Logótipos
Pedir um orçamento
Home Recursos Blogue julho 2024

ITMS vs. QMS: o caso da integração do ISMS

09 julho 2024
Dylan Harvie, diretor de operações no terreno, explica por que razão é mais vantajoso integrar um sistema de gestão das tecnologias da informação (SGTI) com um sistema de gestão da segurança da informação (SGSI) do que com um sistema de gestão da qualidade (SGQ). Destaca a forma como este alinhamento aborda os riscos específicos das TI e melhora a qualidade do serviço e a eficiência operacional.

Porque é que um ITSMS deve ser integrado num SGSI em vez de num SGQ e quais são as vantagens?



Quando se trata de gerir serviços de TI, a integração de um Sistema de Gestão de Serviços de TI (ITSMS) com um Sistema de Gestão da Segurança da Informação (ISMS) oferece vantagens claras em relação à integração com um Sistema de Gestão da Qualidade (QMS). Este alinhamento é especialmente crucial dadas as exigências e riscos únicos associados à gestão de serviços de TI.

Adaptação às normas ISO

Tal como acontece com a maioria das normas que auditamos no NQA, a ISO 20000 partilha uma estrutura de gestão de alto nível com várias normas ISO, incluindo as ISO 9001, 14001, 45001, 22301, 27001, 50001 e 55001, tal como se pode ver na ferramenta de comparação do Anexo SL do NQA.

A estrutura da ISO 20000, em particular a cláusula 8, sobrepõe-se significativamente à ISO 27001 e aos seus controlos do anexo A.

Os principais domínios de sobreposição são os seguintes:

  • Política de segurança da informação: Deve ter em conta as obrigações no âmbito de outras políticas aplicadas, as normas e legislação adequadas, os requisitos contratuais e a relevância da segurança da informação nos serviços prestados ou geridos.

  • Gestão do risco: Devem ser identificados controlos adequados para atenuar os riscos de segurança da informação.

  • Gestão de incidentes: Inclui pedidos de serviço e gestão de problemas, alargando-se a incidentes de segurança da informação.

  • Gestão de activos: activos utilizados para fornecer o serviço gerido, em particular quando se trata de um elemento configurado (embora os activos de informação não sejam explicitamente mencionados, as melhores práticas sugerem a sua inclusão).

  • Gestão das relações comerciais e dos níveis de serviço: Envolvendo fornecedores internos e externos e clientes que actuam como fornecedores.

  • Gestão da capacidade: garantir que os níveis de serviço são mantidos de acordo com a procura atual e prevista.

  • Gestão da mudança: planear e gerir a mudança na prestação de serviços.

  • Referências SDLC (ou A.8 do Anexo A da ISO 27001): Inclui o planeamento de serviços novos ou alterados, a conceção, a construção, a transição, a libertação e a gestão da implantação.

  • Continuidade do serviço: Gestão da disponibilidade e continuidade do serviço em caso de interrupções significativas do serviço.

Embora a ISO 20000 e a ISO 27001 partilhem muitos elementos obrigatórios (contidos nas cláusulas 4 a 10), a ISO 20000 também inclui requisitos únicos, tais como

  • Gestão dos conhecimentos (7.6): Conservar os conhecimentos organizacionais e manter a especialização para apoiar as operações e a prestação de serviços em curso.

  • Análise da gestão (9.3): Inclui requisitos adicionais centrados na prestação de serviços, no desempenho e na previsão de recursos.

  • Relatórios de serviço (9.4): Determina os requisitos para a elaboração de relatórios sobre o desempenho e a eficácia do sistema de gestão e da prestação de serviços. O relatório deve incluir as decisões tomadas com base nas conclusões derivadas da identificação de tendências e quaisquer acções de resultado devem ser comunicadas às partes relevantes. Também especifica que os indicadores recolhidos neste relatório são compostos por todos os mecanismos de comunicação referidos no resto da norma. 

  • Carteira de serviços: abrange a prestação e o planeamento de serviços, bem como o controlo das partes envolvidas no ciclo de vida do serviço.

  • Gestão da oferta e da procura: Inclui a orçamentação e a contabilidade dos serviços geridos, a gestão da procura e da capacidade.

  • Garantia do serviço: gere a procura dos clientes, os requisitos de disponibilidade e assegura a continuidade do serviço, à semelhança da continuidade das actividades.

  • Gestão da disponibilidade: Integrada na garantia do serviço, tem em conta os riscos relacionados com a disponibilidade do serviço, a continuidade e a segurança da informação, com base em requisitos e objectivos acordados.

  • Catalogação de serviços: Requer um catálogo atualizado de serviços, incluindo os que estão a ser desenvolvidos e os que se prevê venham a ser removidos ou modificados. Pode também incluir uma coleção de serviços agrupados num serviço escalonado. 

  • Gestão da configuração: Cada serviço deve classificar as informações configuradas (IC) por criticidade, tipo, estado e relação com outros serviços. As IC devem ser identificáveis de forma única e auditáveis individualmente para garantir a integridade (neste caso, a rastreabilidade é relevante).

Benefícios da certificação ISO 20000: quem beneficia?

A certificação de acordo com esta norma beneficiaria muito as empresas de todas as dimensões que prestam serviços de TI geridos, serviços de assistência informática, centros de atendimento telefónico e operações semelhantes. Muitas dessas organizações aplicam várias estruturas de gestão de serviços de TI, como ITIL, COBIT ou Microsoft Operations. Estes quadros alinham os serviços de TI de uma empresa com as suas necessidades comerciais e fornecem um conjunto de melhores práticas e metodologias para alcançar este alinhamento.
Ao adotar uma abordagem holística do ciclo de vida dos serviços de TI, estas estruturas ajudam as organizações a fornecer serviços de TI flexíveis e integrados. Empregam os métodos mais eficazes para melhorar a eficiência operacional, conseguir uma prestação de serviços consistente e de alta qualidade, melhorar os serviços de TI e reduzir os custos globais.

Atualmente, existem poucas opções disponíveis para as empresas se certificarem com base na estrutura escolhida. A ISO 20000 fornece um meio para as organizações verificarem e certificarem a sua estrutura de gestão de serviços de TI, aumentando assim a sua atratividade como fornecedor de serviços e impulsionando o seu valor de mercado e potencial para ganhar mais trabalho e contratos.

A ISO 20000 inclui a cláusula 8 mais abrangente de todas as normas e é notavelmente mais específica nos seus requisitos, especialmente quando comparada com a ISO 9001. 

A norma ISO 9001 parece muitas vezes imprecisa nas suas orientações operacionais, uma vez que deve ser adaptada aos diversos contextos das organizações de diferentes sectores. As operações descritas na ISO 20000 fornecem essencialmente uma auditoria de qualidade especificamente adaptada aos prestadores de serviços de TI. Por conseguinte, pode ser mais vantajoso para as empresas de TI obter a certificação ISO 20000 do que a ISO 9001, uma vez que esta última omite alguns elementos e processos críticos necessários para auditar as organizações de TI.

Considerações finais: Dar prioridade à ISO 20000

Para maximizar os benefícios da ISO 20000, a perceção que a indústria tem da norma precisa de evoluir. As empresas devem começar a estipular a certificação ISO 20000 como um requisito, em vez da ISO 9001, quando subcontratam actividades de TI, garantindo a mais elevada qualidade de serviço em toda a cadeia de fornecimento.

Em suma, obter a certificação ISO 20000 em vez da ISO 9001 seria vantajoso para as organizações envolvidas em actividades de serviços de TI, bem como para o sector em geral. Esta abordagem garante que as organizações de TI recebem uma abordagem adaptada e específica da gestão da qualidade das TI, em vez de uma abordagem genérica.


Pronto para dar o primeiro passo? Contacte o NQA.



Deseja saber mais sobre a certificação ISO? Consulte o nosso catálogo.