta auditoria não é a oficial, no entanto é um ponto de atenção para as organizações no momento em que recebem o relatório com os apontamentos, para que sejam estabelecidos planos de ação e melhorias.
Após realização das correções necessárias, chegou o momento de contratação do certificador que irá realizar a auditoria externa, e aprovando a organização, será emitido o certificado das normas ISO 27001 e ISO 27701. Vale lembrar que o monitoramento deve ser contínuo, e a certificação possui prazo de validade, sendo necessário a cada três anos, as denominadas certificações de manutenção.
Quais os benefícios de obter a certificação ISO na minha empresa?
Parece muita coisa, mas com disciplina e uma boa estruturação, garanto que sua empresa conseguirá obter o tão sonhado certificado da ISO. Essa certificação certamente é um diferencial competitivo, e traz muitos benefícios, tanto em termos de melhoria e aprimoramento dos processos internos, quanto em termos do próprio mercado em que atua.
Para contribuir ainda mais com esse processo, e te auxiliar a obter essa tão importante certificação reconhecida internacionalmente, a Be desenvolveu uma plataforma de Compliance Regulatório – Be Standards, que possibilita a realização de uma gestão centralizada e integrada de todos os requisitos das normas ISO através de um painel visual super moderno, onde possibilita:
• Concentrar as evidências em um só lugar;
• Inventário de ativos;
• Treinamentos;
• Estabelecer plano de ação;
• Analisar riscos;
• Monitorar políticas, procedimentos e controles internos;
• Realização de auditorias e revisões, e muito mais.
Ficou interessado em conhecer a Plataforma? Agende uma demonstração com nossos especialistas, e saiba mais sobre a plataforma que vem revolucionando as empresas e contribuindo com o processo de certificação da ISO.