ISO 9001: 2015 vs.

ISO 27001: 2013 MAtrix

ISO 9001: 2015 vs ISO 27001: 2013 Matriz

direito © 2018 Advisera Especialistas Solutions

. Todos
Ltd os direitos
Copyright © 2018
autoral reservados.
9001Academy. Todos os direitos reservados. 1
ISO 9001: 2015 vs. ISO 27001: 2013 Matrix

ISO 9001: 2015 ISO 27001: 2013 Explicação

Introdução Introdução

Em ambos os padrões, esta cláusula explica o que o padrão é, bem

como os benefícios e finalidade das normas. Claro, as normas têm
0,1 Geral 0,1 Geral diferentes escopos, com a norma ISO 9001 com foco na qualidade,
enquanto a ISO 27001 se concentra em segurança da informação.

0,2 princípios de gestão da

qualidade Não existem cláusulas semelhantes em ISO 27001.

0,3 abordagem Processo Não existem cláusulas semelhantes em ISO 27001.

Ambas as normas estão alinhadas com o anexo SL e aplicar uma

0.4 Relações com outras normas 0,2 compatibilidade com outros estrutura de alto nível, fazendo a fácil incorporação em um único
de sistemas de gestão padrões de sistema de gestão sistema de gestão integrada. Para mais informações, veja:Como
integrarISO 9001 e ISO 27001.

Não há grandes semelhanças em relação a esta cláusula, além do fato

1 Âmbito 1 Âmbito de que ambas as cláusulas definem o objectivo da norma e em que
tipo de organização pode ser aplicado.

2 Referências normativas 2 Referências normativas Este requisito é idêntico para ambos os padrões.

Ambas as normas têm esta cláusula, mas ISO 9001 refere-se a ISO
9000, enquanto a ISO 27001 refere-se a ISO 27000, como
3 Termos e definições 3 Termos e definições documentos que contêm informações e definições sobre a
terminologia utilizada nas normas.

4 Contexto da organização 4 Contexto da organização

Copyright © 2018 9001Academy. Todos os direitos reservados. 2

ISO 9001: 2015 vs. ISO 27001: 2013 Matrix
4.1 Compreender a organização
e seu contexto
ISO 9001: 2015
4.2. Compreender as
necessidades e expectativas
das partes interessadas
4.3 Determinar o escopo do
sistema de gestão da qualidade
4.4. sistema de gestão da
qualidade e de seus processos
5 Liderança
Copyright © 2018 9001Academy. Todos os direitos reservados.
A norma exige a organização para determinar questões internas e
externas relacionadas com a capacidade do sistema de gestão para
4.1 Compreender a organização e alcançar os resultados pretendidos. ISO 9001 é referente a qualidade
seu contexto e ISO 27001 se refere à segurança da informação. Para mais
informações, veja:
Como identificar o contexto da organização na ISO 9001: 2015.
ISO 27001: 2013 Explicação
Requisitos de ambos os padrões são os mesmos; ambos exigir às
partes interessadas relevantes a serem identificadas, bem como as
4.2. Compreender as suas necessidades e expectativas. Para mais informações, veja:precisa
necessidades e expectativas de compreensão eexpectativas das partes interessadas em ISO 9001:
das partes interessadas 2015, Como identificarrequisitos do SGSI de partes interessadas em
ISO 27001, e Comoidentificar as partes interessadas de acordo com a
ISO 27001 e ISO 22301.
Ambas as normas requerem o escopo do sistema de gestão a ser
definido. A diferença é que a ISO 9001 requer produtos e serviços
4.3 Determinar o escopo do
para ser considerado, e ISO 27001 requer a consideração das
sistema de gestão de segurança
interfaces e dependências entre os processos ao definir o âmbito.
da informação
Para mais informações, veja: Como definir o escopo do SGQde acordo
com a norma ISO 9001: 2015 e Como definir o escopo do SGSI.
4.4. sistema de gestão de Os requisitos são os mesmos: cada sistema deve ser estabelecido,
segurança da informação implementado, documentado e continuamente melhorado.
5 Liderança
3
ISO 9001: 2015 vs. ISO 27001: 2013 Matrix

5.1 Liderança e compromisso

Os requisitos são os mesmos, e a gestão tem de tratar ambos os
padrões da mesma forma em relação a implementação das políticas,
provisão de recursos, melhoria contínua, a atribuição de funções e
5.1 Liderança e compromisso
5.1.1 Geral responsabilidades, etc.
Para mais informações, veja: Como cumprir com nova
liderançarequisitos da norma ISO 9001: 2015.

foco 5.1.2 Cliente Não há cláusula semelhante na norma ISO 27001.

5.2 política 5.2 política

ISO 9001: 2015 ISO 27001: 2013 Explicação

5.2.1 Desenvolver a política de Os requisitos são quase o mesmo e, em teoria, poderiam ser
qualidade satisfeitas através de um único documento. No entanto, é melhor se
as políticas são escritos como documentos separados, caso em que
eles devem ser compatíveis uns com os outros. Veja uma
amostraPolítica de qualidade. Para mais
5.2.2 Comunicar a política de informações, consulte:Como escrever uma boa política de Qualidade
qualidade e o quevocê deve escrever em seu Política de Segurança da
Informação de acordo com a ISO27001?

Os requisitos são os mesmos, por isso, funções, responsabilidades e

autoridades para ambos os padrões pode ser comunicada da mesma
5.3 funções organizacionais, 5.3 funções organizacionais, forma. Por exemplo, a mesma pessoa pode ser o representante de
responsabilidades e autoridades responsabilidades e autoridades gestão da qualidade e do gerente de segurança da informação; o
mesmo auditor pode executar tanto QMS e ISMS auditorias.

6 Planejamento 6 Planejamento

Copyright © 2018 9001Academy. Todos os direitos reservados. 4

ISO 9001: 2015 vs. ISO 27001: 2013 Matrix
6.1 Ações para enfrentar os
riscos e oportunidades
ISO 9001: 2015
6.2 Objetivos da qualidade e
planos para alcançá-los
6.3 Planejamento de mudanças
7 Suporte
7.1 Recursos
Copyright © 2018 9001Academy. Todos os direitos reservados.
6.1 Ações para enfrentar os
riscos e oportunidades
ISO 27001: 2013
objetivos de segurança 6.2
Informações e planejamento
para alcançá-los
7 Suporte
7.1 Recursos
Ambas as normas requerem a identificação e endereçamento de
riscos e oportunidades decorrentes do contexto da organização em
relação à qualidade e segurança da informação.
Para mais informações, veja: Como lidar com os riscos e
oportunidades em
ISO 9001, ISO 27001 avaliação e tratamento de riscos- 6 passos
básicos e Como organizar avaliação de risco inicial de acordo com a
ISO 27001 eISO 22301.
Para ISO 9001: 2015, ver um documento de exemplo aqui:
procedimento para Dirigindo Riscos e Oportunidades.
Para ISO 27001: 2013, ver um documento de exemplo aqui: Avaliação
de risco e Risco Tratamento Metodologia.
Você também pode verificar este livro sobre gestão de riscos:ISO
27001 Risk Gestão in Plain Inglês.
Explicação
Objetivos e planos para a sua realização para ambos os padrões
podem ser colocados em um documento.
Para mais informações, veja: Como Escrever Bons Objetivos da
Qualidade.
Ver documento de exemplo aqui:Objetivos de qualidade.
Não há cláusula semelhante na norma ISO 27001.
5
ISO 9001: 2015 vs. ISO 27001: 2013 Matrix

A organização tem de determinar e fornecer os recursos necessários

para a execução do processo, a fim de cumprir os requisitos para
7.1.1 Geral
ambos os padrões. Você pode usar os mesmos processos para
cumprir os requisitos, tais como o processo de compra.

7.1.2 Pessoas Não há cláusula semelhante na norma ISO 27001.

7.1.3 Infra-estrutura Não há cláusula semelhante na norma ISO 27001.

Não há cláusula semelhante na norma ISO 27001.

7.1.4 Ambiente para a operação
de processos

Não há cláusula semelhante na norma ISO 27001.

7.1.5 Monitoramento e recursos
de medição

7.1.6 O conhecimento
Não há cláusula semelhante na norma ISO 27001.
organizacional
Exigências em matéria de competência são as mesmas para ambos os
padrões; a organização precisa identificar e fornecer treinamento
para as competências necessárias de funcionários e manter registros
7.2 Competência 7.2 Competência sobre as competências dos funcionários.
Para mais informações, consulte os seguintes cursos: ISO 9001: 2015
fundações Course e ISO 27001: Curso 2013 Fundações.

ISO 9001: 2015 ISO 27001: 2013 Explicação

Copyright © 2018 9001Academy. Todos os direitos reservados. 6

ISO 9001: 2015 vs. ISO 27001: 2013 Matrix

Ambas as normas exigem que os empregados para estar ciente das

políticas e procedimentos relevantes, bem como o seu papel dentro
do sistema de gestão e como elas impactam o desempenho da
organização em relação à qualidade e segurança da informação.
Para mais informações, veja: Como garantir a competência
econscientização em ISO 9001: 2015, Como realizar formação e
7.3 consciência 7.3 consciência sensibilizaçãopara ISO 27001 e ISO 22301 e 8 Práticas de Segurança
para uso em SeuTreinamento de funcionários e Programa de
Conscientização.
Para ISO 9001: 2015, ver um documento de exemplo aqui:
procedimento para Competência, treinamento e conscientização.
Para ISO 27001: 2013, ver um documento de exemplo aqui:
Treinando e Plano de consciência.

A exigência é a mesma e podem ser satisfeitas através dos mesmos

processos.
7.4. Comunicação 7.4. Comunicação
Por exemplo, escrevendo anúncios em um quadro de avisos, o envio
de e-mails, reuniões regulares.

Requisitos de ambos os padrões são os mesmos com relação ao

7,5 informação documentada
controle da informação documentada. Você pode aplicar o mesmo
procedimento para atender às exigências das normas e estabelecer o
sistema de documentação.
Para mais informações, veja: Nova abordagem para documentos e
7,5 informação documentada
registoscontrolo na norma ISO 9001: 2015.
Para ISO 9001: 2015, ver um documento de exemplo aqui:
procedimento para Documento e Registro de Controle.
Para ISO 27001: 2013, ver um documento de exemplo aqui:
procedimento para Documento e Registro de Controle.

Copyright © 2018 9001Academy. Todos os direitos reservados. 7

ISO 9001: 2015 vs. ISO 27001: 2013 Matrix
ISO 9001: 2015
8 Operação
8.1 planejamento e controle
operacional
8.2 Requisitos para produtos e
serviços
8.3 Projeto e desenvolvimento
de produtos e serviços
8.4 controle de processos
fornecidos externamente,
produtos e serviços
Copyright © 2018 9001Academy. Todos os direitos reservados.
ISO 27001: 2013 Explicação
8 Operação
Embora os nomes cláusula são os mesmos, eles têm diferentes
8.1 planejamento e controle âmbitos; em ISO 9001 o foco está em definir e controlar processos e
operacional na ISO 27001 o foco está no estabelecimento de controles de
segurança da informação.
Não há cláusula semelhante na norma ISO 27001.
A segurança da informação Esse controle pode ser parte do processo de design e
A.6.1.5 em gerenciamento de desenvolvimento. Veja um documento de exemplo
aqui:Procedimento para projeto e o desenvolvimento.
projetos
Contratos celebrados com os fornecedores devem incluir cláusulas de
segurança da informação e segurança da informação pode ser um dos
critérios para a avaliação de fornecedores.
Para mais informações sobre o processo de compra, consulte: a
aquisição emQMS- O Processo e as informações necessárias para
fazer o trabalho. Para mais informações sobre o processo para a
segurança fornecedor, consulte: 6-degrau processo para a
As relações com fornecedores
manipulação de segurança fornecedor de acordo com a norma ISO
A.15
27001 e Quais as cláusulas de segurança a ser usado para contratos
com fornecedores?
Para ISO 9001: 2015, ver um documento de exemplo aqui:
procedimento para Compras e Avaliação de Fornecedores.
Para ISO 27001: 2013, ver um documento de exemplo aqui:
Segurança fornecedorPolítica e Cláusulas de segurança para
Fornecedores e Parceiros.
8
ISO 9001: 2015 vs. ISO 27001: 2013 Matrix
8.5 Produção e fornecimento de
serviço
8.6 Lançamento de produtos e
serviços
ISO 9001: 2015
8.7 Controlo de saídas não
conformes
avaliação 9 Desempenho
9.1 Monitorização, medição,
análise e avaliação
Copyright © 2018 9001Academy. Todos os direitos reservados.
A segurança das operações A.12
ISO 27001: 2013
avaliação 9 Desempenho
9.1 Monitorização, medição,
análise e avaliação
segurança da informação deve ser incluída nos processos de TI que
suportam a produção e fornecimento de serviço. O Plano de
Qualidade pode se referir a políticas de segurança da informação.
Veja um documento de exemplo aqui:Qualidade Plano.
Não há cláusula semelhante na norma ISO 27001.
Explicação
Não há cláusula semelhante na norma ISO 27001.
A organização deve demonstrar a eficácia do sistema através da
monitorização de parâmetros que a organização identificados como
sendo importantes para a realização do processo. Estes requisitos
podem ser satisfeitas através do mesmo documento.
Para mais informações, veja: Análise de medição e monitoramento
requisitos da norma ISO 9001: 2015 e Como realizar monitoramento
emedição na norma ISO 27001.
Veja um documento de exemplo aqui:Matriz de desempenho chave
indicadores.
Cláusula 9.1 da ISO 9001 também inclui a satisfação do cliente de
monitoramento. Medindo a satisfação do cliente deve incluir o nível
de cumprimento dos requisitos contratuais e outras, que é um
requisito comum para ambos os padrões. Veja um documento de
exemplo aqui:
9
ISO 9001: 2015 vs. ISO 27001: 2013 Matrix

procedimento para Medição de Satisfação do Cliente.

O mesmo procedimento de auditoria interna pode ser aplicada para

9.2 Auditoria Interna
revisão 9.3 Gestão
ambos os padrões.
Para mais informações, consulte nossos cursos: ISO 9001: 2015
9.2 Auditoria Interna Internal Curso de auditor, ISO 27001: 2013 Internal Auditor Course e
livro ISO Auditoria Interna: A Guia Plain Inglês.
Veja um documento de exemplo aqui:Procedimento de Auditoria
Interna.
Embora a exigência é o mesmo, os elementos de entrada da revisão
da gestão são diferentes. O mesmo documento pode ser utilizada para
ambos os padrões, mas tem que conter os elementos de entrada
revisão 9.3 Gestão
separadas para cada padrão.
Veja um documento de exemplo aqui:Procedimento para Revisão de
Gestão.

Copyright © 2018 9001Academy. Todos os direitos reservados. 10

ISO 9001: 2015 vs. ISO 27001: 2013 Matrix

ISO 9001: 2015 ISO 27001: 2013 Explicação

10 Melhoria 10 Melhoria

10.1 Geral Não há cláusula semelhante na norma ISO 27001.

Os requisitos de ambos os padrões são similares em relação à não-

10.2 Não conformidade e acção
correctiva
conformidades e ações corretivas, e eles podem ser atendidos pelo
mesmo processo.
10.1 Não-conformidade e ação
Para ISO 9001: 2015, ver um documento de exemplo aqui:
corretiva
Procedimento para a Gestão de Não Conformidades e Ações
Corretivas. Para ISO 27001: 2013, ver um documento de exemplo
aqui: procedimento para Ação corretiva.

Como em todos os sistemas de gestão, a ênfase está na melhoria

10.3 Melhoria contínua 10.2 Melhoria contínua contínua, que é realizado através de um procedimento conjunto de
ações corretivas.

Anexo A (informativo)
Esclarecimento da nova estrutura, Não há anexos semelhantes em ISO 27001.
terminologia e conceitos

Anexo B (informativo) outras

normas internacionais sobre a
qualidade sistemas de gestão e de Não há anexos semelhantes em ISO 27001.
gestão da qualidade desenvolvido
por ISO / TC 176
Você pode baixar uma prévia doISO 9001: 2015 Documentação Toolkit e ISO 27001: 2013 Toolkit Documentação. Isto irá permitir que você veja
uma amostra das políticas e procedimentos necessários para implementar as normas.

Copyright © 2018 9001Academy. Todos os direitos reservados. 11

Copyright © 2018 9001Academy. Todos os direitos reservados. 12