A conformidade dos organismos de auditoria e certificação de sistemas de gestão

A NBR ISO/IEC 17021-3 de 11/2021 – Avaliação da conformidade — Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão – Parte 3: Requisitos de competência para a auditoria e certificação de sistemas de gestão da qualidade especifica os requisitos de competência adicionais para o pessoal envolvido no processo de auditoria e certificação de sistemas de gestão da qualidade (SGQ) e complementa os requisitos existentes da NBR ISO/IEC 17021-1. Este documento é aplicável à auditoria e à certificação de um SGQ baseado na NBR ISO 9001.

Também pode ser usado para outras aplicações de SGQ.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais devem ser os requisitos do pessoal envolvido em outras funções de certificação?

Qual deve ser o conhecimento para auditoria e certificação de SGQ?

Este documento complementa a NBR ISO/IEC 17021-1. Em particular, esclarece os requisitos para a competência do pessoal envolvido no processo de certificação estabelecido na NBR ISO/IEC 17021-1:2016, Seção 7 e Anexo A. Os organismos de certificação têm a responsabilidade perante suas partes interessadas, incluindo seus clientes e os clientes das organizações cujos sistemas de gestão são certificados, para assegurar que somente aqueles auditores que demonstrarem competências pertinentes sejam autorizados a conduzir auditorias de sistema de gestão da qualidade (SGQ).

Pretende-se que todo o pessoal envolvido nas funções de certificação possua a competência genérica descrita na NBR ISO/IEC 17021-1, assim como o conhecimento específico de SGQ descrito neste documento. Os organismos de certificação precisarão identificar as competências específicas da equipe de auditoria, necessárias para o escopo de cada auditoria do SGQ.

A seleção de uma equipe de auditoria para o SGQ vai depender de vários fatores, incluindo a área técnica e processos específicos do cliente. O organismo de certificação deve definir os requisitos para cada função de certificação, como referenciado na NBR ISO/IEC 17021-1, Tabela A.1, mostrada abaixo.

Ao definir estes requisitos de competência, o organismo de certificação deve levar em conta todos os requisitos especificados na NBR ISO/IEC 17021-1, assim como os especificados nas Seções 5 e 6 deste documento que são pertinentes para as áreas técnicas do SGQ (ver NBR ISO/IEC 17021-1:2016, 7.1.2), como definido pelo organismo de certificação. O Anexo A provê um resumo do conhecimento requerido para a auditoria e certificação do SGQ.

Uma equipe de auditoria deve ser composta por auditores (e especialistas técnicos, quando necessário) com a competência coletiva para realizar a auditoria. Isto deve incluir a competência genérica descrita na NBR ISO/IEC 17021-1 e o conhecimento de SGQ descrito nessa norma.

Não é necessário que cada membro da equipe de auditoria tenha a mesma competência, todavia, a competência coletiva da equipe auditora precisa ser suficiente para alcançar os objetivos da auditoria. Cada auditor de SGQ deve ter conhecimento de: conceitos fundamentais e princípios de gestão da qualidade e suas aplicações; termos e definições relacionados à gestão da qualidade; abordagem de processo, incluindo monitoramento e medição relacionados; o papel da liderança em uma organização e seu impacto no SGQ; a aplicação da mentalidade de risco, incluindo a determinação de riscos e oportunidades; a aplicação do ciclo PDCA (plan, do, check, act); as estruturas e inter-relações de informações documentadas específicas da gestão da qualidade; as ferramentas, métodos, técnicas relacionadas à gestão da qualidade e suas aplicações.

A equipe de auditoria deve ter conhecimento do setor de negócio para determinar se uma organização determinou adequadamente: as questões externas e internas, pertinentes para seu propósito e sua direção estratégica, e que afetam a sua capacidade de alcançar o (s) resultado (s) pretendido (s) do seu SGQ; as necessidades e expectativas das partes interessadas pertinentes para o SGQ da organização, incluindo os requisitos para os produtos e serviços da organização; os limites e a aplicabilidade do SGQ para estabelecer seu escopo.

Compreende-se por setor de negócio as atividades econômicas que abrangem um amplo conjunto de áreas técnicas relacionadas. A equipe de auditoria deve ter conhecimento de: terminologia e tecnologia específica da área técnica; requisitos estatutários e regulamentares aplicáveis ao produto ou serviço específico da área técnica e os requisitos estatutários e regulamentares podem ser expressos como requisitos legais.

Os auditores devem conhecer as características de produtos, serviços e processos específicos da área técnica; a infraestrutura e o ambiente para a operação de processos que afetem a qualidade do produto e do serviço; a provisão de processos, produtos e serviços providos externamente; o impacto do tipo, porte, governança, estrutura, funções e relacionamentos da organização no desenvolvimento e implementação do SGQ, suas informações documentadas e atividades de certificação.

Como desenvolver uma estratégia para o facility management

A NBR ISO 41014 de 10/2021 – Facility management – Desenvolvimento de uma estratégia para facility managementfornece as diretrizes para o desenvolvimento de uma estratégia para o facility management (FM) quando a organização pretende assegurar o alinhamento entre os requisitos de FM e os objetivos, necessidades e restrições do negócio principal da organização demandante; deseja melhorar a utilidade e os benefícios fornecidos pelas instalações para o aperfeiçoamento da organização demandante e de seu negócio principal; visa atender às necessidades das partes interessadas e provisões aplicáveis de maneira consistente; visa ser sustentável em um ambiente globalmente competitivo.

Confira algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual deve ser a estratégia do negócio?

Qual deve ser a base para medir o sucesso?

Qual é a relação entre atividades principais e não principais?

Quais devem ser os alvos para melhoria?

Por que o risco pode ser considerado como ameaça e oportunidade?

O FM integra múltiplas disciplinas para ter uma influência sobre a eficiência e a produtividade das economias de sociedades, comunidades e organizações, bem como a maneira pela qual os indivíduos interagem com o ambiente construído. O FM afeta a segurança do trabalho, o bem-estar e a qualidade de vida de grande parte das sociedades e da população em todo o mundo por meio dos serviços que gerencia e entrega (ver NBR ISO 41001).

O FM é definido como uma função organizacional que integra pessoas, local e processo dentro do ambiente construído com o propósito de melhorar a qualidade de vida das pessoas e a produtividade do negócio principal (ver NBR ISO 41011:2019, 3.1.1). Ele é de importância estratégica porque apoia diretamente a estratégia do negócio principal da organização demandante, permitindo que seus objetivos e planos sejam realizados por meio da gestão das instalações que sejam seguras, confiáveis, eficientes, rentáveis e sustentáveis.

Uma organização demandante é uma entidade que tem uma necessidade e autoridade de incorrer em custos para que tenham os requisitos atendidos (ver NBR ISO 41011:2019, 3.3.1.1). Por exemplo, o proprietário de uma instalação, operador, operador-proprietário, locatário ou, em alguns casos, um agente de gestão que atua em nome de um proprietário.

Este documento se refere à organização demandante e à organização responsável por FM e serviços de facility. Uma distinção é necessária devido à natureza variável em que o FM é organizado e onde os serviços de facility são entregues por meio das pessoas dentro da organização demandante, por meio de prestadores de serviços externos ou uma combinação dos dois.

As orientações neste documento se aplicam principalmente à organização responsável por FM. Em situações onde não exista atualmente nenhuma organização formal para esta finalidade, convém que uma pessoa (ou órgão) seja indicada(o) para desempenhar uma função ativa no desenvolvimento da estratégia de FM. A NBR ISO 41001 faz referência a uma estratégia para FM e estabelece isto no contexto de um sistema de gestão de facility management (FM).

Os benefícios de desenvolvimento de uma estratégia para FM incluem: melhor entendimento dos objetivos, necessidades e restrições da organização demandante e uma abordagem apropriada ao FM e serviços de facility; probabilidade reduzida de uma desconexão entre os objetivos e as necessidades da organização demandante e os meios para apoiá-los; alinhamento entre os requisitos de FM e as atividades do negócio principal da organização demandante; melhor eficiência na gestão de FM em geral e na entrega de serviços de facility em particular; práticas de gestão consistentes a partir de uma metodologia para o desenvolvimento de uma estratégia para FM que seja transparente, reproduzível e mensurável; uma base inicial para medir a melhoria na efetividade operacional de FM e sua contribuição para o negócio principal da organização demandante; contribuição para a rentabilidade da organização demandante e, quando aplicável, sua competitividade; contribuição para a sustentabilidade por meio do uso mais eficiente de recursos escassos.

Esse documento é destinado a preencher uma lacuna no fornecimento atual de orientações para permitir que a abordagem mais apropriada de FM e serviços de facility seja determinada. O objetivo é promover a conscientização, o desenvolvimento de competências e o conhecimento pelo fornecimento de recomendação estratégica nas decisões que afetam a gestão das instalações e/ou a entrega de serviços de facility.

Especificamente, esse documento é aplicável a qualquer organização para FM que deseja: utilizar uma metodologia para desenvolver uma estratégia de FM; assegurar-se do alinhamento da estratégia de FM com a estratégia do negócio principal da organização demandante; demonstrar conformidade com este documento: realizando uma autodeterminação e autodeclaração; buscando confirmação de sua conformidade pelas partes que tenham interesse na organização de FM; e buscando confirmação de sua autodeclaração por uma parte externa à organização de FM.

Este documento fornece orientação para programas de auditoria interna ou externa. Os usuários deste documento podem comparar práticas para o desenvolvimento de uma estratégia para seu FM com um referencial internacionalmente reconhecido, fornecendo princípios sólidos para a gestão efetiva destas práticas.

Este documento provê uma base comum para o entendimento dos fatores que convém que a organização de FM considere quando desenvolver uma estratégia para FM. Este documento promove uma metodologia para auxiliar a organização de FM em determinar a abordagem mais apropriada e os arranjos para o desenvolvimento de uma estratégia como uma base para a subsequente implementação de requisitos táticos e operacionais de FM para apoiar o negócio principal da organização demandante, principalmente suas atividades de negócios.

Este documento enfatiza as decisões, atividades, informações, dados e partes interessadas que têm de ser coordenados em um processo gerenciável para o desenvolvimento de uma estratégia para FM e os estágios dentro desta estratégia, incluindo: entender a organização demandante: contexto, governança, gestão de riscos e alinhamento estratégico (ver Seção 4); desenvolver os requisitos de FM: interesse em instalações, maturidade de FM, partes interessadas, prioridades, requisitos funcionais, serviços, opções de entrega e fornecimento (ver Seção 5); formular a estratégia de FM: compilando a estratégia, seu formato e conteúdo, requisitos orçamentários, compras, comunicação, feedback e implementação (ver Seção 6); gerenciar o desempenho: monitoramento e controle, indicadores de desempenho, medição, revisão, ações corretivas e lições aprendidas (ver Seção 7); melhorar os resultados: aplicando as lições aprendidas, reavaliando saídas (consequências) e alvo, atualizando a estratégia e a política (ver Seção 8).

Quando for adotada uma abordagem do processo para o desenvolvimento de uma estratégia, pode ser útil considerar três fases: análise, solução e implementação. Estas fases são abrangidas nas Seção 4, Seção 5 e Seções 6 a 8, respectivamente. A metodologia é destinada para ser escalável, significando que as provisões deste documento são aplicáveis a qualquer organização de FM em maior ou menor grau.

Como tal, a organização de FM pode determinar quais das provisões se aplicam total ou parcialmente ao desenvolvimento da estratégia de FM alinhadas com os objetivos, necessidades e restrições do negócio principal da organização demandante e o tipo, tamanho, complexidade, condição e localização geográfica de suas instalações. De maneira similar, a responsabilidade pela análise, solução e implementação da estratégia de FM pode variar dentro das organizações, dependendo de sua estrutura e escopo contratual.

Uma matriz de atribuição de responsabilidade pode ser utilizada para alocar funções dentro do negócio principal, na organização de FM e prestadores de serviços, como apropriado, para o desenvolvimento da estratégia de FM. Muitas organizações existem em um ambiente de mudança dinâmica. Não há, provavelmente, duas organizações iguais e o que faz sentido para uma organização poderia ser inapropriado para outra.

Entendendo como uma organização demandante antecipa, planeja e responde às mudanças, especialmente as mudanças que poderiam afetar a sua necessidade e o impacto no FM e nos serviços de facility, é uma consideração chave para sua alta direção. Alinhando as estruturas e a entrega de FM e serviços de facility com as atividades de negócio da organização demandante é, portanto, crítica para a conquista do sucesso de seus objetivos do negócio principal. Isto se aplica se a organização demandante for um órgão público ou privado, e é independente do setor na qual ela opera.

No entanto, sua estrutura organizacional, pessoas, valores, cultura, estilo de gestão e contexto tem um efeito sobre como ela lida com uma ampla variedade de fatores e suas decisões em relação à necessidade e uso das instalações. Cada vez mais, as organizações demandantes estão trabalhando através de regiões geográficas e em diferentes culturas.

Elas podem experimentar diferenças nas influências culturais que as afetam de um local para outro. Isto pode enriquecer o ambiente de trabalho e a qualidade do trabalho, porém pode requerer uma abordagem modificada por parte da alta direção. Estes fatores e as decisões relacionadas que a organização demandante enfrenta são tipicamente tornadas explícitas em sua estratégia do negócio principal ou em uma declaração da política dela derivada.

Convém que a estratégia do negócio principal da organização demandante reconheça a contribuição que é esperada do FM para o sucesso de seu negócio principal, todavia o sucesso é definido. Da mesma forma, convém que a estratégia para FM reflita os objetivos, necessidades e restrições do negócio da organização demandante e convém que seja capaz de traduzi-los em requisitos de FM.

Fazendo assim reduz muito a probabilidade de uma desconexão entre os objetivos, necessidades e restrições do negócio e os meios para apoiá-los na forma de instalações apropriadas e serviços de facility. Convém que considerações sejam dadas a quaisquer planos de negócios que impactariam nas necessidades em relação ao uso atual e futuro de instalações e serviços de facility e os horizontes de planejamento do negócio sobre os quais estes poderiam ocorrer (por exemplo, curto, médio e longo prazo, conforme definido pela organização demandante). Em termos práticos, a estratégia do negócio principal está preocupada como as pessoas na organização demandante tomam decisões e alocam recursos para alcançar os objetivos do negócio e o planejamento requerido para esta finalidade.

Os objetivos podem ser alcançados por meio de ações que incluem, porém não se limitam a formular a estratégia de FM em alinhamento com a estratégia do negócio principal da organização demandante; elaborar as políticas; determinar as normas e as diretrizes internas (por exemplo, ativos, espaço, atividades e serviços de facility); assegurar às pessoas a saúde, a segurança do trabalho e a segurança patrimonial dentro e nas proximidades das instalações; realizar uma gestão proativa de eventos de risco; assegurar a continuidade do negócio no evento de interrupção ao uso normal das instalações; apoiar a recuperação de desastres; prover apoio prático para a gestão de mudanças da organização demandante; avaliar o impacto das instalações nas atividades do negócio, meio ambiente e comunidade; manter as relações com autoridades e outras partes interessadas; aprovar planos do negócio e orçamentos; adquirir bens e serviços; e prover uma resposta resiliente e sustentável.

Convém que a organização de FM esteja ciente a medida em que convém endereçar os problemas neste documento, para ajudar a satisfazer os objetivos e necessidades do negócio da organização demandante. Convém que o objetivo da organização de FM seja considerar cada problema suficientemente para chegar a um entendimento equilibrado das necessidades.

Quando informações e dados solicitados pela organização de FM não podem ser providos pela organização demandante, convém que suposições apropriadas sejam feitas e declaradas explicitamente na documentação e comunicação relativa à estratégia de FM. A natureza, o porte e a estrutura da organização demandante têm um impacto direto na necessidade de instalações e serviços de facility, e, portanto, convém que a estrutura organizacional atual e futura sejam definidas quando praticável.

Convém que quaisquer mudanças na estrutura organizacional existente (por exemplo, expansão, redução, realocação, desinvestimento ou reestruturação) e no prazo envolvido sejam documentados. Em uma situação ideal, as instalações e os serviços de facility da organização demandante se ajustariam à estrutura organizacional atual e antecipariam mudanças dentro de limites razoáveis.

Quando esta condição não estiver sendo alcançada ou não puder ser alcançada, convém que a organização demandante documente as razões e algumas preferências que fecham a lacuna entre as instalações e os serviços de facility existentes e aqueles considerados como os mais adequados. Convém que consideração seja dada à política da organização demandante nas instalações e espaço sustentáveis como parte de qualquer avaliação de seu planejamento do negócio de longo prazo. Convém que qualquer lacuna seja documentada e disponibilizada para o desenvolvimento da estratégia de FM.

A segurança do trabalho, o bem-estar e a eficiência das pessoas da organização demandante são fatores-chave de contribuição para o seu sucesso. Existe uma relação próxima entre a estrutura organizacional e as pessoas em muitos aspectos, não menos importante o equilíbrio entre o trabalho requerido e outras atividades ou funções centralizadas no ser humano e a disponibilidade de pessoas devidamente qualificadas e competentes.

Convém que os planos da organização demandante para o seu pessoal, atualmente e no futuro, sejam estabelecidos juntamente com o prazo previsto. Convém que estes planos reflitam qualquer crescimento, redução, reimplantação ou realocação de pessoas e as razões (por exemplo, recrutamento para atingir novos mercados e maior rotatividade ou número de funcionários reduzido e menor despesa operacional).

Um sistema de valor representa o conjunto de crenças e comportamentos que as pessoas compartilham e está intimamente associado à cultura de uma organização, o qual agrega dimensões sociais e psicológicas. Coletivamente, eles podem ser expressos como a maneira na qual as coisas são feitas em uma organização.

Mais formalmente, eles são utilizados para definir uma abordagem para trabalhar ou outras atividades e funções centradas no ser humano. Exemplos são encontrados em declarações de políticas, normas e procedimentos internos que mapeiam as crenças, atitudes, comportamentos, funções e responsabilidades das pessoas dentro de uma organização e as relações com órgãos externos.

Ao documentar tal abordagem, convém que sejam levados em consideração os impactos interculturais reais ou potenciais. Convém que a organização de FM identifique aquelas políticas, normas e procedimentos internos existentes que orientam o negócio do dia-a-dia da organização demandante, incluindo aqueles relacionados às instalações e serviços de facility, e convém que sejam levados em consideração quando desenvolver a estratégia de FM.

Convém que qualquer lacuna na cobertura de disposições essenciais relacionadas às instalações ou serviços de facility seja documentada. Convém que detalhes sejam disponibilizados para desenvolver a estratégia de FM.

A maneira na qual os objetivos do negócio de uma organização demandante são realizados por seus gestores define seu estilo de gestão. Isto varia de organização para organização, setor para setor e local para local, até mesmo de um gestor para outro, e também poderia ser influenciada por fatores externos. É importante não generalizar ou fazer suposições, mas sim identificar como as decisões são tomadas e quem as toma.

As funções e as atividades podem então serem planejadas, com recursos, implementadas e controladas. Convém que os detalhes da tomada de decisão que afetam as instalações e os serviços de facility da organização demandante sejam documentados. Convém que as tarefas que são requeridas para serem realizadas nesse sentido sejam identificadas, juntamente com funções, responsabilidades e deveres associados e, em seguida, registradas em uma matriz de atribuição de responsabilidade (por exemplo, um RACI ou RASCI).

As maneiras pelas quais a organização demandante está sujeita à regulamentação e é responsável perante as suas partes interessadas, criam uma estrutura distinta para seu negócio que é altamente pertinente às suas instalações e serviços de facility. Uma abordagem apropriada à governança da organização demandante é necessária para assegurar que existam consistência e transparência em suas atividades do negócio principal e nas relações com órgãos e indivíduos externos.

Convém que qualquer aspecto da governança da organização demandante que impacte atualmente ou é provável a impactar as instalações e os serviços de facility seja identificado. Convém que o status legal do interesse da organização demandante nas instalações seja identificado (por exemplo, proprietário, locatário, sublocatário ou autorizado). Convém que as maneiras e a extensão para a qual a organização demandante tem o direito a utilizar ou alterar suas instalações sejam documentadas. Convém que um aconselhamento profissional seja considerado em questões relacionadas ao interesse e aos direitos da organização demandante em relação às instalações.

A organização demandante é, em última análise, responsável por todas as decisões que afetam o uso de suas instalações e serviços de facility. Autoridade delegada para operações do dia a dia é esperada. Convém que as funções e as responsabilidades, incluindo deveres, sejam formalizados e comunicados para todas as partes interessadas afetadas. Uma matriz de atribuição de responsabilidade é útil para esta finalidade. Convém que não exista ambiguidade nas funções, responsabilidades e deveres ou quaisquer lacunas entre eles.

As instalações e os responsáveis por elas estão sujeitos a regulamentos e compliance, com extensões variadas, dependendo da localização (isto é, jurisdição). Convém que a organização de FM verifique a extensão para a qual os regulamentos e o compliance afetam as obrigações e deveres com respeito às instalações e serviços de facility.

Convém que as declarações de política, normas internas e documentação processual da organização demandante sejam disponibilizadas, ou solicitadas, para desenvolver a estratégia de FM. Convém que qualquer lacuna na provisão de política, normas ou procedimentos seja identificada e ações sejam tomadas para remediar esta situação antes de continuar com o desenvolvimento da estratégia de FM.

Convém que a maturidade das atividades, processos e sistemas do negócio principal da organização demandante seja avaliada. Um modelo de maturidade de aptidão normalmente descreve um caminho evolutivo em cinco níveis de atividades, processos e sistemas cada vez mais organizados e mais maduros e podem ser úteis nesse sentido.

Os cinco níveis são: inicial, quando os processos são pobremente controlados e imprevisíveis; gerenciado, quando os processos são caracterizados, porém são genéricos e na maioria das vezes reativos; definido, quando os processos são sistemáticos e integrados; medido, quando os processos são avaliados e controlados; otimizado, quando o foco está sobre melhoria contínua. Convém que o nível de maturidade da organização demandante e sua intenção de progredir para um nível mais alto (quando isto for possível), juntamente com o cronograma para que esta mudança seja realizada, sejam determinados.

O contexto para a organização demandante é o ambiente mais amplo em que ela opera e inclui as forças que impactam no negócio principal e os fatores que moldam sua resposta a eles. Convém que a organização de FM identifique estas forças e os fatores que conduzem à gestão de sucesso das instalações e serviços de facility. Igualmente, convém que a organização de FM identifique estas forças e fatores que são prejudiciais e determine respostas apropriadas dentro dos limites de opções disponíveis. Há uma ligação direta para a gestão de riscos.

AWWA J100: a gestão de risco e resiliência de sistemas de água e esgoto

A AWWA J100:2021 – Risk and Resilience Management of Water and Wastewater Systems permite que os proprietários e operadores de serviços públicos de água e esgoto tomem decisões acertadas ao alocar recursos limitados para reduzir o risco e melhorar a resiliência. Essa norma define os requisitos para a análise e o gerenciamento de todos os riscos e resiliência para o setor de água e esgoto.

Ela fornece a metodologia e os recursos materiais que podem ser usados para atender a esses requisitos. Descreve e documenta um processo de identificação de risco em função das consequências, vulnerabilidades e probabilidade de ameaças feitas pelo homem, perigos naturais e perigos de dependência e proximidade. É uma nacional norte-americana, conforme designado pelo American National Standards Institute, e está sob a jurisdição da American Water Works Association (AWWA).

Essa jurisdição é exercida pelo comitê de normas de gerenciamento de risco e resiliência AWWA J100. Está alinhada com a intenção da National Homeland Security Policy, incluindo o National Infrastructure Protection Plan (NIPP), o National Incident Management System (NIMS) e o National Response Framework (NRF). Pode ser aplicada à avaliação de risco e apoiar a redução de risco e/ou melhoria de resiliência em concessionárias de água e esgoto. A metodologia J100 também pode capacitar os tomadores de decisão em uma ampla variedade de infraestruturas, outras instalações e organizações operacionais.

Conteúdo da norma

Prefácio

I Introdução ………………………………. vii

I.A Conhecimento……………………………….. vii

I.B História ……………………………………… vii

I.C Aceitação,,,,,……………………………….. xi

II Edições especiais ……………………………… xi

II.A Informações consultivas sobre a aplicação da norma………… xi

II.B Possíveis tópicos para o futuro da norma……………………. xi

II.C Designação da Lei de segurança ……………. xi

III Uso dessa norma…………………… xii

III.A Opções do comprador e alternativas ………………………….. xii

III.B Modificação da norma…………….. xii

III.C Técnica de avaliação de risco

Considerações e comentários …. xii

IV Revisões principais …………………………. xiv

V Comentários ………………………………… xv

Norma

1. Geral

1.1 Escopo e objetivo ……………………… 1

1.2 Jurisdição ………………………………… 1

1.3 Aplicação ………………………………… 2

2 Definições ……………………………….. 2

3 Referências ………………………………… 8

4 Requisitos

4.1 Caracterização de ativos …………………. 9

4.2 Caracterização da ameaça ……………….. 11

4.3 Análise de consequências …………………. 13

4.4 Análise de vulnerabilidade ………………….. 20

4.5 Análise de ameaças …………………………… 21

4.6 Análise de risco e resiliência …………. 30

4.7 Gestão de risco e resiliência …… 34

5 Controle de processo …………………………. 37

6 Verificação

6.1 Verificar as análises de risco …………………… 38

6.2 Avaliar a análise de risco …………………. 38

6.3 Processo de revisão de documentos ……………. 38

Apêndices

A Antecedentes e orientações sobre ameaças para seleção de ameaças………….. 39

B Bibliografia expandida………………. 67

As três variáveis que constituem o risco nessa formulação são todas incertas, algumas altamente incertas, mas a norma as trata como estimativas de ponto único, em vez de distribuições de probabilidade que incluem as incertezas estimadas, como seriam prescritas por especialistas contemporâneos em análise de risco. Tais distribuições seriam combinadas usando a simulação de Monte Carlo, resultando em uma distribuição de probabilidade de risco, cuja média é seu melhor descritor de resumo único, que pode ou não aproximar o produto das três variáveis, dependendo da assimetria das três distribuições.

Esta abordagem é denominada como o método da incerteza total porque resulta não apenas no risco médio, mas em uma distribuição da incerteza em torno dessa média. Embora este método mais sofisticado fosse preferido pela maioria dos especialistas em risco, o comitê decidiu usar o método de ponto único mais simples (e seguir os precedentes da NIPP e J100-10) para encorajar a aplicação de gerenciamento de risco pela maioria dos usuários em potencial, enquanto desencoraja abordagens ainda mais simples e falhas (por exemplo, aquelas que usam ordens de classificação em processos que requerem escalas de proporção).

Os usuários que desejam empregar o método da incerteza total estariam em conformidade com essa norma, desde que todas as outras condições sejam atendidas. As organizações podem começar com a abordagem de um único ponto e, com a experiência, adotar o método da incerteza total para explorar seus recursos aprimorados. As versões futuras da norma podem considerar a recomendação explícita do método de incerteza total, pelo menos como uma opção.

A consequência de perder um ativo muitas vezes depende fortemente da condição de outros ativos – ou seja, as consequências são correlacionadas. Isso é particularmente verdadeiro para sistemas como sistemas de água que têm fluxos contínuos em processos centrais. Embora esses processos tenham sido conscientemente projetados para tolerar a perda de ativos individuais sem perda séria de função, surgem situações em que dois ou mais ativos físicos são integrados por um fluxo de processos, de modo que a perda do ativo interrompe todo o fluxo ou uma parte importante do fluxo.

Em tais situações, a norma sugere combinar esses ativos em um subsistema e tratar o subsistema como um único ativo. Combinar ativos que são correlacionados porque são partes de um processo comum em subsistemas captura as probabilidades condicionais sem torná-las intelectualmente, combinatória e computacionalmente opressivas.

Os indicadores de sustentabilidade em bioenergia

A NBR ISO 13065 de 09/2021 – Critérios de sustentabilidade em bioenergia especifica princípios, critérios e indicadores para a cadeia logística em bioenergia a fim de facilitar a avaliação dos aspectos ambientais, sociais e econômicos de sustentabilidade. Aplica-se a toda a cadeia logística, partes de uma cadeia logística ou um processo individual na cadeia logística. Essa norma aplica-se a todas as formas de bioenergia, independentemente da matéria-prima, localização geográfica, tecnologia ou uso final.

Não estabelece limiares ou limites e não descreve processos bioenergéticos e métodos de produção específicos. A conformidade com essa norma não determina a sustentabilidade de processos ou produtos. Destina-se a facilitar a comparabilidade dos vários processos ou produtos bioenergéticos. Ela também pode ser utilizada para facilitar a comparabilidade de bioenergia e outras opções energéticas.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como descrever o princípio de conservar e proteger os recursos hídricos?

Como promover os impactos positivos e reduzir os impactos negativos sobre a biodiversidade?

Como promover a gestão responsável de resíduos?

Por que o operador econômico deve prover as informações sobre como o trabalho infantil é tratado?

A bioenergia é a energia derivada de biomassa que pode ser transformada em combustíveis sólidos, líquidos ou gasosos, ou a energia armazenada na biomassa pode ser diretamente convertida em outras formas de energia (por exemplo, calor, luz). A produção e o uso de bioenergia têm funções potenciais na atenuação das mudanças climáticas, promoção da segurança energética e fomento no desenvolvimento sustentável.

Essa norma é projetada para prover uma base consistente na qual a sustentabilidade de bioenergia pode ser avaliada dentro de um contexto definido e para um objetivo especificado. Provê os princípios, os critérios e os indicadores. Os princípios refletem metas ambiciosas, enquanto os critérios e os indicadores tratam os aspectos de sustentabilidade e as informações que devem ser providas.

Entretanto, os indicadores nessa norma podem não capturar exaustivamente todos os aspectos de sustentabilidade para todos os processos bioenergéticos. Praticamente cada país no mundo utiliza algum tipo de bioenergia. Diversos tipos de biomassa são utilizados para a produção bioenergética por meio de muitos tipos e tamanhos de operações econômicas.

As características de produção bioenergética, portanto, são heterogêneas e dependem de diversos fatores, como geografia, clima, nível de desenvolvimento, instituições e tecnologias. O objetivo dessa norma é prover uma estrutura considerando os aspectos ambientais, sociais e econômicos que podem ser utilizados para facilitar a avaliação e a comparabilidade da produção e produtos bioenergéticos, cadeias logísticas e aplicações.

Como parte do desenvolvimento dessa norma, outras iniciativas de sustentabilidade e normas relevantes foram consideradas. Essa norma visa facilitar a produção, uso e comércio de bioenergia de forma sustentável e permitirá que os usuários identifiquem áreas para a melhoria contínua na sustentabilidade de bioenergia.

Ela pode ser utilizada de várias maneiras. Ela pode facilitar as comunicações entre empresas provendo uma estrutura padrão permitindo que as negociações falem a mesma língua ao descrever aspectos de sustentabilidade. Os compradores podem utilizar esta norma para comparar informações de sustentabilidade dos fornecedores para auxiliar a identificar processos e produtos bioenergéticos que atendam aos seus requisitos.

Outras normas, iniciativas de certificação e agências governamentais podem utilizar essa norma como uma referência sobre como prover informações referentes à sustentabilidade. Ela não provê valores-limite. Os valores-limite podem ser definidos por operadores econômicos na cadeia logística e/ou outras organizações (por exemplo, governo). As informações de sustentabilidade providas pelo uso dessa norma podem, então, ser comparadas com os valores-limite definidos.

O objetivo de realizar a avaliação utilizando esta norma deve ser claramente documentado. O contexto também deve ser documentado, incluindo áreas geográficas, nível de agregação e partes interessadas afetadas. O objetivo e o contexto são necessários para determinar o escopo da avaliação, relevância e importância e métodos para representação de dados.

O escopo da avaliação que descreve o (s) processo (s) e produtos bioenergético (s), e os recursos e unidades de negócio a serem incluídos deve ser documentado. Os processos sob controle direto incluem as atividades realizadas ou subcontratadas pelo operador econômico.

Qualquer exclusão de um processo ou parte de um processo sob o controle direto do operador econômico (por exemplo, seleção da matéria-prima, processamento ou descarte de resíduos) deve ser documentada e justificada. Convém que o operador econômico considere a capacidade de facilitar a comparabilidade.

As partes interessadas podem ter preocupações relacionadas às atividades do operador econômico. Quando requerido nessa norma, o operador econômico deve documentar como as partes interessadas foram envolvidas, o que significa que as partes interessadas foram informadas e foi oferecida a oportunidade para comentar e que o operador econômico forneceu uma resposta documentada para legitimar a queixa apresentada pelas partes interessadas.

O operador econômico deve identificar as partes interessadas que são relevantes para alcançar os resultados dessa norma, convém que identifique as preocupações relevantes (por exemplo, requisitos) dessas partes interessadas e convém que identifique quais dessas preocupações serão tratadas por requisitos legais. O operador econômico deve prover as informações requeridas por cada indicador desta norma para todos os aspectos de sustentabilidade relevantes e importantes dentro do escopo da avaliação.

O operador econômico pode excluir aspectos que ele documenta e justifica como não sendo relevantes ou importantes. Um aspecto de sustentabilidade é relevante se ele for parte ou for afetado pelo processo dentro do escopo da avaliação, e que tenha uma relação clara com o objetivo e o contexto.

A importância pode ser determinada por uma avaliação de risco ou outros procedimentos (por exemplo, requisitos do comprador, requisitos regulatórios, preocupação das partes interessadas, escala de operação). A figura abaixo provê uma árvore de decisão sobre como categorizar a relevância e importância para cada aspecto.

O operador econômico deve identificar os requisitos legais relativos aos aspectos de sustentabilidade relevantes descritos na Seção 5 e deve documentar como estes são tratados dentro das respostas aos indicadores dessa norma. Um operador econômico também pode documentar casos onde as leis aplicáveis ao operador econômico estabelecem requisitos diferentes quando comparados aos aspectos de sustentabilidade dessa norma.

A avaliação dos aspectos de sustentabilidade deve abranger o período de tempo relevante no ciclo de vida. Os aspectos de sustentabilidade podem ter períodos de tempo diferentes. O período de tempo selecionado para cada aspecto de sustentabilidade deve ser documentado e justificado.

No caso da produção de matérias primas primárias, o período de rotação da cultura pode variar de poucos meses em culturas de arroz para mais de 100 anos em florestas de longa rotação, por exemplo. Os períodos de tempo para o manuseio de matérias-primas secundárias podem variar muito, dependendo do tempo necessário para o transporte, armazenamento e processamento/refino.

A escolha dos períodos de tempo para que os dados sejam coletados deve considerar as variações potenciais intra-anuais e interanuais e, se relevante, utilizar valores que representem a tendência ao longo dos períodos selecionados. O período de tempo para que os dados e informações sejam coletados deve ser documentado e justificado.

Ao fazer suposições ou selecionar dados ou metodologias a serem utilizados em relatórios segundo essa norma, preferência deve ser dada às abordagens científicas ou práticas tradicionais com base em ciências naturais, sociais ou econômicas. A ciência é a busca do conhecimento e a compreensão do mundo natural e social seguindo uma metodologia sistemática com base em evidências.

A metodologia científica tipicamente envolve os seguintes pontos: observação objetiva: medição e dados (embora possivelmente não utilizando necessariamente a matemática como uma ferramenta); evidência; experimento, modelos e/ou observação como padrão comparativo para ensaiar hipóteses; indução: raciocínio para estabelecer regras ou conclusões gerais tiradas dos fatos ou exemplos; repetição; análise crítica; e a verificação e ensaios: exposição crítica ao exame minucioso, revisão e avaliação atentas.

Os dados, fontes de informação e suposições utilizados devem ser documentados e justificados. O operador econômico deve prover informações sobre os efeitos diretos de seu (s) processo (s). O fornecimento de informações não significa que o operador econômico é requerido a fornecer publicamente as suas informações proprietárias, sendo informações que não são do conhecimento público (tais como certos dados financeiros, resultados de ensaios ou segredos comerciais) e que é visto como a propriedade do titular.

O recebedor dos dados proprietários, tal como um empreiteiro no processo de aquisição, é geralmente obrigado a impedir o uso não autorizado das informações. Convém que os dados primários sejam coletados para todos os processos individuais sob o controle direto do operador econômico e devem ser representativos dos processos para os quais foram coletados. Convém que os dados primários sejam utilizados para todos os aspectos importantes de sustentabilidade e que possam ser coletados de um local específico, ou possam ser calculados pela média em todos os locais que contêm os processos dentro do escopo da avaliação.

Os dados primários podem ser medidos ou modelados. Convém que os dados secundários sejam utilizados para insumos quando a coleta de dados primários não for possível ou praticável, ou para processos menores. Os dados secundários podem incluir dados de literatura, dados calculados, estimativas ou outros dados representativos.

O uso de dados secundários deve ser documentado e justificado com referências. Os dados podem ser agregados. O nível de agregação deve ser compatível e apropriado ao objetivo. A agregação dos dados deve ser compatível com o escopo da avaliação, escala da operação, requisito ou nível de preocupação das partes interessadas e deve ser representativa das operações que estão sendo avaliadas.

O operador econômico pode elaborar um relatório resumindo os resultados da avaliação juntamente com uma descrição de quaisquer processos bioenergéticos que foram incluídos na avaliação. O Anexo A provê um formato que pode ser utilizado para resumir as informações. As informações podem ser compartilhadas e agregadas, entre ou por meio, dos estágios de cadeias logísticas.

Quando houver um acordo para compartilhar informações, este deve ser realizado de uma forma que permita que as informações sejam combinadas dentro de uma cadeia logística ou agregadas por meio de cadeias logísticas. Nenhuma declaração ou comunicação sobre a sustentabilidade de processos ou produtos bioenergéticos deve ser realizada unicamente com base no uso dessa norma.

A rastreabilidade refere-se à origem das matérias-primas e das partes, o histórico de processamento e a distribuição e localização do produto após a entrega. Se o operador econômico decide ou é requerido a informar sobre a rastreabilidade, o operador econômico deve pelo menos divulgar as seguintes informações: parte (s) da cadeia logística que se aplica (m) a essa norma; se um sistema de cadeia de custódia é adotado ou não; e o (s) sistema (s) de cadeia de custódia adotado (s).

Nem todos os operadores econômicos são capazes de informar sobre a rastreabilidade e, quando essa condição ocorre, os dados agregados podem ser utilizados. Os três sistemas de cadeia de custódia comuns são: segregação; balanço de massa; e reserva e resgate. Os sistemas de cadeia de custódia podem ser utilizados isoladamente ou combinados.

A utilização dessa norma para comparação de indicadores entre várias opções energéticas (bioenergia e sem bioenergia) é opcional. Alguns princípios, critérios e indicadores nessa norma podem não ser aplicáveis às demais opções energéticas. Além disso, outras opções energéticas podem ter princípios, critérios e indicadores adicionais que não estão incluídos nesta norma.

O desenvolvimento da informação documentada em gestão da qualidade

A NBR ISO 10013 de 07/2021 – Sistemas de gestão da qualidade — Orientação para informação documentada provê orientação para o desenvolvimento e a manutenção de informação documentada necessária para apoiar um sistema de gestão da qualidade eficaz, adaptada às necessidades específicas da organização. Também pode ser usado para apoiar outros sistemas de gestão, por exemplo, sistemas de gestão ambiental ou de saúde e segurança ocupacional.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que representam os mapas de processos, os fluxogramas de processos e/ou descrições de processos?

O que são os fluxos de trabalho automatizados?

O que são os planos, cronogramas e listas?

Por que fazer o uso de referências?

A NBR ISO 9001 requer que uma organização mantenha e retenha informação documentada para apoiar a operação de seus processos e para ter confiança que os processos estejam sendo realizados como planejado. A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida.

Ela pode ser usada para comunicar, para prover uma evidência objetiva ou para compartilhar conhecimento. Possibilita que o conhecimento e as experiências da organização sejam preservados e pode gerar valor para apoiar a melhoria de produtos ou serviços.

Este documento provê orientação para o desenvolvimento e a manutenção de informação documentada. A adoção de um sistema de gestão da qualidade é uma decisão estratégica para uma organização, que pode ajudar a melhorar seu desempenho global e a prover uma base sólida para iniciativas de desenvolvimento sustentável.

Isso é aplicável a todas as organizações, independentemente de porte, complexidade ou modelo de negócio. Sua finalidade é aumentar a conscientização de uma organização sobre seus deveres e seu compromisso em atender às necessidades e expectativas de seus clientes e de suas partes interessadas, e em alcançar a satisfação com seus produtos e serviços.

É importante considerar o contexto da organização, incluindo a estrutura legal e regulamentar, as necessidades e expectativas de partes interessadas, os riscos e oportunidades, e a direção estratégica da organização, quando uma organização planeja qual informação documentada manter e reter para seu sistema de gestão da qualidade. Ao mesmo tempo que a adoção de um sistema de gestão da qualidade é estratégica, isso também se aplica à sua informação documentada.

Ela pode estar relacionada com as atividades totais de uma organização ou com uma parte selecionada dessas atividades, por exemplo, requisitos especificados, dependendo da natureza dos produtos e serviços, dos processos, dos requisitos contratuais, dos requisitos estatutários e regulamentares e do contexto da própria organização. É importante que o conteúdo da informação documentada também esteja em conformidade com os requisitos das normas que se pretende satisfazer, por exemplo, requisitos de setor específico.

As organizações têm mudado de sistemas baseados em papel para meio eletrônico nas últimas duas décadas. A NBR ISO 9001 refletiu essa mudança, substituindo terminologia como documentação, manual da qualidade, procedimentos documentados e registros por informação documentada. Este documento de orientação usa a expressão informação documentada para se referir à informação que necessita ser controlada pela organização e documentos para se referir a informação.

Ela também usa a palavra documentar como um verbo em alguns locais. As normas de sistema de gestão da ISO usam uma estrutura de alto nível para incentivar o uso de sistemas de gestão integrados. Este documento de orientação, por seu projeto e escopo, é focado no sistema de gestão da qualidade e usa a terminologia da NBR ISO 9000:2015.

Todavia, nada proíbe seu uso em outras normas de sistema de gestão. Na versão anterior deste documento, foi sugerida uma hierarquia de documentação como manual da qualidade, procedimentos, instruções de trabalho e formulários/listas de verificação, como uma maneira de documentar o sistema de gestão da qualidade.

Esta versão não prescreve uma hierarquia em particular, mas reflete a capacidade do meio eletrônico de se organizar de uma infinidade de maneiras. É importante perceber que, embora um manual da qualidade não seja requerido, ele ainda pode ser útil e muitas normas de setor específico ainda requerem manuais da qualidade e procedimentos documentados.

A informação documentada pode ser estruturada e criada de muitas maneiras, com base nas necessidades da organização e outros fatores, como liderança, resultados pretendidos do sistema de gestão, contexto (incluindo requisitos estatutários e regulamentares) e partes interessadas. A estrutura da informação documentada usada no sistema de gestão da qualidade pode ser descrita em uma hierarquia. Essa estrutura facilita a distribuição, a manutenção e o entendimento da informação documentada.

Os sistemas eletrônicos proveem escolhas adicionais para estruturar informação documentada. O Anexo A ilustra exemplos de estruturas de informação documentada. As organizações menores podem escolher uma estrutura simplificada de informação documentada para atender às suas necessidades.

Convém que o tipo e a extensão de informação documentada necessária para o sistema de gestão da qualidade sejam baseados em uma análise de processos e podem diferir de uma organização para outra devido a, por exemplo, o porte da organização e o tipo de atividades; a complexidade de processos e suas interações; a maturidade do sistema de gestão da qualidade; os riscos e oportunidades; a competência de pessoas; os requisitos estatutários e regulamentares; os requisitos do cliente e de outras partes interessadas; a necessidade de evidência de resultados alcançados; e a necessidade de apoiar acessibilidade e recuperabilidade remotamente.

A informação documentada pode incluir definições. Para melhorar a compreensão, convém que a organização considere usar vocabulário que esteja de acordo com termos e definições padronizados que são referenciados na NBR ISO 9000, no uso geral de dicionário ou que possa ser específico para a organização. Um sistema de gestão da qualidade de uma organização pode usar terminologias diferentes para os tipos definidos de informação documentada.

A informação documentada de uma organização deve incluir o escopo do sistema de gestão da qualidade; uma política da qualidade; os objetivos da qualidade; a informação que a organização determinou como sendo necessária para apoiar a operação do sistema de gestão da qualidade e seus processos, incluindo, como aplicável: um manual da qualidade; os organogramas; os mapas de processos, fluxogramas e/ou descrições de processos; os procedimentos e as instruções de trabalho; os fluxos de trabalho automatizados; as especificações de produtos e serviços; as comunicações internas e externas; os planos, cronogramas e listas; os formulários e listas de verificação; a informação documentada de origem externa; a informação documentada a ser retida (isto é, registros) para prover evidência de resultados alcançados.

A informação documentada pode estar em qualquer tipo de meio, como papel, eletrônico, fotografia ou amostras físicas. As vantagens do meio eletrônico são, por exemplo, o acesso facilitado a versões pertinentes, incluindo acesso a partir de locais remotos; o controle de mudanças facilitado, incluindo o cancelamento de informação documentada obsoleta; a distribuição imediata e controlada; a recuperabilidade e retenção versus papel ou outro meio físico.

O propósito para uma organização ter informação documentada inclui a comunicação de informação; evidência de alcançar resultados ou atividades realizadas; o compartilhamento de conhecimento; a preservação de conhecimento; a descrição do sistema de gestão da qualidade da organização. Os benefícios para uma organização ter informação documentada incluem: demonstrar compliance com requisitos estatutários e regulamentares; prover informação para grupos multifuncionais, para que eles possam melhor compreender inter-relacionamentos; comunicar compromisso da organização com a qualidade para partes interessadas pertinentes; ajudar as pessoas a compreender seu papel na organização, provendo assim uma base para expectativas de desempenho no trabalho; facilitar a compreensão mútua entre os diferentes níveis na organização; prover a evidência objetiva de que requisitos especificados foram alcançados; abordar os riscos e as oportunidades para melhorar o desempenho organizacional, a conformidade de produto ou serviço e a satisfação do cliente; prover conhecimento organizacional, incluindo a base para competência e treinamento para pessoas e outras partes interessadas pertinentes; declarar como coisas são para ser feitas para atender consistentemente a requisitos especificados, promovendo assim condições controladas e provendo uma base para melhoria contínua; demonstrar para partes interessadas as capacidades na organização, provendo assim confiança; prover requisitos para provedores externos; prover uma base para auditar e avaliar a eficácia e adequação contínua do sistema de gestão da qualidade.

O escopo do sistema de gestão da qualidade deve ser documentado com base na determinação pela organização dos limites e da aplicabilidade do sistema de gestão da qualidade. O escopo de um sistema de gestão pode incluir a organização como um todo, funções específicas e identificadas da organização, seções específicas e identificadas da organização ou uma ou mais funções em um grupo de organizações.

Convém que o escopo declare os tipos de produtos e serviços cobertos e, se requerido, proveja a justificativa para qualquer requisito da norma de qualidade pertinente que a organização determine que não seja aplicável ao escopo de seu sistema de gestão da qualidade. Convém que o escopo do sistema de gestão da qualidade seja baseado na natureza dos produtos e serviços da organização, seus processos operacionais, questões levantadas ao estabelecer o contexto da organização e os requisitos pertinentes de partes interessadas, o resultado de mentalidade de risco, considerações comerciais e requisitos contratuais, estatutários e regulamentares.

A política da qualidade ajuda uma organização a engajar suas pessoas na cultura da qualidade da organização. Convém que ela seja alinhada com a direção estratégica, a missão e a visão da organização. Ela provê um compromisso verificável com a qualidade para partes interessadas pertinentes.

Uma organização pode ter outras políticas, além da política da qualidade, relacionadas ao sistema de gestão da qualidade. Os objetivos da qualidade devem refletir os resultados a serem alcançados pela organização com respeito à sua direção estratégica, sua política da qualidade, seus riscos e oportunidades e seus requisitos aplicáveis ao sistema de gestão da qualidade.

Além disso, a organização deve determinar o tipo e a extensão da informação documentada necessária para apoiar a operação de seus processos, os formatos a serem usados e o meio para se comunicar com usuários. A organização pode decidir que termos ela usa para sua informação documentada. Enquanto termos como procedimentos, instruções de trabalho e manual da qualidade são usados neste documento, a organização não está obrigada a adotar tal terminologia.

Quanto ao manual da qualidade, pode-se dizer que há muitas maneiras pelas quais uma organização pode documentar seu sistema de gestão da qualidade. As organizações podem escolher usar um manual da qualidade, ou um manual da qualidade pode ser exigido pelos requisitos externos da organização. Um manual da qualidade é único para cada organização.

Ele pode prover a estrutura, o formato, o conteúdo ou o método de apresentação para documentar o sistema de gestão da qualidade para todos os tipos de organizações. Uma pequena organização pode achar apropriado incluir a descrição de seu sistema de gestão da qualidade inteiro em um único manual, incluindo toda a informação documentada que ela mantém.

As organizações grandes, multinacionais, podem necessitar de manuais em níveis distintos (por exemplo, nível global, nacional ou regional) e uma hierarquia mais complexa da informação documentada. Se a organização escolher implementar um manual da qualidade, ele pode incluir procedimentos documentados, ou uma referência a eles, e uma descrição dos processos do sistema de gestão da qualidade e suas interações.

Convém que seja incluída no manual da qualidade a informação sobre a organização, como nome, localização, contexto e meios de comunicação incluindo termos específicos e definições pertinentes. A informação adicional também pode ser incluída, como suas linhas de negócio, uma breve descrição de seus antecedentes, história e porte.

O manual da qualidade pode prover uma descrição do sistema de gestão da qualidade e de sua implementação na organização. Convém que descrições dos processos e de suas interações, ou uma referência a elas, sejam incluídas no manual. Convém que os processos da organização sejam projetados para atender aos objetivos globais da organização, suas políticas, seu contexto e as expectativas pertinentes de partes interessadas.

Em grandes organizações, os processos podem ligar áreas funcionais da organização (ver Anexo A). Convém que a organização documente seu sistema de gestão da qualidade específico seguindo a sequência do fluxo dos processos ou qualquer sequenciamento apropriado à organização. Referência cruzada entre a norma selecionada e os processos da organização pode ser útil. A sequência e a interação dos processos no sistema de gestão da qualidade podem ser documentadas usando um mapa de processos.

A gestão dos incidentes de segurança da informação

]

A NBR ISO/IEC 27035-3 de 07/2021 – Tecnologia da informação – Gestão de incidentes de segurança da informação – Parte 3: Diretrizes para operações de resposta a incidentes de TIC fornece as diretrizes para resposta a incidentes de segurança da informação em operações de tecnologia, informação e comunicação (TIC). Este documento faz isso abrangendo, em primeiro lugar, os aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Em seguida, concentra-se ainda mais na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.

Este documento não trata de operações de resposta a incidentes que não sejam de TIC, como perda de documentos em papel. É baseado na fase Detecção e geração de relatórios, na fase Avaliação e decisão e na fase Respostas do modelo Fases de gestão de incidentes de segurança da informação apresentado na ISO/IEC 27035-1:2016. Os princípios fornecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente do tipo, porte ou natureza. As organizações podem ajustar as disposições fornecidas neste documento de acordo com seu tipo, porte e natureza dos negócios em relação à situação de risco à segurança da informação. Também é aplicável às organizações externas que fornecem serviços de gestão de incidentes de segurança da informação.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser executado o monitoramento e a detecção dos incidentes?

Como deve ser feita a validação de dados de fonte externa?

Quais são as fases da notificação e do relatório de incidente interno?

Quais são as operações de triagem de incidentes?

Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.

As orientações sobre a gestão de incidentes de segurança da informação podem ser encontradas na ISO/IEC 27035-1. Este documento, entretanto, considera apenas operações de resposta a incidentes relacionados à TIC, e não a incidentes de segurança da informação relacionados aos documentos em papel ou quaisquer outros incidentes não relacionados à TIC.

Sempre que o termo segurança da informação é usado neste documento, isso é feito no contexto da segurança da informação relacionada às TIC. As estruturas organizacionais para segurança da informação variam de acordo com o porte e o campo comercial das organizações. À medida que vários e numerosos incidentes ocorrem e estão aumentando (como incidentes na rede, por exemplo, intrusões, violações de dados e hackers), preocupações maiores com a segurança da informação são levantadas pelas organizações.

Convém que um ambiente seguro de TIC, configurado para suportar vários tipos de ataques (como DoS, worms e vírus) com equipamentos de segurança de rede, como firewalls, sistemas de detecção de intrusões (IDS) e sistemas de prevenção de intrusões (IPS), seja complementado com procedimentos operacionais claros para tratamento de incidentes, juntamente com estruturas de relatórios bem definidas dentro da organização.

Para assegurar a confidencialidade, a integridade e a disponibilidade da informação e para lidar eficientemente com incidentes, são necessários recursos para realizar operações de resposta a incidentes. Para este fim, convém que uma equipe de resposta a incidentes de segurança de computadores (ERISC) seja estabelecida para executar tarefas como atividades de monitoramento, detecção, análise e resposta para dados coletados ou eventos de segurança.

Estas tarefas podem ser auxiliadas por ferramentas e técnicas de inteligência artificial. Este documento suporta os controles da NBR ISO/IEC 27001:2013, Anexo A, relacionados à gestão de incidentes.

Nem todas as etapas deste documento são aplicáveis, pois dependem do incidente específico. Por exemplo, uma organização menor pode não usar todas as orientações deste documento, mas elas podem ser úteis para a organização de suas operações de incidentes relacionadas às TIC, especialmente se estiver operando o seu próprio ambiente de TIC.

Também podem ser úteis para as organizações menores que terceirizaram suas operações de TI para entender melhor os requisitos e a execução de operações de incidentes que convém que eles esperem de seus fornecedores de TIC. Este documento é particularmente útil para aquelas organizações que fornecem serviços de TIC que envolvem interações entre organizações de operações de incidentes, a fim de seguir os mesmos processos e termos.

Este documento também fornece uma melhor compreensão de como as operações de incidentes se relacionam com os usuários/clientes, a fim de determinar quando e como convém que essa interação ocorra, mesmo que isso não seja especificado. A ISO/IEC 27035-1:2016 abrange as cinco fases principais a seguir para a gestão de incidentes de segurança da informação: planejamento e preparação; detecção e geração de relatórios; avaliação e decisão; respostas; e lições aprendidas.

A ISO/IEC 27035-2:2016 abrange duas dessas cinco fases em detalhes, isto é, planejamento e preparação e lições aprendidas. Este documento abrange as três fases restantes em detalhes. Estas três fases restantes são coletivamente chamadas de operações de resposta a incidentes, que são o foco deste documento.

As disposições deste documento são baseadas nas fases detecção geração de relatórios, avaliação e decisão e respostas do modelo fases de gestão de incidentes de segurança da informação, apresentadas na ISO/IEC 27035-1. Coletivamente, estas fases são conhecidas como processo de operação de resposta a incidentes.

As fases do processo de operação de resposta a incidentes (que são detecção e geração de relatórios, avaliação e decisão e respostas, conforme estipulado na ISO/IEC 27035-1) incluem o seguinte: operações para identificação de incidentes; operações para avaliação e qualificação de incidentes; operações para coleta de inteligência de ameaças; operações para contenção, erradicação e recuperação de incidentes; operações para análise de incidentes; operações para geração de relatórios de incidentes.

O escopo da resposta a incidentes é determinado na ISO/IEC 27035-1. Convém que as operações de resposta a incidentes sejam vistas como um processo de negócios que permite que uma organização permaneça nos negócios. Especificamente, um processo de operação de resposta a incidentes é uma coleção de procedimentos destinados a identificar, responder e investigar possíveis incidentes de segurança de uma maneira que minimize o seu impacto e apoie a recuperação rápida.

A ISO/IEC 27035–1 mostra as cinco fases da gestão de incidentes de segurança da informação, como planejamento e preparação, detecção e geração de relatório, avaliação e decisão, respostas e lições aprendidas. Como mencionado anteriormente, este documento se concentra em um processo de operação de resposta a incidentes. Este processo pode ser caracterizado por um ciclo de vida de operações de resposta a incidentes, representado pelas fases internas (detecção, notificação, triagem, análise, resposta e geração de relatórios). Estas são representadas com mais detalhes na figura abaixo.

O ciclo de vida das operações de resposta a incidentes (detecção, notificação, triagem, análise, resposta e geração de relatório) pode ser mapeado para a ISO/IEC 27035-1, em cinco fases da gestão de incidentes de segurança da informação (planejamento e preparação, detecção e geração de relatórios, avaliação e decisão, respostas e lições aprendidas), conforme mostrado na tabela abaixo.

Os incidentes podem ocorrer de várias maneiras, e não é prático definir todos os incidentes e preparar o manual de resposta para cada tipo de incidente. Entretanto, existem tipos/fontes de ataque comuns que uma organização geralmente encontra e, portanto, convém que esteja preparada para lidar com esses ataques com eficiência.

Convém que os critérios sejam definidos para incidentes de segurança, de acordo com a importância (prioridade) das informações e sistemas de informação, impacto de cada incidente, escala de danos, classificação de alarmes e sua gravidade. Ver Anexo A para exemplos destes critérios.

A seguir, é apresentada uma lista não exaustiva de tipos/estímulos comuns de ataque que podem ser usados como base para definir procedimentos de tratamento de incidentes: mídia externa/removível: um ataque executado a partir de mídia removível (por exemplo, pen drive, CD) ou de um dispositivo periférico; atrito: um ataque que emprega métodos de força bruta para comprometer, degradar ou destruir sistemas, redes de relacionamento ou serviços (por exemplo, um DDoS destinado a prejudicar ou negar o acesso a um serviço ou aplicativo; um ataque de força bruta contra um mecanismo de autenticação, como senhas, CAPTCHAS ou assinaturas digitais); web: um ataque executado a partir de um website ou aplicativo baseado na web (por exemplo, um ataque de script entre sites usados para roubar credenciais ou redirecionar para um site que explore a vulnerabilidade do navegador e instale malware); e-mail: um ataque executado por meio de uma mensagem ou anexo de e-mail (por exemplo, código de exploração disfarçado de documento anexado ou um link para um site mal-intencionado no corpo de uma mensagem de e-mail).

Também inclui a interdição da cadeia de suprimentos: ataque antagônico aos ativos de hardware ou software que utilizam implantes físicos, cavalos de Troia ou backdoors, interceptando e modificando um ativo em trânsito pelo fornecedor ou varejista; representação: um ataque envolvendo a substituição de algo benigno por algo malicioso (por exemplo, falsificação, ataques intermediários, pontos de acesso sem fio não autorizados e ataques de injeção de SQL, todos envolvendo representação); uso impróprio: qualquer incidente resultante da violação das políticas de uso aceitável de uma organização por um usuário autorizado, excluindo as categorias acima (por exemplo, um usuário instala um software de compartilhamento de arquivos, levando à perda de dados confidenciais; ou um usuário executa atividades ilegais em um sistema); perda ou roubo de equipamento: a perda ou roubo de um dispositivo ou mídia de computação usado pela organização, como laptop, smartphone ou token de autenticação; outros: um ataque que não se encaixe em qualquer dessas categorias.

Ver o NIST Computer Security Incident Handling Guide 1 para obter mais diretrizes de classificação de incidentes e vetores de ataque. Um incidente compreende um ou vários eventos de segurança da informação relacionados que podem prejudicar os ativos de uma organização ou comprometer as suas operações, onde um evento de segurança da informação compreende uma ou várias ocorrências indicando uma possível violação ou falha dos controles de segurança da informação.

As operações de detecção de incidentes requerem que haja um ponto de contato (PoC) para receber informações e uma metodologia estabelecida para a equipe detectar eventos de segurança da informação. A detecção é importante porque inicia as operações de resposta a incidentes. O PoC é o papel ou a função organizacional que serve como o coordenador ou ponto focal das atividades da operação de incidentes.

Um evento de segurança da informação é relatado pelo Usuário/Fonte de alguma maneira, conforme mostrado na ISO/IEC 27035-1:2016, Figura 4. O principal objetivo do PoC é assegurar que um evento seja relatado o mais rápido possível à organização, para que o evento possa ser tratado com eficiência. Um fator crítico de sucesso é que o PoC possui as habilidades necessárias para determinar se um evento é realmente um evento relacionado à TIC e se o PoC é capaz de descrever o evento.

Convém que o evento então seja tratado posteriormente por um PoC e depois transferido para as operações de resposta a incidentes. A organização de um PoC pode ser diferente, dependendo do tamanho e da estrutura da organização, bem como da natureza dos negócios. Isso pode afetar como as operações de incidentes são informadas sobre o evento.

REVISTA DIGITAL ADNORMAS – Edição 166 | Ano 4 | 8 de Julho 2021

Acesse a versão online: https://revistaadnormas.com.br       Revista AdNormas - Ed. 166 Ano 4
Edição 166 | Ano 4 | 8 de Julho 2021
ISSN: 2595-3362 Acessar edição
Capa da edição atual
Confira os 12 artigos desta edição:
A conformidade da refrigeração mecânica em veículos de transporte refrigerado
A auditoria remota aumenta a competitividade no setor de TI
O potencial das tecnologias emergentes na indústria automotiva
Os benefícios de uma auditoria interna com qualidade
Os sinais de que sua indústria não está planejando gastos corretamente
O desempenho dos misturadores de gás autônomos para uso médico
Target Adnormas
Os mitos e as verdades sobre a indústria 4.0
O ensaio para a determinação da resistência ao fogo de elementos construtivos
Determinando os vários gases que exalam dos escapamentos dos veículos leves
As especificações comerciais das pavimentadoras de concreto
As diferenças entre a telefonia blindada e a criptografada
A responsabilidade das empresas em um novo amanhã

BS 10025: o código de prática para a gestão de registros

A BS 10025:2021 – Management of records – Code of practice oferece orientação prática para ajudar as organizações a gerenciar seus registros.  Abrange tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades, que pode chamar de dados, documentos, informações, informações documentadas ou uma combinação de todos esses termos.

Todas as organizações precisam gerenciar registros para apoiar suas necessidades e objetivos de negócios, ajudar a cumprir as obrigações legais e regulamentares e aproveitar o valor das informações produzidas para impulsionar a inovação e a melhoria dos negócios. A norma é nova e fornece orientação prática sobre como fazê-lo, sendo que usa o termo registros para tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades – mas recomenda que, como parte de sua política, uma organização defina e descreva o termo que acha que funciona melhor para ele, se diferente.

Ela se aplica a todas as organizações, independentemente de seu tamanho, complexidade ou ambientes operacionais. É relevante para organizações nos setores público, privado e sem fins lucrativos, agências, autoridades, instituições de caridade, empresas, corporações, departamentos governamentais, instituições, parcerias, universidades e comerciantes individuais.

O código se destina a qualquer pessoa responsável pela gestão de registros de uma organização – não apenas a profissionais ou especialistas em gestão de registros e áreas relacionadas. Em particular, o código foi escrito para todos aqueles em uma organização que têm uma função de liderança na gestão de registros, mas podem não estar familiarizados com os princípios e boas práticas.

É também para aqueles que oferecem suporte a áreas específicas da gestão de registros, por exemplo, desenvolvedores de sistemas de TI usados para capturar, processar e armazenar registros. Recomenda-se que uma organização atribua a responsabilidade operacional pela gestão geral de registros a um trabalhador com o conhecimento e as habilidades necessárias e que a política da organização e as regras de negócios relacionadas sejam baseadas em consultas com especialistas e especialistas relevantes.

Este novo código de prática do Reino Unido oferece orientação prática para ajudar as organizações a gerenciar seus registros. Abrange tudo o que uma organização produz, recebe e acumula na entrega de suas operações e atividades, que pode chamar de dados, documentos, informações, informações documentadas ou uma combinação de todos esses termos.

A norma destaca outras normas nacionais, internacionais e outras relevantes com informações adicionais úteis, por exemplo, a BS EN ISO/IEC 27002. Também defende que a gestão de registros seja incorporada aos processos e ferramentas de negócios centrais de uma organização e não seja tratado como uma atividade independente.

Ela poderá ajudar as organizações a alavancar o valor das informações dos registros para apoiar as necessidades e objetivos do negócio e impulsionar a melhoria e inovação; demonstrar às partes interessadas que estão seguindo as boas práticas na gestão de registros – as partes interessadas podem ser cidadãos, contribuintes, clientes, reguladores ou tribunais; a cumprir as obrigações legais e regulamentares: em particular os requisitos de proteção de dados e de liberdade de informação; a implementar a segurança da informação de forma mais eficaz; acelerar a inovação; a desenvolver experiência na gestão de registros; a melhorar a eficiência e a economia de tempo nos processos; e a gerenciar melhor os riscos.

Conteúdo da norma

Prefácio II

Introdução 1

1 Escopo 2

2 Referências normativas 3

3 Termos e definições 3

4 Princípios de boas práticas para a gestão de registros 5

5 Estabelecendo e mantendo uma estrutura de gestão 6

5.1 Produzindo e gerenciando uma política 6

5.2 Implementando arranjos organizacionais 7

6 Identificação, criação e captura de registros para atender aos requisitos de uma organização 9

6.1 Identificação de requisitos para criação e captura 9

6.2 Criação e captura dos registros 10

6.3 Fazendo alterações nos registros 11

7 Organização de registros para recuperação e processamento 12

7.1 Construindo estruturas para recuperação e processamento eficazes 12

7.2 Agrupando registros em unidades gerenciáveis 13

7.3 Acompanhar quais registros são mantidos 14

8 Processamento e armazenamento de registros 15

8.1 Criação e captura de registros 15

8.2 Gerenciamento de armazenamento de registros físicos e infraestrutura de TI contendo registros 15

8.3 Processamento e gestão de registros em sistemas de TI 16

9 Gerenciando a segurança e controlando o acesso 18

9.1 Protegendo registros em todas as mídias e formatos 18

9.2 Protegendo registros em sistemas de TI e infraestrutura de TI 19

10 Gerenciando a retenção e organizando o descarte 19

10.1 Estabelecer e documentar os requisitos de retenção 20

10.2 Organizando o descarte de registros 21

10.3 Destruindo registros e a infraestrutura de TI na qual eles estão armazenados 22

10.4 Transferência de registros para preservação em um arquivo 23

11 Estabelecer e manter acordos com outras organizações 23

11.1 Gerenciamento de registros criados, capturados, processados ou armazenados por outra organização 23

11.2 Gerenciar registros produzidos como parte do trabalho colaborativo 24

12 Monitoramento e relatórios sobre a gestão de registros 25

12.1 Medindo o desempenho 25

12.2 Avaliação e relatórios sobre a eficácia geral 26

Bibliografia 27

As organizações produzem, recebem e acumulam, na entrega de suas operações e atividades, dados, documentos e informações (ou uma combinação destes e de outros termos relacionados), juntamente com e-mails, mensagens de texto e outras comunicações eletrônicas; eles mostram quem fez o quê, quando. Esta norma britânica refere-se a eles coletivamente como registros e estabelece as boas práticas recomendadas para uma organização seguir em sua gestão.

As organizações precisam identificar, criar e capturar registros e tipos de registros específicos para atender aos requisitos legais, regulatórios e de negócios. As organizações precisam saber quais registros possuem e ser capaz de recuperá-los prontamente. Quando recuperados, as organizações precisam de registros de boa qualidade e fontes confiáveis e autorizadas; e ser capaz de extrair valor do conteúdo desses registros, quando apropriado.

Uma organização precisa reter seus registros pelo tempo necessário para cumprir suas obrigações legais e regulamentares e necessidades de negócios; identificar e preservar registros de valor contínuo; e destruir de forma regular, sistêmica e segura outros registros, particularmente registros que consistem em, ou incluindo, informações pessoais ou dados que uma organização pode não ter mais um motivo comercial para reter. Ao mesmo tempo, a destruição, modificação ou movimentação de registros ou conjuntos de registros deve poder ser interrompida quando orientada, por exemplo, pelos tribunais ou reguladores.

Mudanças de tecnologia, sistemas, plataformas e software desafiam a própria ideia do que é um registro. Um registro criado por meio do preenchimento e envio de um formulário eletrônico pode ser dividido e armazenado como elementos de dados, em um, mais ou mais bancos de dados. Pode não existir em uma forma substantiva. Os elementos de dados e como eles se encaixam precisam ser documentados e corrigidos juntos para que uma organização seja capaz de reconstruir o registro, recuperá-lo e processá-lo, retê-lo para atender às obrigações legais e regulamentares e às necessidades de negócios e possivelmente retê-lo permanentemente, se ele tiver continuado a ter valor, ou destruí-lo com segurança.

A gestão eficaz de registros é a chave para uma boa governança corporativa, protegendo os direitos de uma organização, preservando o conhecimento e experiência acumulados de funcionários atuais e antigos, bem como apoiando uma organização no cumprimento de suas obrigações legais e regulamentares e necessidades de negócios do dia a dia. Os princípios e as práticas recomendadas nesta norma britânica são destinados a ajudar uma organização a fornecer gerenciamento eficaz de registros, bem como a alavancar o valor das informações de seus registros e a impulsionar a inovação e a melhoria dos negócios.

As organizações são incentivadas a ver seus registros como principais ativos estratégicos e operacionais, e a alta administração como seu negócio estabelecer e manter a supervisão direta da gestão dos registros da organização. Esta norma apoia e permite o gerenciamento eficaz dos registros de uma organização, ajudando a integrar o gerenciamento aos processos mais amplos da organização e unindo a gama de padrões aplicáveis. Ela oferece suporte a áreas relacionadas, como entrega, a segurança da informação eficaz e a implementação da BS EN ISO/IEC 27002 e, por sua vez, a implementação da BS EN ISO/IEC 27002 e outras normas relacionadas. Existem referências neste documento a normas que fornecem informações adicionais úteis: a BS 10008-1 e BS 10010.

Gerenciando uma auditoria de sistemas de gestão da segurança da informação

A NBR ISO/IEC 27007 de 05/2021 – Segurança da informação, segurança cibernética e proteção da privacidade – Diretrizes para auditoria de sistemas de gestão da segurança da informação fornece orientações sobre como gerenciar um programa de auditoria de sistemas de gestão da segurança da informação (SGSI), como executar as auditorias e a competência dos auditores de SGSI, em complemento às orientações descritas na NBR ISO 19011. Este documento é aplicável a todos que necessitam entender ou realizar auditorias internas ou externas de um SGSI ou ainda gerenciar um programa de auditoria de SGSI.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como analisar criticamente a informação documentada ao conduzir a auditoria?

Como determinar a competência do auditor?

Quais devem ser os objetivos, escopo, critérios e evidências da auditoria?

Quais são os requisitos para informação documentada na NBR ISO/IEC 27001?

A auditoria de um sistema de gestão da segurança da informação (SGSI) pode ser realizada com base em vários critérios de auditoria, separadamente ou combinados, incluindo, mas não limitados a: requisitos definidos na NBR ISO/IEC 27001:2013; políticas e requisitos especificados pelas partes interessadas relevantes; requisitos estatutários e regulamentares; processos e controles de SGSI definidos pela organização ou outras partes; plano (s) do sistema de gestão relacionado(s) ao fornecimento de saídas específicas de um SGSI (por exemplo, planos para abordar riscos e oportunidades ao estabelecer o SGSI, planos para alcançar objetivos de segurança da informação, planos de tratamento de riscos, planos de projetos).

Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias de SGSI de escopos e escalas variados, incluindo aquelas conduzidas por grandes equipes de auditoria, geralmente de organizações maiores, e aquelas por auditores únicos, em organizações grandes ou pequenas. Convém que esta orientação seja adaptada conforme apropriado ao escopo, complexidade e escala do programa de auditoria do SGSI.

Este documento se concentra nas auditorias internas do SGSI (primeira parte) e nas auditorias do SGSI conduzidas pelas organizações em seus fornecedores externos e outras partes interessadas externas (segunda parte). Este documento também pode ser útil para auditorias externas do SGSI realizadas para outros fins que não a certificação de sistemas de gestão de terceiros.

A ISO/IEC 27006 fornece requisitos para auditar o SGSI para certificação de terceira parte. Este documento pode fornecer orientações adicionais úteis. Este documento deve ser usado em conjunto com as orientações contidas na NBR ISO 19011:2018. Este documento segue a estrutura da NBR ISO 19011:2018.

A NBR ISO 19011:2018, fornece orientações sobre a gestão de programas de auditoria, a realização de auditorias internas ou externas dos sistemas de gestão, bem como sobre a competência e avaliação dos auditores do sistema de gestão. O Anexo A fornece orientação para as práticas de auditoria do SGSI, juntamente com os requisitos da NBR ISO/IEC 27001:2013, Seções 4 a 10.

Considerações específicas para o SGSI para determinar os objetivos do programa de auditorias podem incluir: os requisitos da segurança da informação identificados; os requisitos da NBR ISO/IEC 27001; o nível de desempenho do auditado, conforme refletido na ocorrência de eventos e incidentes de segurança da informação e medição de eficácia do SGSI. As informações adicionais sobre o monitoramento do desempenho, medições, análises e avaliações podem ser encontradas na NBR ISO/IEC 27004.

Também, devem ser considerados os riscos de segurança da informação para as partes pertinentes, ou seja, auditado e cliente da auditoria. Exemplos de objetivos de programas de auditoria específicos do SGSI incluem o seguinte: a demonstração da conformidade com requisitos contratuais e legais pertinentes e outros requisitos e suas implicações de segurança da informação; a obtenção e manutenção da confiança na capacidade de gestão de riscos do auditado; a avaliação da eficácia das ações para endereçar os riscos e as oportunidades de segurança da informação.

Convém que medições para assegurar a confidencialidade e a segurança das informações sejam determinadas, considerando os auditados e outros requisitos de partes pertinentes. Outros requisitos de partes pertinentes podem incluir requisitos legais e contratuais relevantes.

A extensão do programa de auditoria pode incluir o seguinte: o tamanho do SGSI, incluindo: o número total de pessoas que trabalham sob o controle da organização e a relação com os contratados e as partes pertinentes que são relevantes para o SGSI; o número de sistemas de informação; o número de localidades cobertas pelo SGSI; a complexidade do SGSI (incluindo o número e a criticidade das atividades e processos), considerando diferenças entre localidades dentro do escopo do SGSI; a importância dos riscos de segurança da informação identificados para o SGSI em relação ao negócio; a importância dos riscos e oportunidades determinados no planejamento do SGSI; a importância da preservação da confidencialidade, integridade e disponibilidade da informação dentro do escopo do SGSI; a complexidade dos sistemas de informação a serem auditados, incluindo a complexidade da tecnologia da informação adotada; o número de localidades similares.

Convém que consideração seja dada no programa de auditoria para estabelecer prioridades que garantam um exame mais detalhado com base na importância dos riscos de segurança da informação e nos requisitos do negócio em relação ao escopo do SGSI. As informações adicionais sobre como determinar o tempo de auditoria podem ser encontradas na ISO/IEC 27006.

As informações adicionais sobre a amostragem em múltiplas localidades podem ser encontradas na ISO/IEC 27006 e no documento obrigatório 1 do Fórum de Acreditação Internacional (IAF MD1. As informações contidas na ISO/IEC 27006 e IAF MD1 são referentes apenas a auditorias de certificação.  Convém que os auditores do SGSI dediquem tempo suficiente para analisar criticamente a eficácia das ações de mitigação dos riscos de segurança da informação e das oportunidades e riscos relacionados ao SGSI, em particular, para todos os riscos significantes aplicáveis ao auditado e relevantes para os objetivos do programa de auditoria.

Os objetivos da auditoria podem incluir a avaliação sobre se o SGSI identifica adequadamente e considera os requisitos de segurança da informação; a determinação da extensão da conformidade dos controles de segurança da informação com os requisitos e procedimentos do SGSI. Convém que o escopo da auditoria considere os riscos de segurança da informação bem como os riscos e as oportunidades relevantes que afetam as partes pertinentes do SGSI, como por exemplo, o cliente da auditoria e o auditado.

Os seguintes tópicos podem ser considerados como critérios da auditoria e usados como uma referência, com base na qual a conformidade é determinada: a política de segurança da informação, os objetivos de segurança da informação, as políticas e os procedimentos adotados pelo auditado; os requisitos legais e contratuais e outros requisitos relevantes para o auditado; os critérios dos riscos de segurança da informação do auditado, o processo de avaliação de riscos e o processo de tratamento de riscos; a Declaração de Aplicabilidade, a identificação de qualquer requisito específico do setor ou outros controles necessários, a justificativa para inclusão, se os controles estão ou não implementados e a justificativa para exclusão dos controles da ABNT NBR ISO/IEC 27001:2013, Anexo A.

Deve-se incluir a definição de controles para tratar os riscos de forma apropriada; os métodos e os critérios usados para o monitoramento, a medição, a análise e a avaliação do desempenho da segurança da informação e da eficácia do SGSI; os requisitos de segurança da informação requeridos por um cliente; e os requisitos de segurança da informação aplicáveis por um fornecedor ou terceirizado. Se uma auditoria conjunta for realizada, convém que atenção particular seja dada para a divulgação de informações entre as partes pertinentes.

Convém que acordos sobre este tema sejam firmados com todas as partes interessadas antes do início da auditoria. Convém que a competência global da equipe de auditoria inclua conhecimento adequado e entendimento da gestão de riscos de segurança da informação, suficiente para avaliar os métodos usados pelo auditado; a segurança da informação e da gestão da segurança da informação suficiente para avaliar a seleção dos controles, o planejamento, a implementação, a manutenção, e a eficácia do SGSI.

Quando necessário, convém que seja tomado cuidado para assegurar que os auditores obtenham a habilitação de segurança necessária para acessar informações documentadas ou outras informações necessárias para as atividades de auditoria (incluindo, entre outras, informações confidenciais ou sensíveis). Antes do início da auditoria, convém que o auditado seja questionado se alguma evidência de auditoria do SGSI não está disponível para análise crítica pela equipe de auditoria, por exemplo, porque as evidências contêm dados pessoais ou outras informações confidenciais/sensíveis.

Convém que o responsável pela gestão do programa de auditoria determine se o SGSI pode ser adequadamente auditado na ausência de evidência de auditoria. Se a conclusão for de que não é possível auditar adequadamente o SGSI, sem analisar criticamente as evidências identificadas de auditoria, convém que a pessoa responsável pelo gerenciamento do programa de auditoria aconselhe o auditado de que não é possível que a auditoria ocorra até que acordos de acesso apropriados sejam concedidos ou meios alternativos para realizar a auditoria sejam propostos para ou pelo auditado.

Se a auditoria prosseguir, convém que o plano de auditoria considere as limitações de acesso. Convém que o líder da equipe de auditoria esteja ciente de que riscos para o auditado podem resultar da presença dos membros da equipe de auditoria. A presença da equipe de auditoria pode influenciar a segurança das informações e apresentar uma fonte de risco adicional às informações do auditado, por exemplo, registros confidenciais ou sensíveis ou infraestrutura do sistema (por exemplo, apagamento acidental, divulgação não autorizada de informações, alteração não intencional de informações).

A desativação dos sistemas de armazenamento subterrâneo de combustíveis (SASC)

É importante compreender os requisitos a serem atendidos quando da desativação temporária ou permanente, e/ou da remoção, destinação e preparação de tanque subterrâneo e dos outros componentes do sistema de armazenamento subterrâneo de combustíveis (SASC), utilizado no armazenamento de combustíveis.

A NBR 14973 de 02/2021 – Armazenamento de líquidos inflamáveis e combustíveis – Desativação, remoção, destinação e preparação de tanques subterrâneos e dos outros componentes do sistema de armazenamento subterrâneo de combustíveis (SASC) estabelece os requisitos a serem atendidos quando da desativação temporária ou permanente, e/ou da remoção, destinação e preparação de tanque subterrâneo e dos outros componentes do sistema de armazenamento subterrâneo de combustíveis (SASC), utilizado no armazenamento de combustíveis.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que é uma área de trabalho?

O que são os resíduos classe 1?

Como deve ser feita a desativação permanente dos tanques?

Como deve ser executada a destinação final dos materiais?

Os serviços de desativação temporária ou permanente, remoção e envio para a preparação e destinação de tanques subterrâneos usados e dos outros componentes do SASC devem ser executados, parcial ou totalmente, por empresa certificada conforme legislação vigente. A empresa certificada deve ser responsável pela rastreabilidade de todas as etapas do processo.

Todos os profissionais envolvidos no processo de execução dos serviços previstos nesta norma devem possuir vínculo contratual com a empresa responsável contratada para a execução dos serviços. A empresa responsável pela desativação e remoção do tanque subterrâneo usado e dos outros componentes do SASC deve apresentar ao contratante dos serviços ou responsável pelo tanque a ser desativado ou removido a documentação que comprove a destinação final. Para mais informações sobre a atividade, ver a Portaria Inmetro 009:2011.

Deve ser efetuado um planejamento prévio no início dos serviços. Deve ser especificada a área de trabalho, situada em torno da região de acesso ao SASC, demarcada e sinalizada de forma que apenas as pessoas habilitadas e autorizadas tenham acesso a ela, e devem ser registrados os equipamentos e dispositivos a serem utilizados na execução dos serviços. Este planejamento deve ser preferencialmente conduzido com a participação de todos os envolvidos (contratante, empreendedor, contratado e transportador).

Após a remoção e transporte do tanque e dos outros componentes do SASC, para a (s) empresa (s) responsável (is) pela destinação de tanque e dos outros componentes do SASC, os serviços de destinação final devem ser executados conforme a Seção 10. Este planejamento visa garantir que os serviços sejam realizados com segurança.

O planejamento para desativação do tanque subterrâneo e dos outros componentes do SASC deve considerar um estudo prévio das interferências (redes hidráulicas, elétricas, pluviais, etc.) sobre o tanque e sobre os outros componentes do SASC, a serem removidos. A retirada do tanque deve ser precedida da retirada do lastro existente e da inertização, ou desgaseificação.

Se a sua remoção colocar em risco as instalações ou edificações existentes, o tanque pode permanecer na cava após a sua desativação permanente, ou seja, a paralisação definitiva do uso do tanque, mediante laudo técnico que comprove a inviabilidade ou risco de sua retirada, e deve ser recolhida a respectiva anotação de responsabilidade técnica por profissional habilitado (ART). Os outros componentes do SASC devem ser removidos e destinados conforme a Seção 10.

O tanque e os outros componentes do SASC devem ser considerados Resíduos Classe 1 – Perigosos, conforme a NBR 10004. Para a destinação final os resíduos resultantes da desativação e/ou remoção devem ser selecionados em três grupos, conforme a seguir. Grupo 1 – componentes metálicos – tanque; tubulação metálica; válvula predominantemente metálica, câmara de calçada metálica e aro, dispositivo para descarga selada dispositivo, tubo metálico flexível, etc.; Grupo 2 – componentes plásticos – câmara de contenção (sump, spill), caixa separadora de água e óleo, tubulação não metálica, flange de vedação, etc.; Grupo 3 – componentes eletroeletrônicos – sensor do sistema de detecção de vazamento, sonda do sistema de medição de volume, painel de alarmes, etc.

Como procedimentos iniciais de segurança, deve ser delimitada uma área de trabalho em torno da região de acesso ao tanque e dos outros componentes SASC, sendo esta área definida em função do processo a ser utilizado. Esta área deve ser isolada e sinalizada com placas ostensivas de advertência, informando a proibição de se produzir chama ou centelha, de fumar e de acesso a pessoas não autorizadas.

Posicionar o equipamento de combate a incêndio, como extintores apropriados e, quando disponíveis, mangueiras de combate a incêndio, em local acessível e próximo ao limite interno da área de trabalho. Previamente à desconexão dos componentes do SASC, garantir que o quadro de disjuntores dos equipamentos conectados ao tanque a ser removido esteja desligado, sinalizado (não ligar o equipamento) e interditado, mediante o uso de lacre ou outros dispositivos.

Todos os equipamentos elétricos também devem ter etiquetas de advertência (não ligar o equipamento) nas suas chaves elétricas, exceto os equipamentos elétricos para atmosfera explosiva a serem utilizados no serviço. Caso haja iminência ou ocorrência de chuvas e/ou ventos, o responsável pela obra deve avaliar a necessidade de paralisar o serviço.

Certificar-se de que todas as tubulações ligadas ao tanque a ser removido estejam previamente drenadas e desconectadas, evitando-se possíveis derrames de produtos. O tanque deve conter o mínimo de produto possível no momento do início desta operação. O lastro deve ser retirado por equipamento específico.

Todo o equipamento elétrico utilizado, inclusive para a retirada do lastro, deve ser compatível com a classificação de risco da área em que será utilizado e deve estar adequadamente conectado ao sistema de ligação equipotencial e aterrado. Durante toda a operação, deve-se manter o monitoramento com explosímetro, verificando a presença de vapores inflamáveis na área de trabalho.

A desgaseificação de tanque pode ser feita por ventilação ou com a utilização de água, de modo que a atmosfera no interior do tanque seja levada a valor igual ou inferior a 10% do limite inferior de explosividade (LIE). Devem ser realizadas medições de explosividade em pelo menos cinco pontos do tanque: no fundo, no meio, na parte superior e nos pontos de acesso (descarga e boca de visita). A desgaseificação por ventilação deve ser feita por intermédio de insuflação ou exaustão de ar, até que se consiga valor igual ou inferior a 10% do LIE.

Os equipamentos elétricos utilizados devem ser específicos para atmosfera explosiva. O equipamento de inserção de ar no interior do tanque deve estar devidamente aterrado e com o mesmo potencial elétrico do tanque (ligação equipotencial), de forma a eliminar a possibilidade de descarga de eletricidade estática. A pressão não pode exceder 34,5 kPa (5,0 psi) no interior do tanque. Este procedimento não pode ser realizado no estabelecimento onde foi realizada a remoção do tanque.

Para a desgaseificação por hidrojateamento, os resíduos gerados nesta operação devem ser destinados e documentados, conforme determinado pela legislação ambiental. O veículo, as bombas e demais equipamentos elétricos de hidrojateamento devem ser posicionados fora da área de trabalho.

A bomba de transferência e o caminhão devem ser aterrados. As mangueiras utilizadas na operação devem ter alma de aço ou outro material capaz de escoar as cargas estáticas. O processo de hidrojateamento deve ser repetido, até que se consiga explosividade igual ou inferior a 10% do LIE.

A aplicação do hidrojateamento deve ser feita por um bocal do tanque, de preferência aquele com o nível mais alto, e a sucção pelo bocal mais distante, com nível mais baixo, caso exista alguma inclinação no tanque. A ponteira metálica da mangueira utilizada deve ser de material não centelhante e estar eletricamente conectada ao tanque.

Para a desgaseificação por enchimento com água, devido à grande geração de resíduos, este procedimento deve ser utilizado como último recurso. Os resíduos gerados nesta operação devem ser destinados e documentados, conforme determinado pela legislação ambiental.

O veículo, as bombas e demais equipamentos elétricos devem ser posicionados fora da área de trabalho. O tanque deve ser completamente cheio com água, e esta deve ser aplicada, de preferência, pelo bocal com o nível mais alto, e a sucção pelo bocal de nível mais baixo. Para os tanques com boca de visita, a água deve ser aplicada pela boca de descarga e succionada por um dos flanges da boca de visita.

Este processo deve ser repetido até que a explosividade com o tanque vazio seja igual ou inferior a 10% do LIE. As bombas e mangueiras devem estar conectadas eletricamente ao tanque e aterradas. Deve-se ter o máximo cuidado para que a água injetada não transborde do tanque.

Durante toda a operação, deve-se manter o monitoramento com explosímetro, verificando a presença de vapores inflamáveis na área de trabalho. Para a inertização com nitrogênio (N2), durante a realização do serviço, todas as conexões devem estar tamponadas, com exceção do respiro e da conexão para a injeção do nitrogênio. A injeção de nitrogênio deve ser efetuada por meio da conexão de descarga, utilizando-se um adaptador apropriado.

Antes da abertura da válvula de admissão de nitrogênio para o tanque, a pressão de saída do regulador do cilindro deve estar ajustada para 0,5 kgf/cm². A válvula de admissão de nitrogênio para o tanque deve ser aberta lentamente. A proporção mínima de nitrogênio a ser utilizada deve ser de um cilindro de nitrogênio de 9 m³ para cada 5 m³ do compartimento do tanque.

Os cilindros que tiverem sido parcialmente utilizados não podem ser aplicados em processos de inertização, de forma que o volume de nitrogênio necessário seja garantido. Todo o volume do cilindro deve ser descarregado no tanque, o que ocorrerá quando o manômetro do cilindro indicar pressão zero. As pressões no tanque não podem exceder 34,5 kPa (5,0 psi).

Ao término do processo de inertização, o adaptador instalado na tubulação de descarga deve ser removido. Deve-se garantir que a concentração de oxigênio no interior do tanque seja igual a zero. Com exceção da conexão do respiro, todas as demais conexões devem permanecer tamponadas. Na conexão do respiro, deve ser utilizada uma redução de 3 mm (1/8 pol), aberta para evitar sobrepressões no tanque, devido às variações de temperatura.

Para a inertização com dióxido de carbono sólido (gelo seco), deve-se utilizar a proporção de 9 kg de gelo seco para cada 5 m³ de capacidade do tanque. O gelo seco deve ser raspado ou triturado e inserido por meio dos bocais do tanque. Durante o processo de inserção do gelo seco, todas as bocas devem estar tamponadas, com exceção do respiro.

Deve-se garantir que a concentração de oxigênio no interior do tanque seja igual a zero. Para a remoção do tanque e dos outros componentes do SASC, após a desgaseificação ou inertização do tanque, os responsáveis pelo serviço devem certificar-se de que, durante o trabalho de retirada do tanque da cava, a explosividade do tanque seja igual ou inferior a 10% do LIE ou, no caso da inertização, que o nível de oxigênio esteja com 0%.

Caso exista rede elétrica aérea situada a menos de 3 m do equipamento de içamento, solicitar à concessionária de energia elétrica o seu desligamento. Caso não seja possível o desligamento, solicitar o isolamento da rede com material apropriado. Providenciar, sempre que possível, a colocação do tanque no caminhão de transporte, imediatamente após ter sido retirado da cava.

O equipamento de içamento deve ter capacidade compatível de pelo menos 1,5 o peso teórico do tanque. O cálculo da carga deve contemplar, além do tanque, uma estimativa do resíduo existente no seu interior. Em cavas com mais de 2 m de profundidade, não pode ser permitida a entrada de pessoas sem que as paredes destas cavas sejam escoradas. Além disso, a abertura da cava deve seguir os critérios usados para instalação de tanques da NBR 16764.

Atenção especial deve ser dada à condição de uso dos cabos de aço, cordas, roldanas e guinchos usados no içamento do tanque. Verificar a presença de furos ou fissuras no costado do tanque. Tamponar, sempre que possível, os furos com batoque de madeira.

No caso de tanques com resíduos em seu interior, devem ser tomadas ações para evitar vazamentos pelos furos durante o transporte ou armazenamento do tanque. Os outros componentes SASC devem ser removidos quando da desativação total do SASC e separados por grupos, para transporte e destinação final para a (s) empresa (s) capacitada (s) e licenciada (s).