MANUAL DE COMUNICAÇÃO COM O CLIENTEfj.com.br/wp-content/uploads/2013/12/P.035.pdf · PMQP (MG) Obras de: edificações / saneamento / viárias e obras de arte especiais Logística

Data: 26/07/13 Página 1 de 25

MANUAL DE

COMUNICAÇÃO

COM O CLIENTE

NBR ISO/IEC 27001

DIRETORIA DE CERTIFICAÇÃO

FUNDAÇÃO CARLOS ALBERTO VANZOLINI

P.035.10 - Manual de Comunicação com o Cliente - NBR ISO/IEC 27001


SUMÁRIO

CAP.01 Institucional da Fundação Vanzolini

CAP.02 A Fundação Vanzolini é muito mais que um organismo de certificação

CAP.03 Atuação do departamento de certificação

CAP.04 Relacionamento, contato, e-mail, processos

CAP.05 Etapas do processo de certificação

CAP.06 Informações para elaboração da proposta

CAP.07 Equipe auditora e dimensionamento de auditoria

CAP.08 Definições: Não conformidade Maior, Não Conformidade Menor e Oportunidade de Melhoria

CAP.09 Perguntas e respostas mais freqüentes

CAP.10 Confidencialidade, imparcialidade, ausência de conflito de interesse

CAP.11 Interpretações do CB25, ISO/TC 176 e diretrizes do IAF

CAP.12 Regras para uso da marca

CAP.13 Reclamação e apelação CAP.14 Suspensão, cancelamento, redução ou aumento de escopo, inclusão ou exclusão de sites.

CAP.15 Critérios para reembolso de despesas diretas



CAP.01 - INSTITUCIONAL DA FUNDAÇÃO VANZOLINI

APRESENTAÇÃO – QUEM SOMOS

A Fundação Vanzolini, entidade criada em 1967, mantida e gerida pelos professores do

Departamento de Engenharia de Produção da Escola Politécnica da Universidade de São

Paulo (USP), é uma instituição privada sem fins lucrativos que tem por objetivo a difusão de

conhecimentos na área de engenharia de produção e administração industrial.

Dentre as atividades desenvolvidas, aquelas dedicadas à área de qualidade têm propiciado a

formação de um corpo técnico de alto nível com estágios no exterior (Japão, Inglaterra e

Estados Unidos) sempre em sistemas de gestão, projetos para a UNIDO e cooperação com a

Universidade do Tennessee.

Ao longo desses anos, a instituição consolidou-se como um importante órgão de difusão da

engenharia de produção, tendo, inclusive, passado a ministrar cursos de especialização para a

capacitação de profissionais, em convênio com a Escola Politécnica da USP. A atuação da

Fundação Vanzolini foi além do campo da educação continuada, para também crescer em áreas

como certificação, gestão de tecnologias aplicadas à educação e projetos, nas quais tornou-se

um grande centro de referência.

VISÃO DA FUNDAÇÃO VANZOLINI

A Fundação Vanzolini tem como visão o aumento da confiança das partes interessadas nos

produtos/serviços oferecidos e o aprimoramento contínuo dos processos internos. A Fundação

Vanzolini, por meio de suas auditorias, faz uma análise crítica do sistema de gestão verificando

estas vertentes e agregando significativamente valor às organizações.

RECONHECIMENTO NACIONAL E INTERNACIONAL

Em 1990, a Fundação Vanzolini foi a primeira entidade acreditada pela Cgcre, orgão vinculado

ao Inmetro - Instituto Nacional de Metrologia, Normalização e Qualidade Industrial para a

certificação de sistemas de gestão da qualidade.

A acreditação do Cgcre do Inmetro permite à Fundação Carlos Alberto Vanzolini conceder



certificados com validade oficial.

A Fundação Carlos Alberto Vanzolini é membro pleno da “The International Certification

Network” (IQNet) com relação a certificações baseadas nas normas ISO 9001, ISO 14001,

ISO 27001 , GoodPriv@cy e OHSAS 18001. A IQNet é uma rede internacional de entidades

certificadoras, composta pelos mais importantes órgãos certificadores de todo o mundo, que

engloba mais de 37 organismos que estão presentes em mais de 150 países com a finalidade

de assegurar aceitação internacional aos certificados emitidos pelos seus membros.

Aproximadamente 30% do número total de certificados de sistemas de gestão emitidos no

mundo foram gerados por organismos pertencentes à IQNet.

Portanto, a organização certificada pela Fundação Vanzolini, nos escopos acreditados,

recebe o certificado com reconhecimento nacional (Cgcre) e outro certificado com

abrangência internacional fornecido pela IQNet.

A Fundação Carlos Alberto Vanzolini também mantém acordos operacionais com todas as

entidades internacionais ligadas a IQNet.

As organizações e países cobertos pela IQNet estão disponibilizados no site da IQNet, a saber:

http://www.iqnet-certification.com/ dentro da área “All IQNet Partners”.

A Fundação Carlos Alberto Vanzolini é a maior certificadora genuinamente nacional.

http://www.iqnet-certification.com/



CAP.02 - A FUNDAÇÃO VANZOLINI É MUITO MAIS QUE UM ORGANISMO DE CERTIFICAÇÃO

Educação Continuada

Nos seus mais de 40 anos de existência, a Fundação Vanzolini vem contribuindo para o

aperfeiçoamento de milhares de profissionais, por meio da prestação de serviços e da oferta

de cursos - tanto abertos ao público quanto “in company”.

Os Cursos de Especialização, por exemplo, abordam temas da área de produção e são

compostos por disciplinas que cobrem integralmente o programa proposto. Mediante

convênio com a Escola Politécnica, o certificado de conclusão é emitido pela Universidade

de São Paulo. Todos esses cursos, oferecidos como pós-graduação latu sensu, têm sempre

carga horária mínima de 360 horas:

Administração industrial (CEAI Semanal)

Administração industrial (CEAI Sábados)

Administração de serviços (CEAS)

Gestão de projetos (CEGP)

Gestão de projetos - tecnologia da informação (CEGP-TI)

Logística empresarial (CELOG)

Engenharia de produção para a construção civil (CEPC)

Qualidade e produtividade (CEQP)

Ergonomia de sistemas de produção

MBA - Gestão de operações: produtos e serviços

Neste campo da educação, a Fundação Vanzolini mantém, portanto, a plena atualização

das temáticas abordadas, buscando um adequado equilíbrio entre teoria e prática. Há ainda

a oferta de cursos de capacitação (média duração), em que o participante aprofunda

conhecimentos em assuntos específicos e atuais da engenharia de produção.

Nos cursos de atualização, em sua grande maioria com carga horária compreendida entre

8 e 24 horas, os temas propostos têm o objetivo de proporcionar novos conhecimentos

profissionais, atendendo a necessidades bem focalizadas. Esses cursos estão agrupados

em diversas áreas, permitindo a escolha da melhor opção de atualização.



Gestão de Tecnologias Aplicadas à Educação

A Fundação Vanzolini é referência nacional no gerenciamento de programas de alto

desempenho para desenvolver e implementar processos educacionais inovadores, mediante

incorporação de tecnologias de informação e comunicação. Esses programas, vários dos

quais premiados, operam com sucesso em sistemas estaduais e municipais de ensino e em

organizações do terceiro setor.

Projetos

São muitos os trabalhos de ponta desenvolvidos pela Fundação Vanzolini, contemplando

projetos e pesquisas. De gestão de operações a logística, passando por tecnologia da

informação, organização, qualidade, engenharia do produto e economia da produção,

nossos profissionais buscam sempre desenvolver soluções inovadoras.

CAP.03 - ATUAÇÃO DO DEPARTAMENTO DE CERTIFICAÇÃO

CERTIFICAÇÃO DE SISTEMAS

A Fundação Vanzolini é uma referência brasileira na certificação de sistemas. Realiza avaliações

da conformidade nas seguintes áreas:

Tema Norma Aplicação

Qualidade NBR ISO 9001 Todos os setores e escopos

NBR 15100 (equivalente à AS9100) Aeronáutica

ISO/TS 16949 Automobilística

Selo de tiragem Mídia Impressa

Sustentabilidade Alta qualidade ambiental Construção sustentável

NBR ISO 14001 Meio ambiente

OHSAS 18001 Segurança e saúde ocupacional

NBR 16001 Responsabilidade social

SA 8000 (em nome da IQNet) Responsabilidade social

NBR 9050 Acessibilidade

ISO 14064 Gases de efeito estufa

ISO / TS 29001 Petróleo, Petroquímica e Gás Natural



Tema Norma Aplicação

Tecnologia da Informação

NBR ISO/IEC 27001 Segurança da informação

ISO/IEC 20000-1 Gestão dos serviços de tecnologia da informação

GoodPriv@cy Proteção e privacidade dos dados

Construção Civil SIAC - Obras / PBQP-H

Obras de: edificações / saneamento / viárias e obras de arte especiais

Qualihab (SP) Obras de edificações e gerenciamento

Programa setorial ABEF Serviços de sondagem e fundações

Pará obras (PA) Obras de: edificações / saneamento / pavimentação / eletricidade / projetos e gerenciamento

PBQP-H (DF) Obras de: edificações / saneamento / urbanização

PMQP (MG) Obras de: edificações / saneamento / viárias e obras de arte especiais

Logística e Transporte

Transqualit Farmacêutico, green, frigorificado e aéreo

SASSMAQ módulo Rodoviário e módulo Estação de Limpeza

Saúde ONA - Organização Nacional de Acreditação

Serviços de saúde

NBR ISO 13485 Produtos para saúde

Alimentos Selo Produto de São Paulo Café, algodão, carne suína e cachaça

Selo ABIC Programa da qualidade do café

Feed & Food Safety Gestão do alimento seguro

NBR ISO 22000 Alimentos

Probare Selo de ética Maturidade de gestão

call center / contact center / help desk/ sac / telemarketing

Produtos Pneus (novos), Componentes Automotivos, produtos de telecomunicações, Certificação de Software de acordo com a norma NBR 29110-4, dentre outros.

A Fundação Vanzolini oferece a realização de auditorias combinadas, possibilitando a avaliação

de diversos sistemas de gestão simultaneamente, trazendo vantagens para o cliente (sistemas

de gestão integrados).



CAP. 04 - RELACIONAMENTO, CONTATO, E-MAIL, PROCESSOS

Com a finalidade de garantir o melhor contato possível entre a Fundação Vanzolini e o cliente,

seguem abaixo os processos responsáveis pelas atividades do departamento de certificação:

Processo Atividades Dados para Contato

Comercial Relacionamento com cliente, propostas comerciais, contratos, alterações gerais

(11) 3836-6566 R: 104 / 105 / 106 / 114

[email protected]

Planejamento de auditoria

Agendamento das datas dos eventos (11) 3836-6566 R: 112 / 143 [email protected]

Logística Elaboração de planos de auditoria, aspectos relacionados a passagens e hospedagens

(11) 3836-6566 R: 120

Documentação técnica Controle dos documentos solicitados as organizações (manuais, planos de ação corretiva,etc)

(11) 3836-6566 R: 125 [email protected]

Secretária da Comissão Técnica

Envio do processo para análise da comissão técnica e emissão de certificado

(11) 3836-6566 R: 121

SAC Serviço de Atendimento ao Cliente (11) 3836-6566 R: 112

mailto:[email protected]


P.035.10 – Manual de Comunicação com o Cliente - NBR ISO/IEC 27001


CAP. 05 - ETAPAS DO PROCESSO DE CERTIFICAÇÃO

Etapas Responsabilidade Prazo Detalhes

1 - Solicitação de proposta de certificação.

Organização -

Fazer solicitação por meio do preenchimento do formulário enviado pela Fundação Vanzolini ou fazer o “download” no formulário no “site” da Fundação Vanzolini na internet. Em caso de dúvidas contactar o departamento de certificação – processo comercial pelos ramais 103, 104, 105 e 106.

2 - Elaboração da proposta com as informações da organização.

Fundação Vanzolini 3 dias úteis Com base nos dados preenchidos e remetidos pela organização, a Fundação Vanzolini procede a sua análise crítica e encaminha a proposta de certificação.

3 - Envio da proposta. Fundação Vanzolini Imediato após

elaboração A Fundação Vanzolini envia o preâmbulo (proposta comercial) e o contrato.

4 - Aprovação da proposta. Organização -

A aprovação da proposta deve ser feita no documento “preâmbulo” com as

assinaturas e datas para a Pré-Auditoria / Auditorias Fase 1 e Auditoria Fase 2

(Certificação) e enviada por fax para 11 3832-2070.

5 - Abertura formal do processo de certificação.

Fundação Vanzolini - Após a aprovação da proposta será feita a abertura formal do processo de

certificação, que será confirmada à organização por e-mail.

6 - Confirmação formal das datas solicitadas.

Fundação Vanzolini - A Fundação Vanzolini contatará a organização para agendar as datas da auditoria. Contatos em relação às datas de auditorias devem ser realizados com o

departamento de certificação processo de planejamento de auditorias.

7 - Envio do Preâmbulo e do Contrato.

Organização -

No momento do aceite da proposta, a organização deverá encaminhar 2 vias do

preâmbulo e contrato assinados para a Fundação Vanzolini, Rua Camburiú, 255

Alto da Lapa – CEP 05058-020- São Paulo - SP (O recebimento deste

documentos na Fundação Vanzolini são determinantes para o envio do

certificado).




8 - Envio do manual de gestão. Organização 30 dias antes

da auditoria

Para que o auditor possa elaborar o plano de auditoria é fundamental que o manual

da qualidade seja recebido pela Fundação Vanzolini, dentro do prazo solicitado. O

não recebimento no prazo solicitado pode implicar em atrasos na elaboração

do plano de auditoria. Os documentos devem ser enviados para [email protected]

9 - Análise de documentos. Fundação Vanzolini - -

10 - Envio do plano de auditoria.

Fundação Vanzolini 7 dias

A Fundação Vanzolini enviará o plano de auditoria para que a organização conheça, com antecedência, as áreas / processos a serem auditados, bem como os horários, esta atividade é repetida antes de cada evento de auditoria (pré, fase 1 e fase 2, supervisão).

11 - Pré-auditoria.

(opcional)

Fundação Vanzolini 30 dias de

antecedência A Pré-auditoria não é obrigatória, mas é fortemente recomendada.

12- Fase 1 obrigatória. Fundação Vanzolini Agendamento

já realizado Esta fase normalmente é realizada juntamente com a pré-auditoria.

13 - Envio do plano de ações corretivas (PAC).

Organização

Definido no relatório de

auditoria fase 1

Após o termino da auditoria Fase 1 a organização deve enviar o Plano de Ações Corretivas, antes da Auditoria de Certificação Fase 2. (submissão por e-mail para [email protected]).

14 - Auditoria de certificação fase 2.

Fundação Vanzolini Agendamento

já realizado A equipe auditora realiza a auditoria de certificação apresentando ao final, o relatório de auditoria e sua recomendação.




15 - Submissão do relatório para a comissão técnica.

Fundação Vanzolini / auditor

- Após o termino da auditoria a Equipe auditora submete a documentação com o parecer da Equipe Auditora para análise da Comissão Técnica.

16- Envio do plano de ações corretivas (PAC).

Organização

Data limite no relatório de

auditoria fase 2

A Análise da Comissão Técnica somente ocorre após o recebimento do Plano de Ações Corretivas e sua respectiva análise / aprovação por parte da equipe auditoria.

17 - Análise pela comissão técnica.

Fundação Vanzolini A Comissão Técnica procede analise do processo de certificação.

18 - Submissão do processo para o diretor de certificação.

Fundação Vanzolini Ocorrendo a ratificação do parecer da equipe auditoria pela comissão técnica o processo de certificação da organização é submetido para a deliberação do diretor de certificação da Fundação Vanzolini.

19 - Envio do certificado. Fundação Vanzolini

Após

deliberação do

Diretor

Após aprovação do diretor, o certificado é encaminhado para a organização.

20 - Agendamento das datas

das próximas auditorias. Fundação Vanzolini

Como forma da organização se planejar apropriadamente, logo após a certificação as

datas para as auditorias de supervisão e recertificação são acordadas.

P.035.10 – Manual de Comunicação com o Cliente - NBR ISO/IEC 27001


CAP. 06 - INFORMAÇÕES PARA ELABORAÇÃO DE PROPOSTA

Devolver o questionário preenchido preferencialmente por e-mail à: [email protected] Em caso de dúvidas, envie um e-mail ou entre em contato: Fone: (11) 3836-6566 Ramais 104, 105, 106 e 114 – área comercial Fax: (11) 3832-2070

CAP.07 - EQUIPE AUDITORA E DIMENSIONAMENTO DE AUDITORIA

EQUIPE AUDITORA

A Fundação Vanzolini possui um corpo de auditores constituído por profissionais com

experiência comprovada e formação técnica em práticas de auditoria.

Todos seus auditores são graduados e qualificados mediante rigorosas avaliações.

Antes da elaboração de uma proposta comercial, o departamento de certificação efetua análise

crítica da solicitação do cliente, garantindo desta forma que os auditores que serão alocados

para realizar os eventos de auditoria possuem a competência necessária.

Após o agendamento das auditorias e antes da realização dos eventos “in loco”, a Fundação

Vanzolini, disponibiliza o Currículo do auditor, o qual demonstra sua competência. Caso exista

algum impedimento por parte da organização com relação à alocação da equipe auditoria, a

organização deverá se manifestar, possibilitando, mediante análise, alterar a equipe auditora.

A Fundação Vanzolini também possui uma série de atividades relacionadas aos auditores, de

forma a garantir o mais alto padrão de qualidade em sua prestação de serviço. Dentre algumas

destas atividades, pode-se citar:

a) Fóruns de discussão técnica;

b) Treinamentos específicos;

c) Planejamento de competências para os auditores;

d) Monitoramento das atividades da equipe auditora, por intermédio de pesquisa de

satisfação com os clientes, monitoramento do processo de auditoria por comissão

técnica independente.




DIMENSIONAMENTO DA AUDITORIA

O dimensionamento definido para as auditorias pela Fundação Vanzolini segue as determinações que todos os organismos certificadores devem obedecer, ou seja, as diretrizes da norma ISO/IEC 27006:2007, anexo C.

CAP.08 DEFINIÇÕES: NÃO CONFORMIDADE MAIOR, NÃO

CONFORMIDADE MENOR E

OPORTUNIDADE DE MELHORIA Segue abaixo a classificação adotada nas constatações da auditoria:

Não-conformidade Maior:

Ausência, falha na implementação ou manutenção de um ou mais elementos requeridos pelo

sistema, ou situação na qual, com base nas evidências objetivas, pode gerar dúvidas quanto a

capacidade do sistema de gestão em alcançar os objetivos da norma de referência, e

Ausência ou incapacidade total do Sistema atender a um elemento da norma de referência

ou à norma como um todo;

Também pode ser caracterizada à partir de um grande número de NC Menores, constatadas

ao longo da avaliação do Sistema da organização em um único elemento da norma.

Não conformidade Menor:

Falta de cumprimento aos requisitos do Sistema de Gestão que o julgamento e/ou

experiência do auditor indiquem que, provavelmente, não implicará em uma “quebra” do Sistema;

Uma não adequação ou não implantação de parte de um elemento requerido pela norma de

referência, que é evidenciada pela equipe auditora.

Oportunidade de Melhoria:

Uma falha localizada comprovadamente não generalizada, falha esta que não possui

relevância e impacto sobre a atividade auditada;

Desconforto da Equipe Auditora;

Falha potencial que não é evidenciada pela Equipe Auditora, mas que a experiência do

auditor indica uma não conformidade futura.



CAP. 09 - PERGUNTAS E RESPOSTAS MAIS FREQÜENTES

Através da vasta experiência, adquirida ao longo dos últimos anos, atuando em Certificações de

Sistemas de Gestão, a Fundação Vanzolini vem catalogando as principais dúvidas dos clientes

relacionadas às respectivas normas, suas características e o processo de certificação.

Esperamos que a lista abaixo possa elucidar suas dúvidas.

1. O que é segurança da informação?

Segundo a norma NBR ISO/IEC 27002:07, segurança da informação é a proteção da

informação contra vários tipos de ameaças de forma a assegurar a continuidade do negócio,

minimizando danos comerciais e maximizando o retorno sobre investimentos e oportunidades de

negócios. Ainda segundo a NBR ISO/IEC 27002:07 a segurança da informação é caracterizada

pela preservação dos três atributos básicos da informação: confidencialidade, integridade e

disponibilidade.

2. O que é a NBR ISO / IEC 27001:2006?

É a norma de certificação para Sistemas de Gestão da Segurança da Informação, editada em

português em abril de 2006 e que substituiu a BS 7799-2. Esta norma foi preparada para prover

um modelo para o estabelecimento, implementação, operação, monitoramento, revisão,

manutenção e melhoria de um Sistema de Gestão de Segurança da Informação.

A NBR ISO / IEC 27001 e NBR ISO / IEC 27002:07 foram o par consistente de normas relativas

a Sistema de Gestão de Segurança da Informação.

3. O que é NBR ISO/IEC 27002:07?

A NBR ISO/IEC 27002:07 é a versão brasileira da norma ISO homologada pela ABNT, a versão

válida é de 2007. É o Código de Prática para Gestão da Segurança da Informação. Serve como

referência para a criação e implementação de práticas de segurança reconhecidas

internacionalmente, incluindo: Políticas, Diretrizes, Procedimentos, Controles

É um conjunto completo de recomendações para: Gestão da Segurança de Informação e

Controles e práticas para a Segurança da Informação.

Atenção: a norma de certificação é a NBR ISO / IEC 27001:2006, a NBR ISO / IEC 27002:07 é

a norma de referência de boas práticas.

4. Qual é a importância que as organizações dão hoje a ISO 27001?

Todas as grandes organizações do mundo, sejam públicas ou privadas, já tomaram

conhecimento sobre as normas ISO. Diversas pesquisas demonstram que muitas dessas

organizações já estão incorporando os controles das normas em suas políticas de segurança.



5. Qual é a importância da ISO 27001?

Ela permite que uma organização construa de forma muito rápida uma política de segurança

baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo,

sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria

para realizar essa tarefas.

6. Essas normas se aplicam a qualquer tipo de organização?

As normas foram criadas e se adaptam bem a organizações comerciais. Instituições de ensino,

instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos

controles da norma devido a seus ambientes serem diferentes dos de uma organização

comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da

norma para implementar segurança da informação em suas instalações.

7. O que é SGSI?

Sistema de Gestão de Segurança da Informação é o resultado da aplicação planejada de

objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de

forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma

organização que implante a norma ISO 27001 acaba por constituir um SGSI.

8. Quais são as etapas para se constituir um SGSI?

Em primeiro lugar, deve-se definir quais são seus limites (sua abrangência física, lógica e

pessoal). Depois devem ser relacionados os recursos que serão protegidos. Em seguida

relaciona-se quais são as possíveis ameaças a esses recursos, quais são as vulneráveis a que

eles estão submetidos e qual seria o impacto da materialização dessas ameaças. Por fim,com

base nessas informações, são priorizados os controles necessários para garantir a segurança

desses recursos.

9. Para implantar a norma em uma organização é obrigatório empregar todos os seus

controles?

Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições

existentes na organização. Por exemplo, se a organização não tem acesso remoto de usuários,

todos os controles referentes a esse tipo de acesso podem ser ignorados.

10. O que é a Declaração de Aplicabilidade?

É um documento exigido pela NBR ISO IEC 27001 no qual a organização tem que relacionar

quais controles do Anexo A são aplicáveis e justificar os que não são aplicáveis ao seu SGSI.



11. Como obter a norma NBR ISO IEC 27001?

As normas NBR ISO, assim como as de outros países, têm direitos autorais. As normas da série

NBR ISO devem ser adquiridas na ABNT – Associação Brasileira de Normas Técnicas.

12. Como a ISO 27001 se relaciona com as normas ISO 9001 e ISO 14001?

A ISO 27001 harmoniza-se com essas normas na medida que segue a suas estruturas e

conteúdos. A 27001 inclui um PDCA semelhante aos existentes na ISO 9001 e ISO 14001 com

objetivo de estabelecer um contínua gestão da segurança da informação.

13. O que é PDCA?

PDCA (Plan-Do-Check-Act ou Planejar-Executar-Verificar-Agir) é um método de gestão que se

caracteriza por um ciclo de ações que se repete continuamente de forma a incorporar alterações

no ambiente. Nas normas de gestão acima mencionadas é empregado para garantir uma efetiva

gestão da organização.

14. Existe legislação que obrigue o uso da ISO 27001?

As leis variam de país para país. A rigor não existem leis que obriguem o emprego de tais

normas. No Brasil, existem recomendações no sentido de empregar-se as normas emitidas por

entidades como a Fenabam, o Conselho Federal de Medicina, a ICP-Brasil, dentre outros. No

Reino Unido, a Data Protection Act promulgada em 1998 e, nos Estados Unidos, a lei Sarbanes-

Oxley (que atinge subsidiárias de organizações americanas de capital aberto instaladas no

Brasil), promulgada em 2002, determinam cuidados no trato das informações que, na prática,

obrigam as organizações a empregar a ISO 27001/ISO 27002 como uma forma de

demonstrarem que estão procurando cumprir os requisitos de segurança determinados por

essas leis.

15. O que é certificação?

A certificação é um documento emitido por uma entidade certificadora independente que

garante que uma dada organização implantou corretamente todos os controles da norma

aplicáveis. A certificação é emitida após uma auditoria externa para verificação da conformidade

da organização com a norma.

16. Para que serve a certificação?

Ela comprova, para as organizações certificadas, que a segurança da informação está garantida

de forma efetiva, o que não significa, contudo, que a organização esteja imune a violações de

segurança. Além disso, a certificação comprova, para os clientes e fornecedores da

organização, o a preocupação que esta tem com a segurança da informação, reforçando sua



imagem junto ao mercado. Dependendo da atividade da organização, essa certificação pode ser

essencial para a realização de certos negócios.

17. Pode-se aplicar a ISO 27001 e realizar apenas uma auditoria interna?

Sim. Na realidade, a maior parte das organizações a emprega dessa forma, uma vez que elas

ainda não identificaram a necessidade ou a possibilidade de realizarem o processo de

certificação.

18. Qual é o custo de uma certificação?

O custo depende de vários fatores, tal como quanto tempo o responsável pela certificação

necessita para avaliar a conformidade da organização com relação à norma, o tamanho e a

complexidade da organização e de seus sistemas.

19. Muitas organizações já obtiveram a certificação?

Segundo a pesquisa ISO Survey de 2005, existem 7732 organizações certificadas em Dez/2001.

Destas, cerca de 4596 certificações se encontram no Japão.

20. Quantas e quais organizações foram certificadas no Brasil?

Trinta organizações brasileiras obtiveram a certificação até 2007. Informações atualizadas sobre

organizações certificadas no Brasil e no mundo, além do ISO Survey também podem ser obtidas

através do site www.iso27001certificates.com.

21. Quem concede o certificado?

Os certificados são emitidos por entidades certificadoras acreditadas por órgãos de acreditação

nacionais ou internacionais após realização de auditorias.

22. Como são feitas estas auditorias?

A auditoria do Sistema de Gestão da Segurança da Informação é dividida em 2 etapas:

Auditoria de Documentação, conhecida como Fase 1 e Auditoria de Certificação, conhecida

como Fase 2. Podendo existir também a Pré-Auditoria, esta por sua vez é opcional.

23. O que é Auditoria de Documentação?

Em razão do tema abordado esta norma envolve documentos e informações, muitas vezes,

confidenciais, desta forma, fazem-se necessário uma análise prévia destes nas instalações da

própria organização visando à verificação de sua adequação e a segurança dos dados.

A Auditoria de Documentação é o primeiro contato com a equipe auditora.

http://www.iso27001certificates.com/



24. Qual a diferença entre a Auditoria de Documentação e a Pré-auditoria?

A Auditoria de Documentação tem como foco a seguinte documentação: Declaração de

Aplicabilidade, Relatório de Avaliação de Riscos e Análise Crítica pela Direção entre outros

possíveis documentos associados a estes, conforme aplicável. Esta análise não contempla

procedimentos e práticas específicos, uma vez que estes são objeto da Pré-auditoria, que tem

por objetivo a análise crítica da adequação do sistema à norma.

25. Pré-auditoria é o mesmo que Auditoria de Pré-certificação?

Sim. Os dois termos são usados e reconhecidos pelo mercado para identificar um mesmo tipo

de auditoria.

26. Quando devo solicitar a Pré-auditoria?

Após a implantação do Sistema de Gestão da Segurança da Informação e após ter realizado

pelo menos um ciclo de auditoria interna e pelo menos uma análise crítica pela direção a

organização pode solicitar a realização da Pré-auditoria para verificar o nível de adequação à

norma em questão.

27. Minha organização já possui a certificação pela norma anterior. Também posso

solicitar uma Pré-auditoria segundo a nova versão?

As organizações já certificadas podem solicitar a realização da Pré-auditoria para verificar o

nível de adequação à norma em questão, após a adequação do Sistema de Gestão da

Segurança da Informação e após ter realizado pelo menos um ciclo de auditoria interna . A

Fundação Vanzolini recomenda que tenha também pelo menos uma análise crítica do sistema já

com a nova estrutura.

28. Para que serve a Pré-auditoria?

A Pré-auditoria tem como principal objetivo a detecção de eventuais problemas conceituais que

possam vir a ser despercebidos pela organização em processo de certificação. Seria um

exemplo de problema conceitual, a não aplicação de um requisito ou controle que influencie na

Segurança da Informação da organização. Isto pode ocorrer em razão de uma incorreta

interpretação da norma para o negócio da organização e/ou escopo considerado(s). No entanto,

nestes casos a certificação não pode ser recomendada, causando transtornos para a

organização e uma certa decepção para todos os envolvidos.

A fim de reduzir os riscos de não certificação por problemas de adequação, os organismos

certificadores em todo o mundo passaram a realizar análises prévias, estas análises prévias são

chamadas de pré-auditoria.



29. Como é feita a pré-auditoria?

A Pré-auditoria é realizada nas instalações da organização e segue os mesmos passos da

Auditoria de Certificação: Reunião de Abertura, investigação, relato das não-conformidades e

reunião de encerramento. Geralmente a equipe auditora da Pré-auditoria será a mesma da

Análise Documental e da Auditoria de Certificação.

São verificados os procedimentos e a documentação em relação à sua adequação à norma de

referência. O tempo dimensionado para esta auditoria, normalmente não permite que a equipe

auditora tenha tempo para verificar se as práticas descritas na documentação estão

adequadamente implementadas – isto é o que chamamos de auditoria de conformidade, que

será realizada durante a Auditoria de Certificação (Inicial) e nas Auditorias de supervisão

(Anuais ou semestrais).

30. No meu orçamento consta uma Pré-auditoria de um dia. Posso solicitar mais um ou

dois dias?

Sim. A carga horária definida no orçamento é mínima para checar todos os itens da norma. No

entanto, caso a organização deseje uma análise mais aprofundada, a carga horária poderá ser

aumentada sem problema algum. Haverá um aumento proporcional no preço do evento.

31. Posso pular a Pré-auditoria e ir direto para a Auditoria de Certificação?

Sim. Tomando-se como base a experiência adquirida ao longo do tempo em certificações de

sistemas de gestão, a Fundação Vanzolini recomenda fortemente a realização da Pré-auditoria,

no entanto, se a organização tem muita segurança na adequação e conformidade do seu

sistema de gestão não há problema algum em ir direto para a Auditoria de Certificação.

32. Se o auditor não encontrar problemas na Pré-auditoria, já posso receber o certificado?

Não. A Pré-auditoria tem objetivo distinto da Auditoria de Certificação. A Pré-auditoria verifica a

adequação do sistema, não colhendo evidências suficientes de que as práticas refletem o

planejamento contido nos procedimentos. A verificação da implementação é feita na Auditoria de

Certificação que não pode ser dispensada em nenhum caso.

33. Qual é o prazo entre a Auditoria de Documentação e as Auditorias de Pré-certificação,

Certificação e supervisão?

Com exceção às Auditorias de Supervisão, que devem ocorrer no mínimo anualmente, não há

um prazo expressamente definido para que estes eventos ocorram, e os mesmos podem ser

discutidos e acordados, conforme as necessidades de cada organização. No entanto, a

Fundação Vanzolini recomenda que a Auditoria de Documentação ocorra pelo menos 30 dias

antes da Auditoria de Certificação e, caso seja solicitada, 30 dias antes da Pré-auditoria.



34. Quem faz parte da equipe auditora?

Normalmente, a equipe auditora é formada por um ou mais auditores com experiência em

auditoria e conhecimentos do segmento de negócio da organização. Por se tratar de uma norma

específica, as auditorias do Sistema de Gestão de Segurança da Informação devem contar

sempre auditores que detenham conhecimentos técnicos suficientes para compreender a

linguagem dos auditados.

35. A Fundação Vanzolini mantém cursos sobre esta norma?

A Fundação Vanzolini mantém cursos abertos e “in company” para implementação do Sistema

de Gestão da Segurança da Informação, formação de Auditores Internos do SGSI e formação

de Auditores Líderes NBR ISO/IEC 27001.



CAP. 10 - CONFIDENCIALIDADE, IMPARCIALIDADE E AUSÊNCIA DE CONFLITO DE INTERESSE

A Fundação Vanzolini, ao longo do processo de certificação, pode ter acesso a informações

confidenciais relacionadas aos ativos da informação.

Todos o pessoal que trabalha no departamento de certificação da Fundação Vanzolini, incluindo

os auditores, assinam o código de conduta, que estabelece os procedimentos de trabalho,

incluindo vários princípios relacionados ao sigilo, confidencialidade, ausência de conflito de

interesse.

As informações sobre produtos ou sobre certificação não são reveladas a terceiros sem o

consentimento, por escrito, do cliente. Caso a lei exija que tais informações sejam dadas ao

conhecimento de terceiros, o cliente é informado formalmente, conforme estabelecido na lei.

CAP.11 - INTERPRETAÇÕES ISMS, JTC 1/SC 27 e

DIRETRIZES DO IAF

Todos as pessoas podem ter acesso às interpretações, orientações e diretrizes realizadas em

âmbito nacional e internacional. Essas informações podem ser obtidas junto ao:

a) ISMS International User Group – Site: http://www.iso27001certificates.com/

(interpretações e orientações);

b) JTC 1/SC 27 International Organization for Standardization's (ISO) Joint Technical

Committee, Information technology, Subcommittee SC 27 , IT Security techniques. -

(orientações e trabalhos);

Site: http://www.iso.org/iso/technical_committee_contact.html?commid=45308

c) IAF – The International Accreditation Forum – Site : http://www.iaf.nu/ (Diretrizes).

http://www.iso.ch/

http://www.iaf.nu/



CAP. 12 - REGRAS PARA O USO DA MARCA

- Fundação Vanzolini / IQNet

A organização cujo sistema de gestão (Qualidade) possui os certificados emitidos pela Fundação

Vanzolini e IQNet está autorizada a usar a marca de certificação da Fundação Vanzolini/IQNet (selo)

após garantir que :

1. A marca de certificação da Fundação Vanzolini/IQNet de sistema de gestão pode ser utilizada

pela organização detentora do certificado, desde que:

com o nome da organização certificada (e da divisão, se necessário);

com o número do certificado (opcional);

fazendo referência à norma aplicável;

dentro do período de validade do certificado;

dentro do escopo / área certificada;

utilizado pela companhia certificada (o responsável legal);

sem qualquer mudança.

2. A marca de certificação da Fundação Vanzolini/IQNet pode ser utilizada para fins comerciais,

aparecer em documentos usados nas correspondências da organização, na internet e em

propaganda. Ela não deve ser utilizada em declarações que ultrapassem o escopo dos

certificados emitidos pela Fundação Vanzolini e IQNet, principalmente nos casos em que há

cobertura parcial dos certificados com relação à totalidade da linha de produtos/serviços da

organização. Em caso de dúvida, o escopo da certificação deverá ser especificado.

3. As declarações da certificação devem indicar que os produtos referidos são procedentes de uma

organização cujo Sistema de Gestão (Qualidade) foi certificado pela Fundação Vanzolini e IQNet.

4. É vedado o uso da marca de certificação da Fundação Vanzolini/IQNet diretamente nos

produtos e nas suas embalagens primárias.

5. Na utilização da marca de certificação da Fundação Vanzolini/IQNet, o usuário da marca deverá

observar os princípios da concorrência honesta. O usuário deverá impedir qualquer uso ou

declaração a respeito à marca de certificação, que seja inaceitável pela Fundação Vanzolini ou

pela IQNet.



6. O usuário da marca receberá uma cópia reproduzível da marca de certificação (selo). O usuário

da marca não está autorizado a fazer qualquer alteração gráfica na marca de certificação da

Fundação Vanzolini / IQNet (inclusive cores) sem a concordância por escrito da Fundação

Vanzolini. Alterações nas dimensões da marca de certificação são aceitáveis, desde que o selo

se mantenha legível.

7. O uso da marca de certificação da Fundação Vanzolini/IQNet é restrito às organizações

autorizadas e o direito de uso deste não deve ser transferido para terceiros ou substitutos, nem

ser objeto de cessão ou aquisição ou de qualquer medida compulsória.

8. No caso de laboratórios de calibração e ensaios certificados, estes não podem dar a entender a

seus clientes que a certificação equivale a acreditação com base no ABNT ISO/ IEC Guia 17025.

Os laboratórios não podem utilizar a marca de certificação da Fundação Vanzolini/IQNet nos

laudos/certificados entregues aos seus clientes.

- Certificado IQNet

9. O certificado IQNet é baseado em auditoria e certificação realizadas pela Fundação Vanzolini, ou sob sua coordenação, e é emitido por esse membro em nome da IQNet. A certificação IQNet foi instituída em função da mútua confiança entre os membros, resultante da avaliação entre seus pares, da cooperação e da assinatura do acordo multilateral IQNet Multilateral Agreement (MLA) de reconhecimento mútuo de certificados.

10. O certificado IQNet é fornecido à organização certificada em razão da qualidade de membro da

IQNet da Fundação Vanzolini.

11. A responsabilidade principal pela emissão do certificado IQNet é da Fundação Vanzolini.

12. Caso a Fundação Vanzolini deixe de ser associada à IQNet, o certificado IQNet da organização

deixará de ser válido e será recolhido pela Fundação Vanzolini, no prazo de 30 dias.

- Quadro Geral de Uso da Marca

Como meio de melhor elucidar o uso de marca de certificação para indicar quando um produto foi

feito sob um sistema de gestão da qualidade certificado, segue abaixo tabela:

No Produto *1 Em caixas maiores, etc. usadas

para o transporte de produtos *2

Em Panfletos, etc. para propaganda

Uso da Marca *3

Sem Declaração Não permitido Não Permitido Permitido * 5

Com Declaração *4 Não permitido Permitido *5 Permitido * 5



*1 Pode ser o próprio produto tangível ou um produto em uma embalagem individual, caixa, etc. No

caso de atividade de ensaio/análise, poderia ser um relatório de ensaio/análise;

*2 Pode ser a embalagem externa feita de papelão etc., que provavelmente não seja capaz de

alcançar os usuários finais;

*3 Isso se aplica a marcas que apresentem uma forma específica, inclusive alguma descrição básica

de sua aplicabilidade. Uma declaração somente em palavras não constitui uma marca neste sentido.

Tal declaração deve ser verdadeira e não induzir a erro;

* 4 Pode ser uma afirmação declarando que “Este produto foi fabricado em uma organização cujo

sistema de gestão da qualidade é certificado e está em conformidade com a NBR ISO 9001”. O

Termo “fabricado”, para organizações de serviço, pode ser adaptado aos termos utilizados no

segmento da organização;

* 5 Na utilização de símbolos ou logomarcas, deve ser prestada atenção suficiente, para evitar

infração.

Qualquer intencional ou flagrante violação negligente das providências acima resultará na

anulação da concessão dos Certificados. O direito de uso da marca de certificação termina

na não renovação ou anulação da concessão dos Certificados da Fundação Vanzolini e IQNet,

depois dos períodos transitórios especificados para tais casos.

CAP. 13 - RECLAMAÇÃO E APELAÇÃO

As reclamações dos clientes da Fundação Vanzolini podem ser iniciadas através do questionário

de avaliações entregue ao final de cada auditoria realizada, ou mediante qualquer outro meio.

Todas as reclamações são analisadas criticamente e são tomadas as devidas ações de melhoria

e/ou ações corretivas.

Caso a organização não concorde com as deliberações da Fundação Vanzolini, ela poderá

iniciar um processo de apelação, dirigido ao nível competente da Fundação Vanzolini, a saber:

Comissão Técnica, Diretor de Certificação e Conselho de Certificação.

Após análise, a decisão será informado à organização.



CAP.14 - SUSPENSÃO, CANCELAMENTO, REDUÇÃO OU AUMENTO DE

ESCOPO, INCLUSÃO OU EXCLUSÃO DE SITES.

A Fundação Vanzolini possui regras claramente estabelecidas para suspensão ou cancelamento da certificação. Tais regras estão definidas nos contratos firmados entre as partes. A qualquer momento a organização poderá solicitar a redução ou aumento do escopo de certificação, devendo contatar a área comercial da Fundação Vanzolini. As inclusões ou exclusões de sites também podem ser realizadas durante a vigência do contrato, devendo a organização manifestar seu interesse junto a área comercial da Fundação Vanzolini.

CAP. 15 - CRITÉRIOS PARA REEMBOLSO DE DESPESAS DIRETAS

Ao final da auditoria, o auditor líder apresentará à organização os comprovantes das despesas da

equipe auditora, conforme as regras previamente definidas, juntamente com o formulário “controle de

despesas”, preenchido para aprovação. O valor total das despesas deverá ser reembolsado à

Fundação Vanzolini que efetuará o reembolso ao auditor.

Documents

MANUAL DE COMUNICAÇÃO COM O CLIENTEfj.com.br/wp-content/uploads/2013/12/P.035.pdf · PMQP (MG) Obras de: edificações / saneamento / viárias e obras de arte especiais Logística