-
Não é Auditoria EXTERNA, e sim INTERNA. A norma cita que a organização deve conduzir auditorias internas em intervalos regulares, não citando periodicidade específica.
-
Olá Todos,
Na verdade a norma fala em analisar criticamente o SGSI em intervalos planejados (ACHO, que a auditoria pode está aqui dentro) Ou não?.
Vejam:
7 Análise crítica do SGSI pela direção
7.1 Geral
A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por
ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação
de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da
informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente
documentados e os registros devem ser mantidos (ver 4.3.3).
-
Resposta: ERRADO
O capítulo 6 da norma ISO 27.001 trata exatamente disso, são auditorias internas e não auditorias externas, e não informa um prazo para realização dessas auditorias.
Segue abaixo o trecho da norma que fala sobre isso:
6 Auditorias internas do SGSI
A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos
de controle, controles, processos e procedimentos do seu SGSI:
a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes;
b) atendem aos requisitos de segurança da informação identificados;
c) estão mantidos e implementados eficazmente; e
d) são executados conforme esperado.
Um programa de auditoria deve ser planejado levando em consideração a situação e a importância dos processos
e áreas a serem auditadas, bem como os resultados de auditorias anteriores. Os critérios da auditoria, escopo,
freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar
objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.
Bons estudos...
-
Qual o objetivo de fazer auditorias externas ?? Claro que terá que ser feita auditoria interna.
-
Só complementando e respodendo a Dayane: é feita sim auditoria externa! Porém não é periódica, pois só é feita uma vez, com o intuito de se obter a certificação.
-
DAYANE e Rafael,
as auditorias externas não só podem/devem acontecer em vários casos, como podem/devem ser regulares em váris casos. Alguns órgãos do governo, por exemplo, devem ser submetidos a auditoria externa a intervalos regulares. Não é só para obter certificação!
-
Prezados ,
A seção 6 da ISO 27001 trata de auditorias internas do SGSI.
Vemos que a questão possui dois erros , o primeiro ao afirmar que a norma
recomenda a realização de auditorias externas, segundo ao afirmar que essas
auditorias externas devem ser realizadas semestralmente. Vamos ver o que a ISO
diz quanto a isso na página 11 :
Um programa de auditoria deve ser planejado
levando em consideração a situação e a importância dos processos e áreas a
serem auditadas, bem como os resultados de auditorias anteriores. Os critérios
da auditoria, escopo, freqüência e métodos devem ser definidos. A seleção dos
auditores e a execução das auditorias devem assegurar objetividade e
imparcialidade do processo de auditoria. Os auditores não devem auditar seu
próprio trabalho.
A alternativa correta é : ERRADO.
-
6 Auditorias internas do SGSI
A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:
c) estão mantidos e implementados eficazmente;
-----------------------------
**Portanto, são são auditorias internas, NÃO externas; e a norma NÃO estabelece um período de seis meses para a realização das auditorias, esse tempo vai depender da singularidade de cada empresa.