Governança de Tecnologia da Informação

Prévia do material em texto

e-Book 3
Carla Cristina Braz de Oliveira
GOVERNANÇA DE 
TECNOLOGIA DA 
INFORMAÇÃO
Sumário
INTRODUÇÃO ������������������������������������������������� 3
TQM – TOTAL QUALITY MANAGEMENT ������� 4
EFQM – EUROPEAN FOUNDATION FOR 
QUALITY MANAGEMENT ������������������������������� 7
ISO 9000 ������������������������������������������������������11
CERTIFICAÇÃO TICKIT ��������������������������������17
ISO 20000 ����������������������������������������������������18
ISO 19770 ����������������������������������������������������21
ISO 15504 ����������������������������������������������������23
ISO 27001 ����������������������������������������������������25
CONSIDERAÇÕES FINAIS ����������������������������31
REFERÊNCIAS BIBLIOGRÁFICAS & 
CONSULTADAS ��������������������������������������������33
3
INTRODUÇÃO
Vamos estudar, aqui, sobre algumas ferramentas 
que podem nos auxiliar na obtenção da qualidade 
em produtos e serviços, seja na área específica de 
TI ou em áreas mais gerais, mas que podem ser 
utilizadas na área de tecnologia.
Assim, para a obtenção dessa qualidade verificare-
mos a TQM (Total Quality Management), o modelo 
de excelência da EFQM e algumas ISOs, como: 
9000, 20000, 19770, 15504 e 27001. A sigla ISO 
vem do acrônimo de International Organization for 
Standardization, ou seja, Organização Internacional 
de Padronização, sendo um meio de promover a 
normalização de produtos e serviços, utilizando 
determinadas normas para que haja qualidade 
nos resultados.
Mais de 111 países integram essa importante 
organização internacional especializada em pa-
dronização, na qual o Brasil é representado pela 
ABNT (Associação Brasileira de Normas Técnicas).
44
TQM – TOTAL QUALITY 
MANAGEMENT
TQM, no inglês Total Quality Management, ou sim-
plesmente Gestão da Qualidade Total, possui várias 
definições. Ora é conceituado como um sistema, 
ora como uma filosofia e, muitas vezes, como uma 
abordagem e metodologia. No entanto, o que se 
tem em comum em muitas dessas definições é 
que seu objetivo maior é a busca pela satisfação 
do cliente. A TQM baseia-se na melhoria contínua 
de produtos, serviços e processos.
De acordo com Vieira (2007), a TQM é composta 
de cinco itens, aos quais as estratégias das orga-
nizações são vinculadas:
 y Qualidade intrínseca: na qual o produto pro-
duzido tem a qualidade do que foi proposto no 
planejamento;
 y Preço reduzido: os produtos devem ser plane-
jados e executados de forma a garantir um preço 
baixo, porém com qualidade, utilizando matéria-
-prima, mão de obra, fornecedores etc. que não 
percam tempo nem dinheiro;
 y Pontualidade: refere-se ao fato de ter sempre 
estoque mínimo que garanta a reposição automá-
tica, assim o produto chegará sempre ao cliente 
no tempo estimado;
55
 y Utilização segura: significa gerar produtos ou 
serviços de garantia com segurança;
 y Moral da equipe: refere-se a garantias relacio-
nadas à capacitação e à motivação dos colabora-
dores, gerando mudanças culturais, transformando 
e/ou melhorando rotinas.
 y Assim, com base nesses itens listados foram 
definidos alguns “mandamentos” da TQM:
 y 1° Mandamento – Comprometimento: esse 
comprometimento deve ser por parte geral da 
organização, desde a alta diretoria até os servi-
ços operacionais com uma busca constante pela 
excelência;
 y 2° Mandamento – Mudança cultural: trata-se 
do primeiro passo da implantação da TQM, pois 
a premissa é que não são aceitos erros; para isso 
é preciso conhecer as necessidades do cliente e 
utilizar o modelo EPDCA (Avaliar, Planejar, Fazer, 
Controlar e Aperfeiçoar);
 y 3° Mandamento – Satisfação cliente-forne-
cedor: nesse momento é preciso entender que o 
cliente é a razão de existir da organização, sem ele 
não há empresa; por isso, é preciso ter uma ótima 
interação com ele;
 y 4º Mandamento – Comunicação e dissemina-
ção de informações: esse mandamento se refere 
à transparência o que permite que as informações 
cheguem ao seu destino da melhor forma;
66
 y 5º Mandamento – Desenvolvimento de recur-
sos: estes são referentes aos recursos humanos 
que, segundo a TQM, devem ser desenvolvidos, 
contribuindo para sua vida pessoal e profissional;
 y 6° Mandamento – Gestão participativa e trabalho 
em grupo: seguindo os mandamentos anteriores, 
obter uma gestão em que as decisões são conjun-
tas e o trabalho em grupo serão práticas comuns;
 y 7º Mandamento – Sistemas e ferramentas: 
utilizar ferramentas e sistemas de controle de de-
sempenho auxilia para que os clientes se sintam 
totalmente atendidos.
Portanto, a Qualidade Total possui esses princípios 
fundamentais, mas suas características mais im-
portantes são: foco no cliente, trabalho em equipe 
(com distribuição de tarefas e responsabilidades), e 
a procura constante para a resolução de problemas 
e erros; por isso, é imprescindível o envolvimento de 
todos os colaboradores da empresa no processo.
7
EFQM – EUROPEAN 
FOUNDATION FOR 
QUALITY MANAGEMENT
Fundada em 1988, a EFQM (European Foundation 
for Quality Management) fornece um modelo para 
as organizações que desejam alcançar a exce-
lência nos negócios por meio de um programa de 
aperfeiçoamento contínuo.
Esse modelo, criado pela EFQM em 1991, cujo foco 
é a autoavaliação como processo de aprendizagem, 
tem por objetivo realizar diagnósticos e avaliações 
do grau de excelência que uma organização pode 
alcançar, estimulando sua melhoria contínua. Se-
gundo Müller e Berger (2012), a técnica é capaz de 
localizar as forças e fraquezas nas organizações, e 
a aplicação desse modelo colabora favoravelmente 
para o processo da gestão como um todo.
É dividido em meios (lideranças, pessoas, estraté-
gias, parceiros e recursos; e processos, produtos 
e serviços), resultados (resultados pessoas, re-
sultados clientes, resultados sociedades, e resul-
tados-chave) e o aprendizado, a criatividade e a 
inovação como forma de feedback, assim como 
ilustra a figura abaixo:
8
Figura 1: Modelo EFQM.
Meios
Liderança
Pessoas
Estratégias
Parcerias e
Recursos
Aprendizado, criatividade, inovação
Processos,
produtos e
serviços
Resultados
Pessoas
Resultados
Clientes
Resultados
Chave
Resultados
Sociedade
Resultados
Fonte: EFQM, 2014.
Nos meios apresentados, esse modelo de excelên-
cia acredita que organizações excelentes devem 
ter lideranças flexíveis, íntegras e inspiradoras, que 
garantam sucesso à organização; que as estratégias 
sejam desenvolvidas por políticas, planos, objetivos 
e processos; que as pessoas sejam valorizadas por 
meio de uma cultura de motivação adequada; que 
os recursos sejam gerados com apoio de fornece-
dores e clientes, e que haja a melhoria de processos, 
produtos e serviços com geração de valor.
Já os quatro últimos critérios são baseados na re-
flexão sobre os resultados que se deseja alcançar 
em relação aos clientes, às pessoas, à sociedade 
e ao negócio, e estabelecem que as organizações 
excelentes alcançam resultados sustentados 
notáveis quando vão ao encontro ou excedem as 
necessidades e expectativas.
9
Com base nesses critérios é realizada uma auto-
avaliação, que segue sete etapas:
 y 1ª Etapa – Desenvolver e manter o comprome-
timento: nessa etapa mostra-se a importância de 
um bom líder, capaz de delegar funções, mantendo 
um clima de confiança inter-relacional e o trabalho 
em conjunto;
 y 2ª Etapa – Desenvolver e desdobrar a estratégia 
de comunicação: esse é o momento do qual de-
pende o sucesso do processo, já que estão nessa 
etapa: sensibilização, envolvimento e motivação 
de todos os colaboradores;
 y 3ª Etapa – Planejar o processo de autoavaliação: 
nesse momento, algumas técnicas de autoavaliação 
podem ser planejadas, mas é preciso conhecer a 
realidade da organização e disso dependerá, em 
grande parte, aquilo que se espera dos resultados. 
As técnicas mais utilizadas: são o Questionário, o 
Workshop, os Formulários e a Simulação;
 y 4ª Etapa – Selecionar e formar as pessoas dire-
tamente envolvidas no processo: nesse momento,as funções são atribuídas: patrocinador, gestor de 
projeto, colaboradores, avaliadores, coordenador, 
facilitador, equipe de recolhimento de dados e de 
redação de relatório;
 y 5ª Etapa – Conduzir a autoavaliação: é nessa 
etapa em que a autoavaliação realmente acontece, 
identificando as áreas de melhoria e de pontos 
fortes e observando a evolução da organização;
10
 y 6ª Etapa – Considerar os resultados e priori-
zar: devido ao grande número de dados obtidos, é 
preciso selecionar as áreas de melhoria a serem 
tratadas;
 y 7ª Etapa – Estabelecer e implementar planos de 
ação: trata-se da fase final e mais delicada, na qual 
são gerados planos de ações, havendo a atribuição 
de responsabilidades para sua implementação, 
liderada por uma gestão firme e de forma a serem 
efetuadas as modificações necessárias.
Assim, os resultados se baseiam em um sistema 
de pontuação, que permite avaliar o “escore”, cuja 
pontuação está dividida em 50% para os meios e 
os outros 50% para os resultados, em que cada 
critério possui uma pontuação específica, de acordo 
com o grau de importância que lhe foi atribuída.
Porém, assim como toda ferramenta, esta também 
apresenta pontos fracos, já que suas melhorias são 
em nível de processos locais e não operacionais, de 
um ponto de vista mais geral e menos detalhista; 
além disso, utiliza muitos indicadores, tornando o 
controle mais difícil e mais prolixo, não priorizando 
as relações de causa e efeito entre os indicadores.
1111
ISO 9000
Em relação à gestão da qualidade, estudaremos 
agora a ISO 9000, formada pela ISO 9000, 9001, 
9004 e 19011, que se tornaram oficiais em 1987 e, 
até então, são revisadas regularmente. Elas podem 
ser aplicadas em diversos tipos de organização, 
apresentando regras relacionadas a implantação, 
desenvolvimento, avaliação e continuidade do 
Sistema de Gestão da Qualidade.
Vamos analisar cada uma detalhadamente. A ISO 
9000 tem por objetivo apresentar princípios sobre 
gestão de qualidade, como ela mesma apresenta:
Esta Norma provê os conceitos fundamentais, 
princípios e vocabulário para sistemas de gestão da 
qualidade (SGQ) e provê os fundamentos para outras 
normas de SGQ. Esta Norma é destinada a auxiliar 
o usuário a entender os conceitos fundamentais, 
princípios e vocabulário de gestão da qualidade, de 
forma que sejam capazes de implementar eficaz 
e eficientemente um SGQ e obter valor das outras 
normas de SGQ.
Essa norma apresenta oito princípios, que são base 
para as demais normas da família. São elas: foco 
no cliente, liderança, envolvimento de pessoas, 
abordagem de processo, abordagem sistêmica 
1212
para a gestão, melhoria contínua, abordagem fac-
tual para tomada de decisão, e benefícios mútuos 
nas relações com os fornecedores, que formam 
a estrutura para as normas de sistema de gestão 
da qualidade na família NBR ISO 9000.
Por ser uma norma puramente conceitual, consi-
derada com um guia, ela não é certificável, mas 
estabelece as diretrizes, em termos de entendimento 
dos itens das demais normas.
Já a ISO 9001 é a norma mais conhecida da família, 
sendo a única capaz de fornecer certificação. Um 
Sistema de Gestão da Qualidade fundamentado 
nessa norma funciona na base do PDCA (Plane-
jar – Executar – Avaliar – Agir), aplicada de forma 
cíclica:
 y Planejar (Plan): é a etapa do planejamento, 
no qual o contexto juntamente com o problema 
é analisado, e cujo resultado é a elaboração de 
um documento que apresente os passos a serem 
tomados. É possível utilizar também outras ferra-
mentas combinadas, como: Porquês ou Diagrama 
de Ishikawa.
 y Executar (Do): após completar inteiramente a 
fase do planejamento, é hora da etapa do fazer, de 
colocar a mão na massa. Importante que nesse 
momento todas as ferramentas necessárias para 
a execução já estejam prontas para ser utilizadas.
1313
 y Avaliar (Check): é a etapa de avaliação, na qual 
se observa, por meio de auditorias e reuniões, o que 
foi executado e os erros e acertos, se o resultado 
esperado foi atingido, e quais foram os pontos 
positivos e negativos.
 y Agir (Act): é uma etapa delicada, é o momento 
de agir sobre os resultados obtidos na etapa anterior, 
portanto, caso os resultados da avaliação tenham 
sido positivos, deve-se incorporar o método/proces-
so ou melhoria na rotina ou até mesmo em outros 
processos. Caso contrário, deve-se identificar os 
pontos de falhas e reiniciar o clico.
Sua estrutura é dividida em dez itens, sendo os três 
primeiros mais introdutórios: escopo, referência, 
e termos e definições. Já os outros sete itens 
são as partes mais práticas para implementação 
do Sistema de Gestão de Qualidade, usando-se o 
PDCA. Observe:
 y Escopo: apresenta a finalidade da norma para 
as organizações, independentemente de seu ramo, 
já que é uma norma genérica;
 y Referência: indica quais são as referências 
bibliográficas e sua evolução de atualização;
 y Termos e definições: auxilia as nomenclaturas 
utilizadas na norma para sua melhor compreensão;
 y Contexto da organização: aborda o que pode 
ocorrer nas organizações, stakeholders, riscos 
1414
e oportunidades do negócio, e o conhecimento 
interno e externo da organização;
 y Liderança: apresenta a importância de uma 
boa liderança, como deve ser implantada com 
foco no cliente;
 y Planejamento: como o próprio nome sugere, 
essa parte foca o planejamento e os passos para 
alcançá-lo com boa qualidade, mesmo diante de 
adversidades;
 y Suporte: discorre sobre todos os “setores” 
que compõem e apoiam uma organização, como 
financeiro, infraestrutura etc.;
 y Operação: apresenta a parte de execução dos 
processos finais da organização, assim como o 
desenvolvimento de novos produtos/serviços/
processos, controle de fornecedores, atendimento 
ao cliente, entrega etc.;
 y Avaliação de desempenho: apresenta a parte 
de análise de desempenho, averiguando como 
ocorreram os processos, por meio de auditorias, 
satisfação do cliente e análise crítica do SGQ;
 y Melhoria: destinado à melhoria contínua da qua-
lidade, apresentando ações para serem aplicadas, 
caso os objetivos são tenham sido alcançados.
Assim, enquanto a ISO 9001 contribui oferecendo 
às empresas mais confiança, possibilitando a 
produção de serviços e produtos mais consisten-
tes, a ISO 9004 garante a satisfação do cliente, 
1515
identificando e equilibrando as necessidades e 
expectativas dos clientes com seus interessados. 
A própria ISO 9004 faz essa comparação:
A NBR ISO 9004 fornece orientação para um sis-
tema de gestão da qualidade com objetivos mais 
amplos do que a NBR ISO 9001, especificamente 
no que tange à melhoria contínua do desempenho 
global de uma organização e sua eficiência, assim 
como sua eficácia. A NBR ISO 9004 é recomendada 
como uma orientação para organizações cuja Alta 
Direção deseja ir além dos requisitos estabelecidos 
na NBR ISO 9001, buscando melhoria contínua de 
desempenho. Entretanto, não tem propósitos de 
certificação ou finalidade contratual. (ISO 9004, 
2000, p. 3)
Assim, a ISO 9004 aborda tópicos como: alinha-
mento e desdobramento de estratégias, políticas 
e objetivos, dentro de uma visão mais ampla de 
organização, missão, valores e cultura.
E, por fim, temos a ISO 19011, que oferece di-
retrizes para usuários realizarem auditorias de 
primeira, segunda ou terceira parte para sistemas 
de gestão, além de estabelecer requisitos para a 
competência e a avaliação de um auditor e de uma 
equipe auditora.
E por que investir em uma auditoria?
1616
A auditoria auxilia no processo de identificação e 
antecipação de problemas, trabalhando na percepção 
de oportunidades futuras para expansão e cresci-
mento corporativo. Dessa forma, o auditor enxerga 
a empresa de forma mais clara, levantando todos 
os setores da companhia e propondo melhorias.
Para aprofundar seus conhecimentos sobre o conjunto 
de normas ISO 9000, acesse o documento oficial no link: 
http://www.standardconsultoria.com/f/files/814048ce-
04d8cdfe2b1ba9438be31009791895463.pdfe assista 
a esse vídeo sobre a ISO 9001 https://www.youtube.
com/watch?v=FYpY-Cx43ao.
SAIBA MAIS
17
CERTIFICAÇÃO TICKIT
TickIT é uma certificação de sistemas de gerencia-
mento da ISO 9000 para fabricantes de softwares e 
prestadores de serviços, direcionada a organizações 
cuja atividade comercial primária é o desenvolvimento 
e a distribuição de softwares, a operação de centros 
de dados, ou a prestação de serviços de informação.
Foi criada pelo governo do Reino Unido para asse-
gurar um método de registo do desenvolvimento 
de software baseado no standard ISO 9000-3.
Essa certificação oferece as melhores práticas por 
todo o ciclo de desenvolvimento do software, desde 
a sua concepção até a entrega, reduzindo defeitos, 
entregas atrasadas e custos de manutenção altos 
e inesperados. Em resumo, tem por objetivo:
 y Garantir a aplicação apropriada das normas da 
família ISO 9000 ao desenvolvimento de software;
 y Garantir consistência na certificação de empresas;
 y Assegurar reconhecimento internacional nesse 
esquema de certificação.
Atualmente, a iniciativa TickIT é limitada à Ingla-
terra, embora outros países estejam considerando 
a sua aplicação. Em relação ao Brasil, algumas 
empresas já usaram a abordagem, mas seu uso 
é ainda muito restrito e pouco há na literatura es-
pecializada sobre ela.
1818
ISO 20000
Agora, falaremos sobre a ISO 20000, que trata 
especificamente sobre a gestão de qualidade, 
direcionada aos serviços de TI. É o que apresenta 
como objetivo a ABNT NBR ISO/IEC 20000 (2008): 
“prover um padrão comum de referência para 
qualquer empresa que ofereça serviços de TI para 
clientes internos ou externos”.
Dessa forma, a norma é publicada em três partes: 
ISO/IEC 20000-1, que apresenta os requisitos para 
desenvolvimento e implementação de um sistema de 
gestão de TI; ISO/IEC 20000-2, que esclarece sobre 
as melhores práticas para a gestão de serviços; 
e em sua parte 3 há a orientação sobre definição 
de escopo e aplicabilidade da ISO / IEC 20000-1.
Nessa ISO podemos verificar alguns tipos de 
gerenciamento de serviços, que são termos bem 
comuns na área de Tecnologia da Informação. De 
acordo com Leite et al (2010), são eles:
 y Gerenciamento de configuração: gerencia, con-
trola e monitora qualquer componente ou elemento 
existente na infraestrutura (Itens de Configuração) 
existente no Banco de Dados do Gerenciamento 
de Configuração (BDGC);
 y Gerenciamento de incidentes: gerencia os 
incidentes na infraestrutura, para que os serviços 
1919
sejam reestabelecidos rapidamente, minimizando 
o impacto do incidente ao negócio, garantindo a 
qualidade do serviço e a sua disponibilidade aten-
dam aos Acordos de Nível de Serviços acordados;
 y Gerenciamento de problemas: gerencia os 
problemas, identificando os motivos para obten-
ção de soluções, acelerando o tempo de solução 
e gerando um banco de soluções;
 y Gerenciamento de mudanças: gerencia as 
mudanças, assegurando que elas sejam rápidas, 
fáceis, consistentes e autorizadas;
 y Gerenciamento de liberação: gerencia a distri-
buição e o controle de liberação de software, de 
hardware e atualizações;
 y Gerenciamento de nível de serviço: deixa claro 
os acordos entre os clientes e a organização de 
TI, a respeito do tipo e da qualidade dos serviços 
oferecidos, toma as medidas cabíveis para suas 
implementações, e busca soluções que garantam 
o atendimento aos níveis estabelecidos;
 y Gerenciamento de disponibilidade: gerencia o 
presente, otimiza a cadeia de prestação de serviço, 
e acompanha o negócio;
 y Gerenciamento de capacidade: gerencia o 
futuro, monitorando e avaliando o desempenho 
dos serviços, planejando também novos negócios;
 y Gerenciamento de continuidade dos serviços 
de TI: gerencia o desastre, mantendo planos de 
2020
contingência e de recuperação de desastres, so-
brevivência do negócio, riscos e vulnerabilidades;
 y Gerenciamento financeiro para serviços de 
TI: gerencia os custos efetivos, a alocação dos 
recursos financeiros, e o Retorno do Investimento 
(Return of Investment – ROI).
Não confunda os termos incidente e problema. Incidente 
é uma interrupção não planejada de um serviço de TI 
ou uma redução da qualidade de um serviço de TI. Já 
um problema é a existência de um erro, cuja causa é 
desconhecida; é a causa desconhecida de um ou mais 
incidentes. Portanto, os incidentes são causados por 
problemas que precisam ser resolvidos.
FIQUE ATENTO
21
ISO 19770
O objetivo dessa ISO é fornecer a organizações, 
independemente de tamanho, informações e as-
sistência, procurando diminuir riscos e custos na 
infraestrutura. Essa necessidade surgiu devido 
às mudanças que o departamento de TI sofreu, 
levando-o a assumir a função de realização de 
inventários do patrimônio tecnológico, que, cada 
dia mais, se moderniza, tornando essa atividade 
mais complicada.
Assim, evidencia-se a importância de buscar sis-
temas internacionais que normatizem a prática; 
nesse caso, a ISO 19770, que é dividida em cinco 
partes:
 y ISO / IEC 19770-1: é onde se encontra uma 
estrutura de processo que oferece padrão (boas 
práticas) para satisfazer os requisitos de gover-
nança corporativa e garantir um suporte eficaz 
para o gerenciamento de serviços de TI em geral;
 y ISO / IEC 19770-2: fornece um padrão de da-
dos para tags de identificação de software, que 
contêm informações como nome, edição e versão 
do software;
 y ISO / IEC 19770-3: fornece um padrão de dados 
para direitos de software, incluindo direitos de uso, 
limitações e métricas;
22
 y ISO / IEC 19770-4: fornece um padrão de dados 
para medição de utilização de recursos;
 y ISO / IEC 19770-5: fornece a visão geral e o 
vocabulário.
2323
ISO 15504
A norma ISO 15504, também conhecida como 
Spice, começou a ser desenvolvida em 1993 pela 
ISO, porém, somente em 2003 ela foi oficialmente 
publicada. Essa norma tem por objetivo realizar 
avaliações de processos de software, melhoran-
do-os; levantando pontos fracos e fortes, cujos 
resultados serão planos de melhorias, determinando 
a capacidade de viabilização e avaliação de um 
fornecedor em potencial.
Assim, essa norma pode ser utilizada tanto por uma 
organização que deseja avaliar a capacidade de 
possíveis fornecedores de produtos de software 
quanto por organizações que desejam determinar 
a capacidade de seus processos (ISO, 2005). Para 
isso, está dividida em sete partes, que são apre-
sentadas na tabela abaixo:
Tabela 1: Normas e assuntos da família 15504.
Norma Assunto
ABNT NBR ISO/IEC 15504-1 Conceitos e Vocabulário
ABNT NBR ISO/IEC 15504-2 Realização de uma avaliação
ABNT NBR ISO/IEC 15504-3 Orientações para realização de 
uma avaliação
ABNT NBR ISO/IEC 15504-4 Orientação do uso para melho-
ria do processo e determina-
ção da potencialidade de uso
ABNT NBR ISO/IEC 15504-5 Exemplo de modelo de avalia-
ção de processo
2424
Norma Assunto
ABNT NBR ISO/IEC 15504-6 Exemplo de modelo de avalia-
ção de processo de ciclo de 
vida do sistema
ABNT NBR ISO/IEC 15504-7 Avaliação da maturidade de 
uma organização
Fonte: ABNT NBR ISO/IEC 15504
25
ISO 27001
A informação é um bem valioso que pode alavancar 
ou quebrar uma empresa; assim, quando gerenciada 
de forma correta, ela permite operar com confiança. 
Diante disso, falaremos agora sobre a ISO 27001, 
pertencente à família ISO 27000, que representa 
um padrão de utilização no quesito gerenciamen-
to e gestão de segurança da informação. Assim, 
segundo a própria norma ela:
[...] cobre todos os tipos de organizações (por 
exemplo, empreendimentos comerciais, agências 
governamentais, organizações sem fins lucrativos). 
Esta Norma especifica os requisitos para estabelecer, 
implementar, operar, monitorar, analisar criticamente, 
manter e melhorar um SGSI documentado dentro do 
contexto dos riscos de negócio globais da organiza-
ção. Ela especifica requisitos para a implementação 
de controles de segurança personalizados para as 
necessidades individuais de organizações ou suas 
partes. (ABNTNBR ISO/IEC 27001, 2006)
Portanto, seu principal objetivo, na prática, é impedir 
que a informação seja utilizada por terceiros não 
desejados ou perdida de forma irremediável. No que 
se refere à sua estrutura, a imagem abaixo define:
26
Figura 2: Estrutura ISO 27001.
Cláusula 4
Contexto da 
Organização
Cláusula 6
Planejamento
Cláusula 10
Melhoria
Cláusula 8
Operação
Cláusula 9
Avaliação de
Desempenho
Cláusula 7
Suporte
Anexo A
Objetivos de Controle & Controles
Cláusula 5
Liderança
Fonte: ISO 27001 (2006).
Tais cláusulas ilustradas na imagem estão presentes 
nas dez seções presentes na ISO, que, de acordo 
com a ISO / IEC da International Organization for 
Standardization, são os mesmos da ISO 22301:2012, 
da nova ISO 9001:2015, e outras normas de ges-
tão, permitindo uma integração mais fácil dessas 
normas, sendo dividida da seguinte maneira:
 y Seção 0: Introdução – explica o propósito da 
referente ISO e como ela é compatível com outras 
normas de gestão;
 y Seção 1: Escopo – explica sobre a generali-
zação da norma e como ela pode ser aplicada a 
qualquer tipo de organização;
27
 y Seção 2: Referência normativa – refere-se à 
ISO / IEC 27000 como uma norma em que termos 
e definições são dados;
 y Seção 3: Termos e definições – traz os termos 
e definições usados na norma ISO / IEC 27000;
 y Seção 4: Contexto da organização – refere-se 
à etapa de planejamento (do ciclo PDCA), definin-
do requisitos para o entendimento de assuntos 
(externos e internos), partes interessadas e seus 
requisitos, e a definição do escopo do SGSI;
 y Seção 5: Liderança – também se refere à etapa 
de planejamento do ciclo PDCA, porém, foca as 
responsabilidades da Alta Direção, distribuindo 
os papéis e responsabilidades, e o conteúdo da 
política de segurança da informação de alto nível;
 y Seção 6: Planejamento – também se refere à 
etapa de planejamento do ciclo PDCA, porém, foca 
os requisitos para a avaliação de risco, tratamen-
to de risco, Declaração de Aplicabilidade, plano 
de tratamento de risco, e define os objetivos de 
segurança da informação;
 y Seção 7: Apoio – esta seção é parte da etapa 
de planejamento do ciclo PDCA e define requisitos 
de disponibilidade de recursos, competências, 
conscientização, comunicação e controle de do-
cumentos e registros;
 y Seção 8: Operação – esta seção é parte da etapa 
execução do ciclo PDCA e define a implementação 
da avaliação e tratamento de risco, assim como 
28
controles e outros processos necessários para 
atingir os objetivos de segurança da informação;
 y Seção 9: Avaliação do desempenho – esta 
seção é parte da etapa verificação do ciclo PDCA 
e define requisitos para monitoramento, medição, 
análise, avaliação, auditoria interna, e análise crítica 
pela Direção;
 y Seção 10: Melhoria – esta seção é parte da 
etapa de atuação do ciclo PDCA e define requisi-
tos para não conformidades, ações corretivas, e 
melhoria contínua.
 y Anexo A – este anexo disponibiliza um catálogo 
de 114 controles (salvaguardas) distribuídos em 
14 seções (seções de A.5 até A.18).
Assim, para implementá-la é necessário, principal-
mente – como em qualquer norma –, obter apoio 
da Alta Direção; além de utilizar metodologia de 
gerenciamento de projeto, definindo-se o escopo do 
SGSI. Posteriormente, é preciso escrever a política 
de segurança da informação de alto nível, definir 
a metodologia de avaliação de risco, e realizar a 
avaliação de risco e o tratamento de risco.
Para sua implementação também é necessário es-
crever a Declaração de aplicabilidade e o Plano de 
tratamento de risco; e definir como medir a eficácia 
de controles e do SGSI. Dessa forma, implementar 
todos os controles e procedimentos aplicáveis, 
os programas de treinamento e conscientização, 
29
e realizar as operações diárias prescritas pela 
documentação do SGSI.
Após essa implementação, é preciso monitorar 
e medir o SGSI com a participação da auditoria 
interna; realizar a análise crítica pela direção para 
que, no fim do processo, possa se implementar 
ações corretivas (caso seja necessário).
Você já parou para pensar quantas ISOs existem? Se 
eu tenho uma empresa ou faço parte dela, significa 
que temos que implantar todas elas? Calma! As nor-
mas do sistema de gestão ISO são possíveis, mas não 
obrigatórias. Algumas organizações optam somente 
por implementar esses padrões internacionais para 
se beneficiarem das boas práticas que essas normas 
especificam. Isso porque elas apresentam vantagens, 
tais como:
- Passa uma imagem de que a organização tem preocu-
pação e compromisso com a segurança da informação;
- Garante a realização de investimentos mais eficientes 
e orientados ao risco;
- Incrementa os níveis de sensibilidade, participação 
e motivação dos colaboradores da organização para 
com a segurança da informação e entrega de produtos/
serviços de qualidade;
REFLITA
30
- Levanta possibilidades de melhorias, sendo um pro-
cesso em melhoria contínua;
- Aumenta a confiança e a satisfação dos clientes, 
fornecedores e de todos os envolvidos no processo.
Portanto, cabe à organização analisar os prós e os 
contras, e decidir sobre sua utilização.
3131
CONSIDERAÇÕES FINAIS
Chegamos ao fim de mais uma etapa rumo ao 
conhecimento. Esse momento foi bem rico no 
que diz respeito a novidades, não foi? Verificamos 
alguns novos conceitos da área de Tecnologia da 
Informação e descobrimos várias ferramentas 
(conceituais) que nos ajudam no dia a dia.
Entendemos a importância da qualidade na entre-
ga de um produto e/ou serviço e, em busca dessa 
qualidade, vimos várias formas de chegar até ela.
Você imaginava existirem tantas ISOs que podem 
ser utilizadas na TI e outras que foram feitas jus-
tamente para essa finalidade? Provavelmente não, 
né? Uma dica: há outras que você pode conhecer. 
Para isso, basta aprofundar suas pesquisas. Exis-
tem vários livros e artigos sobre isso; então, deixe 
sua curiosidade levar você além!
E, em suas pesquisas on-line, reflita sobre outro 
ponto estudado: a segurança da informação. A 
popularização da tecnologia e o avanço da econo-
mia digital colocaram a tecnologia da informação 
definitivamente no centro do ambiente empresarial 
e, com isso, surgiram muitas ameaças com as quais 
lidamos diariamente, sem mesmo nos darmos 
conta. Por isso, é necessário pensar nesse quesito, 
pois a Gestão da Segurança da Informação existe 
3232
justamente para criar processos e sistemas para 
monitorar e proteger as informações.
Portanto, procure aprofundar-se em todas as 
ISOs, filosofias, metodologias e certificação aqui 
apresentadas. Algumas são um pouco extensas, 
mas você não irá se arrepender por se especializar 
nessa área, até porque ela fará parte do seu dia a 
dia profissional.
Referências Bibliográficas 
& Consultadas
ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS. ABNT NBR ISO 9001:2008: Sistemas 
de gestão da qualidade – requisitos. Rio de 
Janeiro, 2008.
ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS. Sistemas de gestão da qualidade – 
fundamentos e vocabulário: NBR ISO 9000. Rio 
de Janeiro, 2000.
ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS NBR ISO/IEC 20000-1. Tecnologia da 
Informação – Gerenciamento de Serviços. Parte 
1, Especificação, 2008a.
ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS NBR ISO/IEC 20000-2, Tecnologia da 
Informação – Gerenciamento de Serviços. Parte 
2, Código de Prática, 2008b.
ASSOCIAÇÃO BRASILEIRA DE NORMAS 
TÉCNICAS. Tecnologia da Informação – 
Técnicas de segurança – Código de prática para 
a gestão da segurança da informação: ABNT 
NBR ISO/IEC 27002:2005. 2. ed. Rio de Janeiro, 
2005.
BADIRU, A. B.; AYENI, B. J.: Quality and process 
improvement. Cap.1 The Quality Revolution. 
pp.1-35. London: Chapman & Hall, 1994.
CAMPOS, V. F. Gerenciamento pelas diretrizes. 
Belo Horizonte: Fundação Christiano Ottoni, 
Escola de Engenharia da UFMG, 1996.
CARUSO, C. A. A.; STEFFEN, F. D. Segurança da 
informática e de informações. 2. ed. São Paulo: 
SENAC, 1999.
DIAS, C. Segurança e auditoria daTecnologia da 
Informação. Rio de Janeiro: Axcel Books, 2000.
EFQM: European Foundation for Quality 
Management. EFQM Model. 2014. Disponível 
em: https://www.efqm.org. Acesso em: 1 fev. 
2021.
FERNANDES, A. A.; ABREU, V. F. Implantando a 
governança de TI: da estratégia a gestão dos 
processos e serviços. 2. ed. Rio de Janeiro: 
Brasport, 2008. [Biblioteca Virtual]
FREITAS, M. A. S. Fundamentos do 
gerenciamento de serviços de TI. 2. ed. São 
Paulo: Brasport, 2013. [Biblioteca Virtual]
GOUVEIA, L. B.; RANITO, J. Sistemas de 
informação de apoio à decisão. Livro VII – 
Coleção inovação e governança nas autarquias. 
Porto: Sociedade Portuguesa de Inovação, 2004.
ISHIKAWA, K. Controle de Qualidade total: à 
maneira japonesa. Rio de Janeiro: Campus, 
1993.
LEITE, C. S. et al. Gerenciamento de serviços 
de TI: um estudo de caso em uma empresa de 
suporte remoto em Tecnologia da Informação. 
Revista Eletrônica Sistemas & Gestão, 2010.
MOLINARO, L. F. R.; RAMOS, K. H. C. Gestão de 
Tecnologia da Informação: governança de TI: 
arquitetura e alinhamento entre sistemas de 
informação e o negócio. Rio de Janeiro: LTC, 
2010.
MORESI, E. A. D. Delineando o valor do sistema 
de informação de uma organização. Ciência da 
Informação. Brasília, v. 29, n. 1, 2012.
MÜLLER, H.; BERGER, P. Benchmarking for 
destination management organizations: the 
case of Swiss cities and Alpine destination 
management. Tourism Review, 6 (4), pp. 26-39, 
2012.
OLIVEIRA, B. S. Métodos ágeis e gestão de 
serviços de TI. Rio de Janeiro: Brasport, 2018. 
[Biblioteca Virtual]
OLIVEIRA, F. B. et al. Tecnologia da informação 
e comunicação: a busca de uma visão ampla 
estruturada. São Paulo: Pearson Prentice Hall: 
Fundação Getúlio Vargas, 2007. [Biblioteca 
Virtual]
PACHECO, A. P. et al. O Ciclo PDCA na gestão 
do conhecimento: uma abordagem sistêmica. 
Florianópolis: UFSC, 2009. Pós Graduação em 
Engenharia e Gestão do Conhecimento, 2009.
PALADINI, E. P. Gestão estratégica da qualidade: 
princípios, métodos e processos. São Paulo: 
Atlas, 2008.
PINHEIRO DE LIMA, E.; LEZANA, A. G. R. 
Desenvolvendo um framework para estudar 
a ação organizacional: das competências 
ao modelo organizacional. Revista Gestão e 
Produção. São Carlos, v. 2, n. 2. pp. 177-190. 
2005.
SILVA, E. C. Governança corporativa nas 
empresas. São Paulo: Atlas, 2010. [Minha 
Biblioteca]
TURBAN, E. Comércio eletrônico: estratégia e 
gestão. São Paulo: Pearson Prentice Hall, 2004. 
[Biblioteca Virtual]
TURBAN, E.; VOLONINO, L. Tecnologia da 
informação para gestão. 8. ed. Porto Alegre: 
Bookman, 2013. [Minha Biblioteca]
VERGUEIRO, W. Qualidade em serviços de 
informação. São Paulo: Arte & Ciência, 2002.
VIEIRA, G. F. Gestão da Qualidade Total. 2. ed. 
São Paulo: Alínea, 2007.
	Introdução
	TQM – Total Quality Management
	EFQM – European Foundation for Quality Management
	ISO 9000
	Certificação TickIT
	ISO 20000
	ISO 19770
	ISO 15504
	ISO 27001
	Considerações finais
	Referências Bibliográficas & Consultadas