Implementação e Certificação de um SGSI ISO 27001. Parte 3 - Certificação
Preparação para a auditoria de certificação
A auditoria interna constitui o principal elemento de preparação, mas não é o único. É importante preparar os colaboradores e sobretudo os responsáveis para o momento da auditoria, como por exemplo para a necessidade de dar respostas objetivas às perguntas dos auditores, fornecendo evidências sempre que solicitadas.
Auditoria de certificação
A auditoria de certificação é realizada pelas entidades certificadores, que devem estar acreditadas para a certificação pretendida. A auditoria designada de concessão decorre em 2 fases, a primeira fase permitirá aos auditores conhecer a organização e os documentos principais do sistema de gestão implementado, por exemplo:
Politica, Objetivos, Declaração de Aplicabilidade, Resultados de auditoria interna, Revisão do Sistema
Na segunda fase da auditoria de concessão é avaliado o grau de conformidade através de entrevistas aos responsáveis e colaboradores e da verificação por amostragem de evidências de implementação das políticas, processos e procedimentos definidos. Como resultado final desta auditoria será entregue um relatório, que pode incluir nas constatações não conformidades encontradas durante o processo de auditoria. Quando ocorre esta situação é necessário apresentar um plano de ações corretivas. A resposta da entidade certificadora, que será a certificação ou marcação de nova auditoria, dependerá das não conformidades registadas e do plano de ações corretivas apresentado.
Manutenção do certificado
O certificado obtido é válido por 3 anos, estando previstas auditorias anuais, normalmente uma no final do primeiro ano de certificação e novamente no final do 2º ano. Algumas entidades certificadoras podem ter um esquema de acompanhamento diferente.
No 3º ano e antes do certificado caducar deve ser pedida uma auditoria de renovação, iniciando-se novo ciclo de 3 anos com acompanhamentos anuais.
