A perspetiva da Cyber Academy
A certificação ISO inicial divide-se em fase 1 (revisão da documentação e prontidão, normalmente 1 a 2 dias) e fase 2 (auditoria de evidências operacionais, 2 a 5 dias). A fase 1 confirma que o sistema de gestão existe no papel; a fase 2 verifica se funciona na prática. A maioria das auditorias de fase 2 "reprovadas" resulta de problemas da fase 1 que ninguém corrigiu no intervalo.
Uma certificação acreditada face a uma norma de sistema de gestão como a ISO/IEC 27001 não é uma única visita. O organismo de certificação realiza uma auditoria inicial em duas etapas distintas, que respondem a duas perguntas diferentes. A etapa 1 pergunta se o sistema de gestão existe e está pronto para ser auditado. A etapa 2 pergunta se ele realmente funciona na prática. Tratar ambas como um único exame contínuo é a forma mais comum de as equipas serem apanhadas de surpresa, porque as duas etapas recompensam tipos de preparação completamente distintos.
O que a etapa 1 realmente verifica
A etapa 1 é uma análise do estado de preparação e da documentação, normalmente a mais curta das duas. O auditor lê os seus documentos essenciais, confirma que o âmbito é coerente e procura os artefactos obrigatórios exigidos pela norma. Para um SGSI isso significa a Declaração de Aplicabilidade, o processo de apreciação e tratamento do risco, a política de segurança, os registos de auditoria interna e de revisão pela gestão, e a evidência de que o sistema está em funcionamento há tempo suficiente para produzir dados. O entregável não é um certificado. É um resumo escrito das constatações e de quaisquer áreas de preocupação que se espera que encerre antes da etapa 2.
Na prática, a etapa 1 é o seu sistema de alerta precoce. O auditor assinala as lacunas enquanto ainda há tempo para as corrigir. As equipas que leem essas constatações como uma lista de tarefas chegam preparadas à etapa 2. As equipas que as arquivam e seguem em frente são as que depois têm dificuldades.
O que a etapa 2 verifica
A etapa 2 é a auditoria das evidências operacionais e costuma ser mais longa. O auditor passa do «a política diz que» para «mostre-me que aconteceu». Recolhe amostras de registos, entrevista as pessoas que operam os controlos, segue os incidentes e as revisões de acessos até ao encerramento, e testa se o processo documentado corresponde à realidade diária. É aqui que a Declaração de Aplicabilidade é cruzada com evidências operacionais reais, e onde os controlos fracos que pareciam corretos no papel se desfazem.
Etapa 1 e etapa 2 num relance
| Dimensão | Etapa 1 | Etapa 2 |
|---|---|---|
| Pergunta central | O sistema existe e está pronto? | O sistema opera de facto? |
| Entrada principal | Documentação e análise da conceção | Registos operacionais, entrevistas, amostragem |
| Duração típica | Mais curta (focada na documentação) | Mais longa (focada na evidência) |
| Resultado principal | Constatações e áreas de preocupação a encerrar | Não conformidades e decisão de certificação |
| O que recompensa | Documentação completa e coerente | Disciplina e evidência rastreável ao longo do tempo |
O que os profissionais fazem entre as duas visitas
A janela entre a etapa 1 e a etapa 2 é o verdadeiro trabalho. As constatações da etapa 1 ainda não são não conformidades, pelo que não existe um plano formal de ações corretivas, mas são o auditor a dizer-lhe exatamente onde a etapa 2 vai sondar. As equipas sólidas convertem cada observação da etapa 1 num responsável, numa ação e num prazo, e depois asseguram-se de que a evidência que a encerra reside nos registos de que o auditor recolherá amostras. Mantêm também o sistema a funcionar normalmente em vez de encenarem uma limpeza pontual, porque a etapa 2 procura uma operação sustentada, não um instantâneo arrumado.
Quando a etapa 2 efetivamente levanta uma não conformidade, a resposta é a mesma disciplina que uma auditoria de acompanhamento espera: classificá-la honestamente como maior ou menor, planear a ação corretiva com um prazo, e abordar a causa raiz em vez do sintoma. A decisão de certificação segue-se assim que o organismo de certificação fica satisfeito de que essas ações se mantêm.
Frequently asked questions
01É possível reprovar na etapa 1 de uma auditoria ISO?
A etapa 1 normalmente não produz uma aprovação ou reprovação da forma como a etapa 2 produz. Em vez disso, produz constatações e áreas de preocupação. Se forem encontradas lacunas graves, o auditor pode adiar a etapa 2 até serem resolvidas, pelo que as questões não resolvidas da etapa 1 adiam efetivamente a certificação.
02Quanto tempo decorre entre a etapa 1 e a etapa 2?
O intervalo é definido pelo organismo de certificação e destina-se a dar-lhe tempo suficiente para encerrar as constatações da etapa 1, mas não tanto que o sistema se desvie. Use toda a janela para agir sobre as constatações em vez de esperar até mesmo antes da segunda visita.
03Qual é a diferença entre a etapa 1 e a etapa 2?
A etapa 1 é uma análise da documentação e do estado de preparação que confirma que o sistema de gestão existe no papel. A etapa 2 é uma auditoria operacional que verifica que o sistema realmente funciona, usando registos, entrevistas e amostragem.
04As não conformidades provêm apenas da etapa 2?
As não conformidades formais que afetam a decisão de certificação são normalmente levantadas na etapa 2. A etapa 1 produz constatações e áreas de preocupação, que são avisos a corrigir antes da etapa 2. Ignorá-las é como os problemas da etapa 1 se transformam em não conformidades da etapa 2.