1. Normas, padrões e certificações de qualidade em TI
Introdução a ISO 9001, 20000
e 27001
Professor Fernando Palma
(fernando.palma@gmail.com)
(71) 8837-0007
http://portalgsti.com.br
Por Fernando Palma
1
Normas, padrões e certificações de qualidade em TI UNIJORGE
2. Agenda
● Introdução
● ISO 9000
● ISO 20000
● ISO 27001 / 27002
● Implementação
2
Normas, padrões e certificações de qualidade em TI UNIJORGE
3. Introdução
ISO – “International Organization for Standardization” Organizaçao
Internacional de Padronização
Sediada na Suíça.
O propósito da ISO é desenvolver e promover normas que possam ser
utilizadas igualmente por todos os países do mundo.
Cerca de 157 países integram a organização ISO
Todos membros são entidades normativas de âmbito nacional.
No Brasil: ABNT - Associação de normas Técnicas
3
Normas, padrões e certificações de qualidade em TI UNIJORGE
4. Introdução
4
Normas, padrões e certificações de qualidade em TI UNIJORGE
5. Agenda
● Introdução
● ISO 9000
● ISO 20000
● ISO 27001 / 27002
● Implementação
5
Normas, padrões e certificações de qualidade em TI UNIJORGE
6. ISO 9000
As normas ISO série 9000 são constituídas por 3 normas destinadas a Gestão da
Qualidade e Qualidade Assegurada a produtos entregues e serviços prestados
ISO 9000 -Terminologia e vocabulário
ISO 9001- Especificação de um sistema para a gestão da qualidade
ISO 9004- Guia metodológico para dar suporte para a implementação
O objetivo destas normas é o de complementar os requisitos dos produtos e
serviços prestados empresa que pretende implementar o seu padrão de
pela
qualidade e tornar-se mais competitiva
Sistema da normalização ISO 9000 refere-se a quais elementos para a Gestão da
Qualidade devem ser implementados e não a técnicas e métodos para alcançá-los.
São Normas Genéricas que podem ser utilizadas para qualquer mercado.
No Brasil, as a Série ISO 9000 é traduzida pela ABNT.
6
Normas, padrões e certificações de qualidade em TI UNIJORGE
7. ISO 9000: 2005 Fundamentos e Vocabulário
Os 08 Princípios da Gestão do Sistema de Qualidade
Foco no cliente
Liderança sobre objetivos comuns
Envolvimento de todos
Considerar o impacto de decisões em outros processos
Abordagem de processos
Melhoria Contínua
Decisão baseada em fatos (dados)
Benefícios mútuos na relação com fornecedores
(parceria)
7
Normas, padrões e certificações de qualidade em TI UNIJORGE
8. ISO 9000: 2005 Fundamentos e Vocabulário
Qualidade: grau no qual um conjunto de características inerente satisfaz a requisitos.
Requisito: necessidade ou expectativa que é expressa geralmente de forma implícita ou
obrigatória.
Satisfação do cliente: percepção do cliente do grau no qual seus requisitos foram atendidos.
Sistema de gestão: o sistema para estabelecer políticas e objetivos, e como atingir estes
objetivos.
Sistema de gestão da qualidade: sistema de gestão para dirigir e controlar uma organização,
no que diz respeito a qualidade.
Política da qualidade: intenções e diretrizes de uma organização, relativas à qualidade,
formalmente expressas pela alta direção.
Objetivo da qualidade: aquilo que é buscado ou almejado.
8
Normas, padrões e certificações de qualidade em TI UNIJORGE
9. ISO 9000: 2005 Fundamentos e Vocabulário
Gestão: atividades coordenadas para dirigir e controlar uma organização.
Alta Direção: pessoa ou grupo de pessoas que dirige e controla uma
organização no mais alto nível.
Gestão da qualidade: atividades coordenadas para dirigir e controlar uma
organização no que diz respeito à qualidade.
Planejamento da qualidade: parte da gestão da qualidade focada no
estabelecimento dos objetivos da qualidade e que especifica os recursos e
processos operacionais necessários para atender a estes objetivos.
Controle da qualidade: parte da gestão da qualidade focada no atendimento
dos requisitos da qualidade.
Garantia da qualidade: parte da gestão da qualidade focada em prover
confiança de que os requisitos da qualidade serão atendidos.
Melhoria contínua: atividade recorrente para aumentar a capacidade em
atender os requisitos.
9
Normas, padrões e certificações de qualidade em TI UNIJORGE
10. ISO 9001 – Apresentação da Norma
Estrutura da Norma
10
Normas, padrões e certificações de qualidade em TI UNIJORGE
11. ISO 9001 – Apresentação da Norma
0 - Introdução
1 - Escopo
2 - Referência Normativa
3 - Termos e Definições
4 - Sistema de Gestão da Qualidade
5 - Responsabilidade da Direção
6 - Gestão de Recursos
7 - Realização do Produto
8 - Medição, Análise e Melhoria
11
Normas, padrões e certificações de qualidade em TI UNIJORGE
12. ISO 9001 – Apresentação da Norma
0 – Introdução
0.1.Generalidade
- Influências do SGQ
0.2.Abordagem de Processo
0.3.Relação com a ISO 9004
0.4.Compatibilidade com outros sistemas de gestão
12
Normas, padrões e certificações de qualidade em TI UNIJORGE
13. ISO 9001 – Apresentação da Norma
1 – Escopo (objetivos da Norma)
1.1.Generalidades
1.2.Aplicação (qualquer emrpesa, qualquer
tamanho, qualquer produto/serviço)
2 – Referência Normativa
NBR ISO 9000:2005 – Ultima revisão da Norma
13
Normas, padrões e certificações de qualidade em TI UNIJORGE
14. ISO 9001 – Apresentação da Norma
3 – Termos e Definições
Para efeitos da ISO 9001 aplicam-se os termos e
definições da ISO 9000.
4 – Sistema de Gestão da Qualidade
4.1.Requisitos Iniciais
- Critérios e métodos de execução
- Como monitorar, medir
- Como melhorar continuamente
14
Normas, padrões e certificações de qualidade em TI UNIJORGE
15. ISO 9001 – Apresentação da Norma
4 – Sistema de Gestão da Qualidade
4.2. Requisitos da documentação
4.2.1. Gereralidades
O que deve conter na documentação do SGQ
Política e objetivos Procedimentos e
Manual do SGQ
para a qualidade registros (exigidos
pela norma)
Outros documentos e registros documentados
necessários, determinados pela
organização
15
Normas, padrões e certificações de qualidade em TI UNIJORGE
16. ISO 9001 – Apresentação da Norma
4 – Sistema de Gestão da Qualidade
4.2.2 Manual da Qualidade
A organização deve estabelecer e manter um Manual
da Qualidade que inclua:
Identificação do escopo do SGQ (abrangência do SGQ
na organização)
Referência aos procedimentos documentados
Descrição dos processos e suas interações
16
Normas, padrões e certificações de qualidade em TI UNIJORGE
17. ISO 9001 – Apresentação da Norma
4 – Sistema de Gestão da Qualidade
4.2.3 Controle de documentos
Deve existir um procedimento documentado para:
Aprovar documentos antes do uso
Analisar, atualizar e re-aprovar quando necessário
Identificar cada documento
Identificar alterações e revisões
Disponibilicar os documentos
17
Normas, padrões e certificações de qualidade em TI UNIJORGE
18. ISO 9001 – Apresentação da Norma
4 – Sistema de Gestão da Qualidade
4.2.4 Controle de registros
Registros estabelecidos para prover evidência do SGQ
devem ser controlados, e um procedimento
documentado deve definir:
Como são identificados, protegidos, armazenados,
recuperados, retenção e descarte.
Exemplo de registro: formulário de avaliação de indice de satisfação
do cliente.
18
Normas, padrões e certificações de qualidade em TI UNIJORGE
19. ISO 9001 – Apresentação da Norma
5 – Responsabilidades da Direção
A alta direção deve fornecer evidência do seu comprometimento com o
desenvolvimento e com a implementação do SGQ e com a melhoria contínua
de sua eficácia, mediante:
Comunicar à organização a importância de atender os requisitos dos clientes,
regulamentares e estatutários
Estabelecer a política da qualidade
Garantir o estabelecimento dos objetivos da qualidade
Conduzir análises críticas e garantir a disponibilidade de recursos
A direção deve eleger um representante
19
Normas, padrões e certificações de qualidade em TI UNIJORGE
20. ISO 9001 – Apresentação da Norma
6 – Gestão de recursos
A organização deve prover recursos para implementar e manter o SGQ,
melhorando continuamente sua eficácia e aumentando a satisfação
dos clientes mediante o atendimento de seus requisitos.
Envolve:
Recursos Humanos
Treinamentos
Infra-estrutura
Conscientização
Garantia de que recursos humanos possuem habilidades e
experiências mínimas
20
Normas, padrões e certificações de qualidade em TI UNIJORGE
21. ISO 9001 – Apresentação da Norma
7 – Realização do Produto
7.1 - Planejamento para realização do produto
7.2.1. Determinação dos requisitos
7.2.2. Análise crítica dos requisitos
7.2.3. Comunicação com o cliente
7.3.Controle do Projeto de Desenvolvimento
7.4. Aquisição
7.5. Produção e fornecimento do serviço (construção, tarnsição,
validação, pripriedade do cliente, entre outros)
7.6. Controle de equipamentos de medição e monitoramento
21
Normas, padrões e certificações de qualidade em TI UNIJORGE
22. ISO 9001 – Apresentação da Norma
8 – Medição, análise e melhoria
A organização deve planejar e implementar processos de
monitoramento, medição, análise e melhoria para:
Demonstrar a conformidade aos requisitos do produto
Assegurar a conformidade do SGQ
Melhorar continuamente a eficácia do SGQ
22
Normas, padrões e certificações de qualidade em TI UNIJORGE
23. Verdadeiro ou Falso?
1. ( ) As normas ISO série 9000 são constituídas por 4 normas
2. ( ) A ISO 20.000 define requisitos para um sistema de gestão
de Serviços da Tecnologia da Informação
3. ( ) Um dos oito principios da Gestão do Sistema de
Qualidade é o Foco no Cliente
4. ( ) Entre os profissionais que cuidam do controle e aplicação
do SGQ, deve existir um representante da direção
5. ( ) Determinação dos requisitos, Análise crítica dos
requisitos e Comunicação com o cliente são intens da
clasula da norma “6- Gestão dos recursos”.
23
Normas, padrões e certificações de qualidade em TI UNIJORGE
24. Verdadeiro ou Falso?
1. ( F ) As normas ISO série 9000 são constituídas por 4
normas. São 3 normas
2. ( V ) A ISO 20.000 define requisitos para um sistema de
gestão de Serviços da Tecnologia da Informação
3. ( V ) Um dos oito principios da Gestão do Sistema de
Qualidade é o Foco no Cliente
4. ( V ) Entre os profissionais que cuidam do controle e
aplicação do SGQ, deve existir um representante da direção
5. ( F ) Determinação dos requisitos, Análise crítica dos
requisitos e Comunicação com o cliente são intens da
clasula da norma “6- Gestão dos recursos”. Perterncem a
cláusula “7-realização do produto”
24
Normas, padrões e certificações de qualidade em TI UNIJORGE
25. Agenda
● Introdução
● ISO 9000
● ISO 20000
● ISO 27001 / 27002
● Implementação
25
Normas, padrões e certificações de qualidade em TI UNIJORGE
26. ISO 20000
Promove a adoção de um processo integrado para entregar serviços de TI que
satisfaçam os requisitos do negócio e do cliente
Introduz uma cultura de serviços
É baseada em processos
Ajuda as organizações a gerar receita ou a ter um custo efetivo via um
gerenciamento de serviço profissional
Ajuda os provedores de serviços a determinar uma conformidade com as
melhores práticas.
Fornece suporte para provedores de Tecnologia que querem elevar seu nível de
maturidade para provedor de serviço e parceiro estratégico
Melhora a confiabilidade e disponibilidade dos sistemas
26
Normas, padrões e certificações de qualidade em TI UNIJORGE
27. ISO 20000 - Processos
27
Normas, padrões e certificações de qualidade em TI UNIJORGE
28. ISO 20000 - Considerações
A norma apresenta ao todo 217 requisitos. Para obter a certificação, a empresa
deve cumprir todos.
A certificação não é atribuida a produtos ou serviços da empresa, mas a
organização dos seus processos internos de Tecnologia da Informação
A organização deve definir para qual escopo irá obter a certificação. Não é
necessário que todos os serviços de TI sejam inclusos no escopo dos processos que
serão certificados.
A norma é dividida em duas partes:
Parte 01 – Especificação para o gerenciamento de serviços de TI (contém
todos os requisitos)
Parte 02 - Código de Prática para o Gerenciamento de serviços de TI (auxilia
e orienta as organizações a se preparem para a certificação)
28
Normas, padrões e certificações de qualidade em TI UNIJORGE
29. ISO 20000 - Relacionamentos
ISO 20000 ISO 27001
ISO 9001
29
Normas, padrões e certificações de qualidade em TI UNIJORGE
30. ISO 20000 – Apresentação da Norma
• Prefácio
• Introdução
1. Escopo
2. Termos e definições
3. Requisitos para um sistema de gerenciamento
4. Planejando e Implementando um gerenciamento de serviço
5. Planejando e implementando serviços novos ou alterados
6. Processos de Entrega de serviço
7. Processos de Relacionamento
8. Processos de Resolução
9. Processos de controle
10. Processo de Liberação
• Bibliografia
30
Normas, padrões e certificações de qualidade em TI UNIJORGE
31. Verdadeiro ou Falso?
1. ( ) A Norma da ISO 2000 possui 217 requisitos, dos quais
apenas 185 são obrigatórios
2. ( ) A Norma da ISO 20000 é mais abrangente do que a
Norma ISO 9001.
31
Normas, padrões e certificações de qualidade em TI UNIJORGE
32. Verdadeiro ou Falso?
1. ( F ) A Norma da ISO 2000 possui 217 requisitos, dos quais
apenas 185 são obrigatórios todos são obrigatórios
2. ( F ) A Norma da ISO 20000 é mais abrangente do que a
Norma ISO 9001. A Norma ISO 20000 é específica para
certificar processos relacionados a Gestão da Tecnologia da
Informação. Portanto, pode ser considerada menos
abrangente.
32
Normas, padrões e certificações de qualidade em TI UNIJORGE
33. Agenda
● Introdução
● ISO 9000
● ISO 20000
● ISO 27001 / 27002
● Implementação
33
Normas, padrões e certificações de qualidade em TI UNIJORGE
34. ISO 27001
Prove um modelo para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de
Gestão de Segurança da Informação – SGSI.
O sistema a ser implementado deve depender dos objetivos,
requisitos de segurança, processos empregados e estrutura da
organização.
O escopo da Norma náo é distribuido em processos, como a ISO
20.000. Em vez disso, a norma define requisitos a serem auditados.
34
Normas, padrões e certificações de qualidade em TI UNIJORGE
35. ISO 27001 – apresentação da norma
0 – Introdução
1 – Objetivo
2 – Referência normativa
3 – Termos e definições
4 – Sistema de gestão de segurança da informação
5 – Responsabilidade da direção
6 – Auditorias internas do SGSI
7 – Análise crítica do SGSI pela direção
8 – Melhoria do SGSI
35
Normas, padrões e certificações de qualidade em TI UNIJORGE
36. ISO 27002
Códigos de Prática para a gestão da Segurança da Informação
Consiste em 11 Capítulos com 39 Objetivos de Controle e 133
controles
Baseada nas melhores práticas para a segurança da Informação
36
Normas, padrões e certificações de qualidade em TI UNIJORGE
37. Verdadeiro ou Falso?
1. ( ) A Norma ISO 27002 prove um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter
e melhorar um Sistema de Gestão de Segurança da
Informação – SGSI.
37
Normas, padrões e certificações de qualidade em TI UNIJORGE
38. Verdadeiro ou Falso?
1. ( F ) A Norma ISO 27002 prove um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter
e melhorar um Sistema de Gestão de Segurança da
Informação – SGSI. Este é o objetivo da Norma ISO 27001
38
Normas, padrões e certificações de qualidade em TI UNIJORGE
39. Agenda
● Introdução
● ISO 9000
● ISO 20000
● ISO 27001 / 27002
● Implementação
39
Normas, padrões e certificações de qualidade em TI UNIJORGE
40. Implementação
Auditoria de
Certificação
Execução
Planejamento
Iniciação
40
Normas, padrões e certificações de qualidade em TI UNIJORGE
41. Implementação - iniciação
A fase inicial do projeto é normalmente realizada pela alta administração.
Deve ser determinado quem será o coordenador do projeto
É realizada uma avaliação da situação atual
O coordenador do projeto deve ser um profissional que tenha trânsito
dentro da organização e deve estar bem definida a sua autoridade e
autonomia dentro da empresa
É necessário que dentro da diretoria haja um responsável pelo projeto
É boa prática que a alta administração participe de um seminário sobre a
ISO 9001 e os sistemas de gestão da qualidade, e conheça os riscos de
implantação e seus benefícios.
As razões para a implantação do SGQ devem ficar claras para todos na
empresa.
41
Normas, padrões e certificações de qualidade em TI UNIJORGE
42. Implementação - iniciação
Perfil do coordenador
Experiência: conhecer a norma ISO 9001 e saber como montar uma estrutura
para um SGQ. Isto significa já ter trabalhado em uma implantação de
um SGQ ou em uma empresa que já tivesse um SGQ operando.
Treinamento: é importante que o profissional tenha participado de um
treinamento de auditor ISO 9001. Outros treinamentos como gestão de
projetos, ferramentas da qualidade são desejados.
Habilidades: liderança, organização, entusiasmo, capacidade de trabalho,
persistência, bom relacionamento pessoal, lógica, ser capaz de trabalhar em
equipe, ter foco.
42
Normas, padrões e certificações de qualidade em TI UNIJORGE
43. Implementação - planejamento
0 Decisão
1 Planejamento
2 Planejamento do treinamento na norma NBR ISO 9001 e
outros necessários para o SGQ
3 Mapeamento dos processos
4 Modelagem dos processos em função de adequação a ISO
9001
5 Definição da política, dos objetivos, das metas e respectivos
indicadores da qualidade
6 Elaboração dos documentos do sistema de gestão da
qualidade
7 Implementação dos requisitos planejados
8 Palestras de sensibilização em relação à gestão da qualidade
e outros treinamentos necessários para a operação
9 Ações para certificação por terceira parte
10 Realização de auditorias internas da qualidade
11 Pré auditoria
12 Auditoria de certificação
43
Normas, padrões e certificações de qualidade em TI UNIJORGE
44. Implementação - planejamento
Um cronograma deve ser elaborado e atualizado. Devem ser documentados
todos os itens de um plano de projeto tais como escopo, custos tempo, riscos,
comunicação, aquisições e quais mais forem necessárias.
44
Normas, padrões e certificações de qualidade em TI UNIJORGE
45. Implementação - execução
Treinamentos
Devem ser ministrados por grupos. Cada grupo tem uma necessidade distinta
de treinamento:
Diretoria
Comitê da qualidade
Responsáveis pelos processos
Demais profissionais
Conteúdo: ISO 9001
45
Normas, padrões e certificações de qualidade em TI UNIJORGE
46. Implementação - execução
Mapeamento e Modelagem dos processos
Critérios
Foco no objetivo e no cliente do próximo processo
Terminologia padronizada
Uso da automação sempre que possível
Integração entre os processos
Os processos devem conter indicadores mensuráveis e objetivos
Técnicas
Entrevistas
Entendimento do processo em equipe: nem sempre o lider tem a noção de
todo o processo. É comum que cada profissional tenha apenas uma visão de uma
única parte dele.
Geralmente os limites de um processo são confundidos com os limites de uma
função
46
Normas, padrões e certificações de qualidade em TI UNIJORGE
47. Implementação - execução
Mapeamento e Modelagem dos processos
Critérios
Foco no objetivo e no cliente do próximo processo
Terminologia padronizada
Uso da automação sempre que possível
Integração entre os processos
Os processos devem conter indicadores mensuráveis e objetivos
Técnicas
Entrevistas
Entendimento do processo em equipe
Descrição e Fluxograma
47
Normas, padrões e certificações de qualidade em TI UNIJORGE
48. Implementação - execução
Os 10 passos para documentar um processo
Passo 01 – Identificar os objetivos do processo
Passo 02 – Identificar as saídas do processo
Passo 03 – Identificar os clientes do processo
Passo 04 – Identificar as entradas e componentes do processo
Passo 05 – Identificar os fornecedores do processo
Passo 06 – Determinar os limites do processo
Passo 07 – Documentar o processo atual
Passo 08 – Identificar melhorias necessárias ao processo
Passo 09 – Consensar melhorias a serem aplicadas ao processo
Passo 10 – Documentar o processo revisado
* É importante também identificar os papéis envolvidos
48
Normas, padrões e certificações de qualidade em TI UNIJORGE
49. Implementação - execução
Modelagem de procesos - Problemas comuns ( durante pós
modelagem)
Falta de controle, inspeção ou monitoramento
Falta de registro ou registros sem preenchimento
Falta de procedimento ou instrução
Sobreposição de responsabilidades: 2 profissionais se sentem
responsáveis pelo processo
Responsabilidades e autoridades não definidas
Geralmente os limites de um processo são confundidos com os
limites de uma função
49
Normas, padrões e certificações de qualidade em TI UNIJORGE
50. Implementação - execução
Definição da Política de Qualidade
Deverá ser definida e documentada a política para a Qualidade, com base nos
princípios da organização, servindo como referência para o estabelecimento dos
objetivos e metas.
Dos objetivos e metas da organização iremos desdobrar os objetivos e metas para
os processos e criar indicadores que nos auxiliem no monitoramento destes
processos.
A política para a qualidade deve:
Ser apropriada ao propósito da organização
Proporcionar estrutura para estabelecimento e análise dos objetivos da qualidade
Ser comunicada e entendida por toda a organização Ser analisada criticamente
para manutenção da sua adequação
50
Normas, padrões e certificações de qualidade em TI UNIJORGE
51. Implementação - execução
Definição da Política de Qualidade
Exemplos
Fábrica de tecidos
Desenvolver artigos têxteis para moda através de novas tecnologias e melhoria
contínua da qualidade, garantindo a satisfação dos clientes.
Clínica de exames médicos
Buscar o aperfeiçoamento contínuo nos processos e na satisfação do cliente, através
do aprimoramento tecnológico e da capacitação profissional, oferecendo resultados
de exames com qualidade técnica e em tempo hábil, respeitando as necessidades
do cliente.
51
Normas, padrões e certificações de qualidade em TI UNIJORGE
52. Implementação - execução
Conscienticação e treinamentos
Palestras
Treinamento nos processos mapeados
Participaçãoo da dieração
Orientar sobre a necessidade de preencher os
Orientar sobre a importância de seguir as instruções de trabalho
Discutir e revisar as instruções de trabalho e os procedimentos – por função / por
área
Reforçar política e objetivos para a qualidade e os indicadores de desempenho
52
Normas, padrões e certificações de qualidade em TI UNIJORGE
53. Implementação - Auditoria
Auditoria Interna
Um procedimento documentado deve definir responsabilidades, requisitos
para planejamento e execução de auditorias, relato dos resultados e
manutenção dos registros
Todos os requisitos da norma devem ser auditados nos processos da
empresa em cada ciclo de auditorias internas.
Um programa de auditoria interna deve ser planejado pela equipe do
projeto.
A propria norma ISO 9001 orienta como deve ser administrada uma
auditoria interna, incluindo as ações para tratamento de não conformidades
53
Normas, padrões e certificações de qualidade em TI UNIJORGE
54. Implementação - Auditoria
Auditoria Externa (pelo orgão certificador)
A certificadora irá conhecer o sistema de gestão implantado, comparando –o
com a realidade
A certificadora deve buscar registros que comprovem as atividades descritas
nos processos
A certificadora irá solicitar um plano de ação para as não conformidades
observadas.
Normalmente a empresa terá de 15 a 30 dias para enviar o plano ação para
avaliação do auditor-líder.
Sendo certificada a empresa irá receber um certificado, normalmente em
papel, que ela poderá apresentar para seus clientes demonstrando a qualidade
de seu SGQ
54
Normas, padrões e certificações de qualidade em TI UNIJORGE
55. Fim do Módulo 01
Dúvidas?
fernando.palma@gmail.com
(71) 8837-0007
8837-
http://www.portalgsti.com.br