Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Introdução a ISO 9001 ISO 20000 e ISO 27001

8,496 views

Published on

Introdução a ISO 9001 ISO 20000 e ISO 27001

  1. 1. Normas, padrões e certificações de qualidade em TI Introdução a ISO 9001, 20000 e 27001 Professor Fernando Palma (fernando.palma@gmail.com) (71) 8837-0007 http://portalgsti.com.br Por Fernando Palma 1Normas, padrões e certificações de qualidade em TI UNIJORGE
  2. 2. Agenda ● Introdução ● ISO 9000 ● ISO 20000 ● ISO 27001 / 27002 ● Implementação 2Normas, padrões e certificações de qualidade em TI UNIJORGE
  3. 3. Introdução ISO – “International Organization for Standardization” Organizaçao Internacional de Padronização Sediada na Suíça. O propósito da ISO é desenvolver e promover normas que possam ser utilizadas igualmente por todos os países do mundo. Cerca de 157 países integram a organização ISO Todos membros são entidades normativas de âmbito nacional. No Brasil: ABNT - Associação de normas Técnicas 3Normas, padrões e certificações de qualidade em TI UNIJORGE
  4. 4. Introdução 4Normas, padrões e certificações de qualidade em TI UNIJORGE
  5. 5. Agenda ● Introdução ● ISO 9000 ● ISO 20000 ● ISO 27001 / 27002 ● Implementação 5Normas, padrões e certificações de qualidade em TI UNIJORGE
  6. 6. ISO 9000 As normas ISO série 9000 são constituídas por 3 normas destinadas a Gestão daQualidade e Qualidade Assegurada a produtos entregues e serviços prestados ISO 9000 -Terminologia e vocabulário ISO 9001- Especificação de um sistema para a gestão da qualidade ISO 9004- Guia metodológico para dar suporte para a implementação O objetivo destas normas é o de complementar os requisitos dos produtos eserviços prestados empresa que pretende implementar o seu padrão de pelaqualidade e tornar-se mais competitiva Sistema da normalização ISO 9000 refere-se a quais elementos para a Gestão daQualidade devem ser implementados e não a técnicas e métodos para alcançá-los. São Normas Genéricas que podem ser utilizadas para qualquer mercado. No Brasil, as a Série ISO 9000 é traduzida pela ABNT. 6Normas, padrões e certificações de qualidade em TI UNIJORGE
  7. 7. ISO 9000: 2005 Fundamentos e Vocabulário Os 08 Princípios da Gestão do Sistema de Qualidade Foco no cliente Liderança sobre objetivos comuns Envolvimento de todos Considerar o impacto de decisões em outros processos Abordagem de processos Melhoria Contínua Decisão baseada em fatos (dados) Benefícios mútuos na relação com fornecedores (parceria) 7Normas, padrões e certificações de qualidade em TI UNIJORGE
  8. 8. ISO 9000: 2005 Fundamentos e Vocabulário Qualidade: grau no qual um conjunto de características inerente satisfaz a requisitos. Requisito: necessidade ou expectativa que é expressa geralmente de forma implícita ouobrigatória. Satisfação do cliente: percepção do cliente do grau no qual seus requisitos foram atendidos. Sistema de gestão: o sistema para estabelecer políticas e objetivos, e como atingir estesobjetivos. Sistema de gestão da qualidade: sistema de gestão para dirigir e controlar uma organização,no que diz respeito a qualidade. Política da qualidade: intenções e diretrizes de uma organização, relativas à qualidade,formalmente expressas pela alta direção. Objetivo da qualidade: aquilo que é buscado ou almejado. 8Normas, padrões e certificações de qualidade em TI UNIJORGE
  9. 9. ISO 9000: 2005 Fundamentos e Vocabulário Gestão: atividades coordenadas para dirigir e controlar uma organização. Alta Direção: pessoa ou grupo de pessoas que dirige e controla umaorganização no mais alto nível. Gestão da qualidade: atividades coordenadas para dirigir e controlar umaorganização no que diz respeito à qualidade. Planejamento da qualidade: parte da gestão da qualidade focada noestabelecimento dos objetivos da qualidade e que especifica os recursos eprocessos operacionais necessários para atender a estes objetivos. Controle da qualidade: parte da gestão da qualidade focada no atendimentodos requisitos da qualidade. Garantia da qualidade: parte da gestão da qualidade focada em proverconfiança de que os requisitos da qualidade serão atendidos. Melhoria contínua: atividade recorrente para aumentar a capacidade ematender os requisitos. 9Normas, padrões e certificações de qualidade em TI UNIJORGE
  10. 10. ISO 9001 – Apresentação da Norma Estrutura da Norma 10Normas, padrões e certificações de qualidade em TI UNIJORGE
  11. 11. ISO 9001 – Apresentação da Norma 0 - Introdução 1 - Escopo 2 - Referência Normativa 3 - Termos e Definições 4 - Sistema de Gestão da Qualidade 5 - Responsabilidade da Direção 6 - Gestão de Recursos 7 - Realização do Produto 8 - Medição, Análise e Melhoria 11Normas, padrões e certificações de qualidade em TI UNIJORGE
  12. 12. ISO 9001 – Apresentação da Norma 0 – Introdução 0.1.Generalidade - Influências do SGQ 0.2.Abordagem de Processo 0.3.Relação com a ISO 9004 0.4.Compatibilidade com outros sistemas de gestão 12Normas, padrões e certificações de qualidade em TI UNIJORGE
  13. 13. ISO 9001 – Apresentação da Norma 1 – Escopo (objetivos da Norma) 1.1.Generalidades 1.2.Aplicação (qualquer emrpesa, qualquer tamanho, qualquer produto/serviço)2 – Referência Normativa NBR ISO 9000:2005 – Ultima revisão da Norma 13Normas, padrões e certificações de qualidade em TI UNIJORGE
  14. 14. ISO 9001 – Apresentação da Norma 3 – Termos e Definições Para efeitos da ISO 9001 aplicam-se os termos e definições da ISO 9000. 4 – Sistema de Gestão da Qualidade 4.1.Requisitos Iniciais - Critérios e métodos de execução - Como monitorar, medir - Como melhorar continuamente 14Normas, padrões e certificações de qualidade em TI UNIJORGE
  15. 15. ISO 9001 – Apresentação da Norma 4 – Sistema de Gestão da Qualidade 4.2. Requisitos da documentação 4.2.1. Gereralidades O que deve conter na documentação do SGQ Política e objetivos Procedimentos e Manual do SGQ para a qualidade registros (exigidos pela norma) Outros documentos e registros documentados necessários, determinados pela organização 15Normas, padrões e certificações de qualidade em TI UNIJORGE
  16. 16. ISO 9001 – Apresentação da Norma 4 – Sistema de Gestão da Qualidade 4.2.2 Manual da Qualidade A organização deve estabelecer e manter um Manual da Qualidade que inclua: Identificação do escopo do SGQ (abrangência do SGQ na organização) Referência aos procedimentos documentados Descrição dos processos e suas interações 16Normas, padrões e certificações de qualidade em TI UNIJORGE
  17. 17. ISO 9001 – Apresentação da Norma 4 – Sistema de Gestão da Qualidade 4.2.3 Controle de documentos Deve existir um procedimento documentado para: Aprovar documentos antes do uso Analisar, atualizar e re-aprovar quando necessário Identificar cada documento Identificar alterações e revisões Disponibilicar os documentos 17Normas, padrões e certificações de qualidade em TI UNIJORGE
  18. 18. ISO 9001 – Apresentação da Norma 4 – Sistema de Gestão da Qualidade 4.2.4 Controle de registros Registros estabelecidos para prover evidência do SGQ devem ser controlados, e um procedimento documentado deve definir: Como são identificados, protegidos, armazenados, recuperados, retenção e descarte. Exemplo de registro: formulário de avaliação de indice de satisfação do cliente. 18Normas, padrões e certificações de qualidade em TI UNIJORGE
  19. 19. ISO 9001 – Apresentação da Norma 5 – Responsabilidades da Direção A alta direção deve fornecer evidência do seu comprometimento com o desenvolvimento e com a implementação do SGQ e com a melhoria contínua de sua eficácia, mediante: Comunicar à organização a importância de atender os requisitos dos clientes, regulamentares e estatutários Estabelecer a política da qualidade Garantir o estabelecimento dos objetivos da qualidade Conduzir análises críticas e garantir a disponibilidade de recursos A direção deve eleger um representante 19Normas, padrões e certificações de qualidade em TI UNIJORGE
  20. 20. ISO 9001 – Apresentação da Norma 6 – Gestão de recursosA organização deve prover recursos para implementar e manter o SGQ,melhorando continuamente sua eficácia e aumentando a satisfaçãodos clientes mediante o atendimento de seus requisitos.Envolve: Recursos Humanos Treinamentos Infra-estrutura Conscientização Garantia de que recursos humanos possuem habilidades eexperiências mínimas 20Normas, padrões e certificações de qualidade em TI UNIJORGE
  21. 21. ISO 9001 – Apresentação da Norma 7 – Realização do Produto 7.1 - Planejamento para realização do produto 7.2.1. Determinação dos requisitos 7.2.2. Análise crítica dos requisitos 7.2.3. Comunicação com o cliente 7.3.Controle do Projeto de Desenvolvimento 7.4. Aquisição 7.5. Produção e fornecimento do serviço (construção, tarnsição,validação, pripriedade do cliente, entre outros) 7.6. Controle de equipamentos de medição e monitoramento 21Normas, padrões e certificações de qualidade em TI UNIJORGE
  22. 22. ISO 9001 – Apresentação da Norma 8 – Medição, análise e melhoriaA organização deve planejar e implementar processos demonitoramento, medição, análise e melhoria para: Demonstrar a conformidade aos requisitos do produto Assegurar a conformidade do SGQ Melhorar continuamente a eficácia do SGQ 22Normas, padrões e certificações de qualidade em TI UNIJORGE
  23. 23. Verdadeiro ou Falso? 1. ( ) As normas ISO série 9000 são constituídas por 4 normas 2. ( ) A ISO 20.000 define requisitos para um sistema de gestão de Serviços da Tecnologia da Informação 3. ( ) Um dos oito principios da Gestão do Sistema de Qualidade é o Foco no Cliente 4. ( ) Entre os profissionais que cuidam do controle e aplicação do SGQ, deve existir um representante da direção 5. ( ) Determinação dos requisitos, Análise crítica dos requisitos e Comunicação com o cliente são intens da clasula da norma “6- Gestão dos recursos”. 23Normas, padrões e certificações de qualidade em TI UNIJORGE
  24. 24. Verdadeiro ou Falso? 1. ( F ) As normas ISO série 9000 são constituídas por 4 normas. São 3 normas 2. ( V ) A ISO 20.000 define requisitos para um sistema de gestão de Serviços da Tecnologia da Informação 3. ( V ) Um dos oito principios da Gestão do Sistema de Qualidade é o Foco no Cliente 4. ( V ) Entre os profissionais que cuidam do controle e aplicação do SGQ, deve existir um representante da direção 5. ( F ) Determinação dos requisitos, Análise crítica dos requisitos e Comunicação com o cliente são intens da clasula da norma “6- Gestão dos recursos”. Perterncem a cláusula “7-realização do produto” 24Normas, padrões e certificações de qualidade em TI UNIJORGE
  25. 25. Agenda ● Introdução ● ISO 9000 ● ISO 20000 ● ISO 27001 / 27002 ● Implementação 25Normas, padrões e certificações de qualidade em TI UNIJORGE
  26. 26. ISO 20000 Promove a adoção de um processo integrado para entregar serviços de TI quesatisfaçam os requisitos do negócio e do cliente Introduz uma cultura de serviços É baseada em processos Ajuda as organizações a gerar receita ou a ter um custo efetivo via umgerenciamento de serviço profissional Ajuda os provedores de serviços a determinar uma conformidade com asmelhores práticas. Fornece suporte para provedores de Tecnologia que querem elevar seu nível dematuridade para provedor de serviço e parceiro estratégico Melhora a confiabilidade e disponibilidade dos sistemas 26Normas, padrões e certificações de qualidade em TI UNIJORGE
  27. 27. ISO 20000 - Processos 27Normas, padrões e certificações de qualidade em TI UNIJORGE
  28. 28. ISO 20000 - Considerações A norma apresenta ao todo 217 requisitos. Para obter a certificação, a empresadeve cumprir todos. A certificação não é atribuida a produtos ou serviços da empresa, mas aorganização dos seus processos internos de Tecnologia da Informação A organização deve definir para qual escopo irá obter a certificação. Não énecessário que todos os serviços de TI sejam inclusos no escopo dos processos queserão certificados. A norma é dividida em duas partes: Parte 01 – Especificação para o gerenciamento de serviços de TI (contém todos os requisitos) Parte 02 - Código de Prática para o Gerenciamento de serviços de TI (auxilia e orienta as organizações a se preparem para a certificação) 28Normas, padrões e certificações de qualidade em TI UNIJORGE
  29. 29. ISO 20000 - Relacionamentos ISO 20000 ISO 27001 ISO 9001 29Normas, padrões e certificações de qualidade em TI UNIJORGE
  30. 30. ISO 20000 – Apresentação da Norma • Prefácio • Introdução 1. Escopo 2. Termos e definições 3. Requisitos para um sistema de gerenciamento 4. Planejando e Implementando um gerenciamento de serviço 5. Planejando e implementando serviços novos ou alterados 6. Processos de Entrega de serviço 7. Processos de Relacionamento 8. Processos de Resolução 9. Processos de controle 10. Processo de Liberação • Bibliografia 30Normas, padrões e certificações de qualidade em TI UNIJORGE
  31. 31. Verdadeiro ou Falso? 1. ( ) A Norma da ISO 2000 possui 217 requisitos, dos quais apenas 185 são obrigatórios 2. ( ) A Norma da ISO 20000 é mais abrangente do que a Norma ISO 9001. 31Normas, padrões e certificações de qualidade em TI UNIJORGE
  32. 32. Verdadeiro ou Falso? 1. ( F ) A Norma da ISO 2000 possui 217 requisitos, dos quais apenas 185 são obrigatórios todos são obrigatórios 2. ( F ) A Norma da ISO 20000 é mais abrangente do que a Norma ISO 9001. A Norma ISO 20000 é específica para certificar processos relacionados a Gestão da Tecnologia da Informação. Portanto, pode ser considerada menos abrangente. 32Normas, padrões e certificações de qualidade em TI UNIJORGE
  33. 33. Agenda ● Introdução ● ISO 9000 ● ISO 20000 ● ISO 27001 / 27002 ● Implementação 33Normas, padrões e certificações de qualidade em TI UNIJORGE
  34. 34. ISO 27001 Prove um modelo para estabelecer, implementar, operar,monitorar, analisar criticamente, manter e melhorar um Sistema deGestão de Segurança da Informação – SGSI. O sistema a ser implementado deve depender dos objetivos,requisitos de segurança, processos empregados e estrutura daorganização. O escopo da Norma náo é distribuido em processos, como a ISO20.000. Em vez disso, a norma define requisitos a serem auditados. 34Normas, padrões e certificações de qualidade em TI UNIJORGE
  35. 35. ISO 27001 – apresentação da norma 0 – Introdução 1 – Objetivo 2 – Referência normativa 3 – Termos e definições 4 – Sistema de gestão de segurança da informação 5 – Responsabilidade da direção 6 – Auditorias internas do SGSI 7 – Análise crítica do SGSI pela direção 8 – Melhoria do SGSI 35Normas, padrões e certificações de qualidade em TI UNIJORGE
  36. 36. ISO 27002 Códigos de Prática para a gestão da Segurança da Informação Consiste em 11 Capítulos com 39 Objetivos de Controle e 133controles Baseada nas melhores práticas para a segurança da Informação 36Normas, padrões e certificações de qualidade em TI UNIJORGE
  37. 37. Verdadeiro ou Falso? 1. ( ) A Norma ISO 27002 prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. 37Normas, padrões e certificações de qualidade em TI UNIJORGE
  38. 38. Verdadeiro ou Falso? 1. ( F ) A Norma ISO 27002 prove um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI. Este é o objetivo da Norma ISO 27001 38Normas, padrões e certificações de qualidade em TI UNIJORGE
  39. 39. Agenda ● Introdução ● ISO 9000 ● ISO 20000 ● ISO 27001 / 27002 ● Implementação 39Normas, padrões e certificações de qualidade em TI UNIJORGE
  40. 40. Implementação Auditoria de Certificação Execução Planejamento Iniciação 40Normas, padrões e certificações de qualidade em TI UNIJORGE
  41. 41. Implementação - iniciação A fase inicial do projeto é normalmente realizada pela alta administração. Deve ser determinado quem será o coordenador do projeto É realizada uma avaliação da situação atual O coordenador do projeto deve ser um profissional que tenha trânsitodentro da organização e deve estar bem definida a sua autoridade eautonomia dentro da empresa É necessário que dentro da diretoria haja um responsável pelo projeto É boa prática que a alta administração participe de um seminário sobre aISO 9001 e os sistemas de gestão da qualidade, e conheça os riscos deimplantação e seus benefícios. As razões para a implantação do SGQ devem ficar claras para todos naempresa. 41Normas, padrões e certificações de qualidade em TI UNIJORGE
  42. 42. Implementação - iniciação Perfil do coordenador Experiência: conhecer a norma ISO 9001 e saber como montar uma estrutura para um SGQ. Isto significa já ter trabalhado em uma implantação de um SGQ ou em uma empresa que já tivesse um SGQ operando. Treinamento: é importante que o profissional tenha participado de um treinamento de auditor ISO 9001. Outros treinamentos como gestão de projetos, ferramentas da qualidade são desejados. Habilidades: liderança, organização, entusiasmo, capacidade de trabalho, persistência, bom relacionamento pessoal, lógica, ser capaz de trabalhar em equipe, ter foco. 42Normas, padrões e certificações de qualidade em TI UNIJORGE
  43. 43. Implementação - planejamento 0 Decisão 1 Planejamento 2 Planejamento do treinamento na norma NBR ISO 9001 e outros necessários para o SGQ 3 Mapeamento dos processos 4 Modelagem dos processos em função de adequação a ISO 9001 5 Definição da política, dos objetivos, das metas e respectivos indicadores da qualidade 6 Elaboração dos documentos do sistema de gestão da qualidade 7 Implementação dos requisitos planejados 8 Palestras de sensibilização em relação à gestão da qualidade e outros treinamentos necessários para a operação 9 Ações para certificação por terceira parte 10 Realização de auditorias internas da qualidade 11 Pré auditoria 12 Auditoria de certificação 43Normas, padrões e certificações de qualidade em TI UNIJORGE
  44. 44. Implementação - planejamento Um cronograma deve ser elaborado e atualizado. Devem ser documentados todos os itens de um plano de projeto tais como escopo, custos tempo, riscos, comunicação, aquisições e quais mais forem necessárias. 44Normas, padrões e certificações de qualidade em TI UNIJORGE
  45. 45. Implementação - execução Treinamentos Devem ser ministrados por grupos. Cada grupo tem uma necessidade distinta de treinamento: Diretoria Comitê da qualidade Responsáveis pelos processos Demais profissionais Conteúdo: ISO 9001 45Normas, padrões e certificações de qualidade em TI UNIJORGE
  46. 46. Implementação - execução Mapeamento e Modelagem dos processos Critérios Foco no objetivo e no cliente do próximo processo Terminologia padronizada Uso da automação sempre que possível Integração entre os processos Os processos devem conter indicadores mensuráveis e objetivos Técnicas Entrevistas Entendimento do processo em equipe: nem sempre o lider tem a noção de todo o processo. É comum que cada profissional tenha apenas uma visão de uma única parte dele. Geralmente os limites de um processo são confundidos com os limites de uma função 46Normas, padrões e certificações de qualidade em TI UNIJORGE
  47. 47. Implementação - execução Mapeamento e Modelagem dos processos Critérios Foco no objetivo e no cliente do próximo processo Terminologia padronizada Uso da automação sempre que possível Integração entre os processos Os processos devem conter indicadores mensuráveis e objetivos Técnicas Entrevistas Entendimento do processo em equipe Descrição e Fluxograma 47Normas, padrões e certificações de qualidade em TI UNIJORGE
  48. 48. Implementação - execução Os 10 passos para documentar um processo Passo 01 – Identificar os objetivos do processo Passo 02 – Identificar as saídas do processo Passo 03 – Identificar os clientes do processo Passo 04 – Identificar as entradas e componentes do processo Passo 05 – Identificar os fornecedores do processo Passo 06 – Determinar os limites do processo Passo 07 – Documentar o processo atual Passo 08 – Identificar melhorias necessárias ao processo Passo 09 – Consensar melhorias a serem aplicadas ao processo Passo 10 – Documentar o processo revisado * É importante também identificar os papéis envolvidos 48Normas, padrões e certificações de qualidade em TI UNIJORGE
  49. 49. Implementação - execução Modelagem de procesos - Problemas comuns ( durante pós modelagem) Falta de controle, inspeção ou monitoramento Falta de registro ou registros sem preenchimento Falta de procedimento ou instrução Sobreposição de responsabilidades: 2 profissionais se sentem responsáveis pelo processo Responsabilidades e autoridades não definidas Geralmente os limites de um processo são confundidos com os limites de uma função 49Normas, padrões e certificações de qualidade em TI UNIJORGE
  50. 50. Implementação - execução Definição da Política de Qualidade Deverá ser definida e documentada a política para a Qualidade, com base nos princípios da organização, servindo como referência para o estabelecimento dos objetivos e metas. Dos objetivos e metas da organização iremos desdobrar os objetivos e metas para os processos e criar indicadores que nos auxiliem no monitoramento destes processos. A política para a qualidade deve: Ser apropriada ao propósito da organização Proporcionar estrutura para estabelecimento e análise dos objetivos da qualidade Ser comunicada e entendida por toda a organização Ser analisada criticamente para manutenção da sua adequação 50Normas, padrões e certificações de qualidade em TI UNIJORGE
  51. 51. Implementação - execução Definição da Política de Qualidade Exemplos Fábrica de tecidos Desenvolver artigos têxteis para moda através de novas tecnologias e melhoria contínua da qualidade, garantindo a satisfação dos clientes. Clínica de exames médicos Buscar o aperfeiçoamento contínuo nos processos e na satisfação do cliente, através do aprimoramento tecnológico e da capacitação profissional, oferecendo resultados de exames com qualidade técnica e em tempo hábil, respeitando as necessidades do cliente. 51Normas, padrões e certificações de qualidade em TI UNIJORGE
  52. 52. Implementação - execução Conscienticação e treinamentos Palestras Treinamento nos processos mapeados Participaçãoo da dieração Orientar sobre a necessidade de preencher os Orientar sobre a importância de seguir as instruções de trabalho Discutir e revisar as instruções de trabalho e os procedimentos – por função / por área Reforçar política e objetivos para a qualidade e os indicadores de desempenho 52Normas, padrões e certificações de qualidade em TI UNIJORGE
  53. 53. Implementação - Auditoria Auditoria Interna Um procedimento documentado deve definir responsabilidades, requisitos para planejamento e execução de auditorias, relato dos resultados e manutenção dos registros Todos os requisitos da norma devem ser auditados nos processos da empresa em cada ciclo de auditorias internas. Um programa de auditoria interna deve ser planejado pela equipe do projeto. A propria norma ISO 9001 orienta como deve ser administrada uma auditoria interna, incluindo as ações para tratamento de não conformidades 53Normas, padrões e certificações de qualidade em TI UNIJORGE
  54. 54. Implementação - Auditoria Auditoria Externa (pelo orgão certificador) A certificadora irá conhecer o sistema de gestão implantado, comparando –o com a realidade A certificadora deve buscar registros que comprovem as atividades descritas nos processos A certificadora irá solicitar um plano de ação para as não conformidades observadas. Normalmente a empresa terá de 15 a 30 dias para enviar o plano ação para avaliação do auditor-líder. Sendo certificada a empresa irá receber um certificado, normalmente em papel, que ela poderá apresentar para seus clientes demonstrando a qualidade de seu SGQ 54Normas, padrões e certificações de qualidade em TI UNIJORGE
  55. 55. Fim do Módulo 01 Dúvidas? fernando.palma@gmail.com (71) 8837-0007 8837- http://www.portalgsti.com.br

×