1. Innovation in Software Quality
Inovação e robustez da engenharia dos sistemas de informação
para potenciar o reconhecimento internacional
Porto, 8 de Novembro de 2010
2. 1
Programa
[16:30] STRONGSTEP – Inovação e Engenharia Robusta como motor de empresas tecnológicas
– Engº Pedro Castro Henriques
[16:50] AMBISIG certificada CMMI - Vantagens
– Engª Silvia Rodrigues
[17:10] Projecto TICE.PT – Apoios Financeiros
– Engº Artur Calado
[17:20] Apresentação do Pólo TICE.PT
– Engº Vasco Lagarto
[17:30] Coffee Break
[17:50] APCER - Ferramentas de gestão no sector das Tecnologias de Informação
– Eng.º Hermano Correia
[18:10] Metatheke - Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
– Metatheke – Engº Pedro Almeida
[18:30] Encerramento – STRONGSTEP
– Prof. Raul Vidal
3. DM | Janeiro 2008
Ferramentas de gestão
no sector das
Tecnologias de Informação
Hermano Correia
hermano.correia@apcer.pt
8 de Novembro 2010
Strongstep ‐ FEUP
Porto
4. DM | Janeiro 2008
Agenda
• Contexto e Desafios
• As normas ISO com impacto nas TI
• Integração das normas ISO nas TI
• Questões?
5. DM | Janeiro 2008
• Globalização de serviços e de operações;
• Elevado Nível de Competitividade;
• Segurança: factor relevante;
• Competência;
• Alinhamento com os negócios;
• Sustentabilidade e Continuidade.
Contexto
6. DM | Janeiro 2008
Desafios
• Diferenciação no Mercado;
• Confiança;
• Satisfação dos Clientes;
• Níveis de Serviços de Excelência;
• Minimização de Riscos (Ex: perda de informação);
• Continuidade de Negócio.
7. DM | Janeiro 2008
Aumento do uso das Normas
Crescente adopção do uso de normas e melhores
práticas (como as ISO 9001, ISO 20000, ISO 27001, ITIL,
COBIT, SOX, CMMi, SPICE, etc. )
Factores chave:
Requisitos do negócio para melhor desempenho das TI
Necessidade de melhor controlo das actividades das TI.
Confiança nos resultados obtidos pelo uso de normas e
melhores práticas – evoluindo de aproximações
casuísticas e mais ou menos caóticas, para processos
convenientemente geridos.
8. DM | Janeiro 2008
Benefícios das Normas nas TI
As melhores práticas TI são importantes porquê?
Ajudam a tornar efectiva gestão das actividades TI
A gestão das TI é crítica para o sucesso da estratégia das
organizações
O modelo de gestão para que todos percebam o seu papel e o
seu contributo na organização (políticas, controlos e
procedimentos).
Trazem muitas vantagens ‐ incluindo ganhos de eficiência,
menor dependência dos “especialistas”, menos erros, maior
confiança nos parceiros de negócio, cumprimento da
legislação e regras de regulação, etc.
9. DM | Janeiro 2008
Implementação de Sistemas de Gestão nas TI
• Se orientados para serem guias técnicos puros, têm
um custo elevado e e não contribuem para o
desempenho organizacional.
• São eficazes se aplicados tendo em consideração o
contexto do negócio, tendo enfoque na melhoria da
organização.
• O objectivo dos sistemas de gestão nas TI é utilizar as
melhores práticas de forma a responder aos
requisitos do negócio e não aos requisitos técnicos.
10. DM | Janeiro 2008
A importância de integração de sistemas
• A gestão de topo e os gestores de TI devem
perceber o valor da aplicação das melhores práticas.
• A aplicação das melhores práticas devem:
• Serem adaptadas, planeadas e terem prioridades para
permitirem o seu uso efectivo;
• Apropriadas á organização e ao sector de actividade em
que se insere;
• Consistentes com a gestão de risco da organização;
• Integradas com outras metodologias e procedimentos
já existentes na organização
11. DM | Janeiro 2008
Convergência das Práticas
Continual Service
Improvement
Continual Service
Improvement
ITILITIL
Service
Transition
Service
Operation
Service
Design
Service
Strategy
ISO/IEC
2000
ISO
9001
ISO
27001
ISO
19770
CMMI
SOX
e-TOM
ISO/IEC
20000
COBIT
IEEE
ANSI
ISO/IEC
12207
Six
Sigma
TQM
Balanced
Scorecard
BPM / BPI
SCAMPI
EFQM
12. DM | Janeiro 2008
Princípios de excelência
BS25999-2
BSISO/IEC
20000-1
BS ISO/IEC
27001
BS ISO/IEC
17799
NP/EN BS ISO
9001
BS25999-1
BSISO/IEC
20000-2
??
27000
27003
27004
27005
…
ISO IEC
TR
NP
BS
NZ
BS ISO
15489 BS ISO/IEC TR
13335BS25999-2
BSISO/IEC
20000-1
BS ISO/IEC
27001
BS ISO/IEC
17799
NP/EN BS ISO
9001
BS25999-1
BSISO/IEC
20000-2
??
27000
27003
27004
27005
…
ISO IEC
TR
NP
BS
NZ
BS ISO
15489 BS ISO/IEC TR
13335
13. DM | Janeiro 2008
ISO
9001
Estratégico
Controle de
Processo
Execução de
Processo
Instrução de
Trabalho
COBIT
Melhores Praticas de Trabalho Internas
ISO 27001
O QUÊ
ComoDomínio de TI
Desafio
CMMi
ITIL e ISO
20000
14. DM | Janeiro 2008
As normas ISO com impacto nas TI
15. DM | Janeiro 2008
As normas ISO estão estruturadas para serem aplicadas a
qualquer sistema de gestão existente nas organizações.
O principal objectivo das normas ISO, é corresponder ou
exceder as expectativas dos Clientes.
As normas ISO são compatíveis entre elas.
Benefícios da certificação ISO:
Aumento da fidelização e confiança dos Clientes;
Qualidade no controlo e registo dos resultados;
Utilização de processos, procedimentos e terminologias
consistentes;
Praticas de melhoria contínua.
12.05.2009 13
As Normas ISO
16. DM | Janeiro 2008
Diz o que fazes
Faz o que dizes
Mostra que fazes como dizes
e MELHORA!
Filosofia ISO
18. DM | Janeiro 2008
• Realizar• Verificar
• Planear • Agir
Act Plan
DoCheck
Ciclo de Gestão – P.D.C.A.
19. DM | Janeiro 2008
• Estrutura e Responsabilidade
• Formação, Consciencialização e
Competência
• Comunicação, Documentação e Controlo
Documental
•Controlo Operacional
• Planeamento e Gestão de Emergências
•Auditoria(s)
•Registos
•Não conformidade, acção
correctiva e preventiva
•Monitorização e Medição
• Requisitos Cliente e Riscos
• Requisitos Legais e Outros
• Objectivos e Metas
• Programa(s) de Gestão
• Análise Crítica pela
Gestão de Topo
• Revisão do Sistema
Act Plan
DoCheck
Ciclo de Gestão – P.D.C.A.
Gestão
de Topo
Política
21. DM | Janeiro 2008
ISO/IEC 27001:2005
(Modelo)
Partes
interessadas
Requisitos e
expectativas de
Segurança da
Informação
Partes
interessadas
Segurança da
Informação
gerida
Planear
(Plan)
Executar
(Do)
Verificar
(Check)
Actuar
(Act)
Estabelecer o
SGSI
Implementar e
Operar o SGSI
Monitorizar e
Rever o SGSI
Manter e Melhorar
o SGSI
24. DM | Janeiro 2008
Integração das normas ISO nas TI
25. DM | Janeiro 2008
As normas e as ferramentas não são solução por
si só.
A eficácia das normas depende da forma como
são implementadas e como os sistemas de gestão
são mantidos.
As melhores práticas TI têm que:
Estar alinhadas com os requisitos do negócio;
Estarem integradas entre elas;
Integradas com os procedimentos internos (ex: sistemas
de gestão existentes na organização).
Alinhamento com requisitos do negócio
26. DM | Janeiro 2008
• Sistema de Gestão - Modelo de processos e
procedimentos utilizados numa organização
• O sistema de gestão existe para trazer benefícios á
organização que o utiliza.
• Na perspectiva do negócio só deve existir um
sistema de gestão.
• O objectivo deverá ser desenvolver um sistema de
gestão coerente que suporte as actividades do dia-
a-dia e satisfaça as necessidades da organização.
Sistemas de Gestão
28. DM | Janeiro 2008
• Sistema de Gestão Integrado – SGI integra todos
os componentes do negócio num único sistema de
forma a atingir os objectivos e missão da
organização.
• Objectivo – satisfazer as necessidades da
organização da forma mais simples e eficaz.
• A integração do sistema de gestão deve ser
antecipadamente e cuidadosamente planeada e
implementada.
Sistemas de Gestão Integrados
30. DM | Janeiro 2008
O SGI pode ser constituído por várias normas
internacionais, dependendo do sector de
actividade e as necessidades da organização.
Importante para um SGI eficaz:
Desenvolver um modelo sólido e de fácil compreensão
para suportar o SGI, onde as várias normas relevantes para
a organização possam ser progressivamente incorporadas;
Escolher as normas e as melhores práticas que sejam
importantes e relevantes para a organização;
Planear o projecto de implementação;
Implementar normas e melhores práticas
progressivamente.
Modelo Sistema de Gestão Integrado
33. DM | Janeiro 2008
ISO 20000
ISO 9001
ISO 27001
Relação 9001, 20000 e 27001
34. DM | Janeiro 2008
ISO/IEC 27001:2005
4. Information Security Management
System
4.1 General Requirements
4.2 Establishing and managing the ISMS
4.2.1 Establish the ISMS
4.2.2 Implement and operate the ISMS
4.2.3 Monitor and review the ISMS
4.2.4 Maintain and improve the ISMS
4.3 Documentation Requirements
4.3.1 General
4.3.2 Control of documents
4.3.3 Control of records
ISO 9001:2008
4. Quality Management System
4.1 General Requirements
8.2.3 Monitoring and measurement of
processes
8.2.4 Monitoring and measurement of
products
4.2 Documentation Requirements
4.2.1 General
4.2.2 Quality manual
4.2.3 Control of documents
4.2.4 Control of records
Comparação 27001 e 9001
35. DM | Janeiro 2008
ISO/IEC 20000:2005
3.1 Management responsibility
3.2 Documentation requirements
3.3 Competence, Awareness and
Training
4.1 Plan service management
4.3 Monitoring measuring and
Reviewing
ISO9001:2008
5. Management commitment
4.2 Documentation requirements
6.2.2 Competence, Awareness and
Training
7. Planning of product realization
8.2.2 Internal audit
8.2.3 Monitoring and measuring
Processes
Comparação 20000 e 9001
36. DM | Janeiro 2008
Integração de Sistemas – PAS 99
PAS significa Publicly Available Specification (Especificação
Disponível Publicamente).
A PAS 99 fornece um modelo simples para as organizações integrarem numa única estrutura todas as
normas e especificações de sistemas de gestão que adoptam. O principal objectivo da PAS 99 é simplificar
a implementação de múltiplos sistemas e sua respectiva avaliação de conformidade. As organizações que
a utilizarem deverão incluir como entrada do sistema integrado os requisitos específicos das normas que
adoptam, tais como, por exemplo, os requisitos específicos da ISO 9001, ISO 14001, ISO/IEC 27001, ISO
22000, ISO/IEC 20000 e OHSAS 18001.
37. DM | Janeiro 2008
O modelo utilizado para a estrutura da PAS 99 está intimamente relacionado aos elementos
comuns propostos no ISO Guide 72:2001, que é um guia para o desenvolvimento de normas.
O Guia 72 inclui uma estrutura que foi desenvolvida como um modelo que possibilite a
elaboração de normas de forma a contemplar os diversos elementos principais, de maneira
consistente.
Os especialistas que desenvolveram a PAS 99 consideram que essa estrutura é a mais
adequada para a criação de uma nova especificação, uma vez que permite que toda e
qualquer norma de sistema de gestão seja contemplada, possibilitando e gestão eficaz e
eficiente dos requisitos comuns dos sistemas de gestão.
No ISO Guide 72, está categorizado nos seguintes temas:
• Política
• Planeamento
• Implementação e operação
• Avaliação de desempenho
• Melhoria
• Revisão pela Gestão de Topo.
Integração de Sistemas – PAS 99
38. DM | Janeiro 2008
Obrigado pela V/ atenção
Hermano Correia
hermano.correia@apcer.pt
Coordenador de Processos de Certificação
Auditor ISO 9001 / ISO 27001 / ISO 20000 / SA 8000
Assessor Qweb e IQNET 9004
ISO 20000 Consultant e ITIL v3 Foundations Certificate
39. Programa
[16:30] STRONGSTEP – Inovação e Engenharia Robusta como motor de empresas tecnológicas
– Engº Pedro Castro Henriques
[16:50] AMBISIG certificada CMMI - Vantagens
– Engª Silvia Rodrigues
[17:10] Projecto TICE.PT – Apoios Financeiros
– Engº Artur Calado
[17:20] Apresentação do Pólo TICE.PT
– Engº Vasco Lagarto
[17:30] Coffee Break
[17:50] APCER - Ferramentas de gestão no sector das Tecnologias de Informação
– Eng.º Hermano Correia
18:10] Metatheke - Implementação da ISO/IEC 20000-1 Gestão de Serviços - Case Study
– Metatheke – Engº Pedro Almeida
[18:30] Encerramento – STRONGSTEP
– Prof. Raul Vidal
40. Contacto
Strongstep - Innovation in software quality
Email: geral@strongstep.pt
Telefone: + 351 22 030 15 85
Web: www.strongstep.pt
Rua actor Ferreira da Silva, UPTEC
4200-298 Porto, Portugal