Implementação ISO 27001: Sistema de Gestão de Segurança da Informação

A ISO 27001 é o padrão de gestão de segurança da informação mais amplamente reconhecido no mundo, com mais de 70.000 organizações certificadas globalmente. Ao contrário de regulamentações prescritivas, como GDPR ou PCI DSS, a ISO 27001 fornece uma estrutura baseada em riscos para o gerenciamento sistemático da segurança da informação — adaptável a organizações de qualquer tamanho, setor ou região geográfica. Uma certificação ISO 27001 válida sinaliza aos clientes, parceiros, reguladores e seguradoras que sua organização gerencia riscos de segurança da informação por meio de um sistema de gestão estruturado, auditado e em constante melhoria.

A versão atual é a ISO/IEC 27001:2022, publicada em outubro de 2022, que substituiu a ISO/IEC 27001:2013. As organizações com certificações de 2013 tinham até 31 de outubro de 2025 para fazer a transição para a versão 2022. Todas as novas certificações são emitidas em relação a 2022.

Principais conclusões

• A ISO 27001:2022 reduziu os controles do Anexo A de 114 para 93, reorganizados em quatro temas: Organizacional (37), Pessoas (8), Físico (14), Tecnológico (34)
• Os novos controles de 2022 incluem: inteligência contra ameaças, prontidão de TIC para continuidade dos negócios, monitoramento de segurança física, codificação segura, filtragem da Web, DLP e mascaramento de dados
• O SGSI (Sistema de Gestão de Segurança da Informação) deve ter escopo definido, documentado, avaliado de risco e certificado por um organismo de certificação credenciado
• A certificação requer: Estágio 1 (revisão da documentação) e Estágio 2 (auditoria de implementação) — normalmente de 3 a 6 meses desde a preparação até a certificação
• A melhoria contínua é obrigatória: auditorias internas trimestrais, revisão anual pela gestão, ciclo de certificação de três anos com auditorias de supervisão anuais
• A Declaração de Aplicabilidade (SoA) é o documento crítico que liga suas decisões de tratamento de risco aos controles do Anexo A
• A certificação ISO 27001 é cada vez mais exigida para contratos públicos, vendas empresariais e subscrição de seguros na UE

---

Estrutura da Estrutura ISO 27001

A ISO 27001:2022 segue a Estrutura de Alto Nível (HLS) — a estrutura comum compartilhada por todas as normas de sistemas de gestão ISO (ISO 9001, ISO 14001, ISO 22301, etc.). Isto permite sistemas de gestão integrados para organizações que implementam vários padrões ISO simultaneamente.

Cláusulas principais (4–10) — requisitos obrigatórios:

Anexo A — Objetivos de controle de referência: 93 controles em quatro temas que representam as melhores práticas de controles de segurança. A SoA determina quais controles do Anexo A se aplicam ao escopo do seu SGSI.

---

Etapa 1 — Definir o escopo do SGSI

O escopo define os limites do seu SGSI – o que está incluído e excluído. As decisões de escopo afetam fundamentalmente o custo e a complexidade da certificação.

Considerações sobre definição de escopo:

• Limites geográficos: escritórios específicos, centros de dados, trabalhadores remotos
• Limites organizacionais: unidades de negócios, departamentos ou subsidiárias específicas
• Ativos de informação no escopo: sistemas específicos, conjuntos de dados, processos
• Interfaces com sistemas fora do escopo e terceiros

Abordagens comuns de definição de escopo:

Escopo restrito: abrange apenas os sistemas e processos diretamente relacionados a um segmento de cliente ou produto específico. Mais rápido e mais barato para certificar, mas com valor de garantia limitado para os clientes.

Âmbito amplo: abrange toda a organização. Garantia máxima, mas custo de implementação mais alto.

Escopo do serviço hospedado na nuvem: Para empresas de SaaS, o escopo normalmente cobre a infraestrutura da nuvem, o código do aplicativo e os processos operacionais que dão suporte ao serviço, aproveitando as certificações SOC 2/ISO 27001 do provedor de nuvem para controles físicos e de infraestrutura.

O escopo deve ser documentado e incluído na documentação de certificação. Os auditores testarão os controles dentro dos limites do escopo e verificarão as interfaces com elementos fora do escopo.

---

Etapa 2 — Avaliação de riscos de segurança da informação

A avaliação de riscos (Cláusula 6.1.2) é a base metodológica da ISO 27001. A norma exige um processo documentado de avaliação de riscos que:

1. Estabelece e aplica um processo de avaliação de riscos de segurança da informação
2. Identifica riscos associados à perda de confidencialidade, integridade e disponibilidade de informações dentro do escopo do SGSI
3. Analisa e avalia os riscos

Abordagem de avaliação de risco baseada em ativos:

1. Inventário de ativos: liste todos os ativos de informação dentro do escopo (sistemas, bancos de dados, documentos físicos, pessoas, processos, serviços de terceiros)
2. Identificação de ameaças: Para cada ativo, identifique ameaças potenciais (ataque externo, ameaça interna, exclusão acidental, falha de hardware, desastre natural, etc.)
3. Identificação de vulnerabilidades: Identifique vulnerabilidades que podem ser exploradas por ameaças (software não corrigido, senhas fracas, falta de controles de acesso, etc.)
4. Avaliação de impacto: Para cada combinação de ameaça/vulnerabilidade, avalie o impacto potencial na confidencialidade, integridade e disponibilidade usando uma escala definida (por exemplo, 1–5)
5. Avaliação de probabilidade: avalie a probabilidade de a ameaça explorar a vulnerabilidade usando uma escala definida
6. Classificação de risco: Calcular risco = Impacto × Probabilidade. Estabeleça critérios de aceitação de risco (por exemplo, riscos acima de uma determinada pontuação requerem tratamento)

Formato de registro de risco:

---

Passo 3 — Plano de Tratamento de Riscos e Declaração de Aplicabilidade

Para cada risco acima do seu limite de aceitação, selecione uma opção de tratamento de risco:

• Mitigar: Implemente controles de segurança para reduzir o risco
• Aceitar: documentar a aceitação do risco (normalmente para riscos de baixo impacto e baixa probabilidade)
• Transferência: Transferir risco para terceiro (seguro, terceirização)
• Evitar: Interromper a atividade que gera o risco

Declaração de Aplicabilidade (SoA): O documento central de conformidade. Para cada um dos 93 controles do Anexo A, a SoA registra:

• Se o controle é aplicável ao seu escopo
• Se está atualmente implementado
• Justificativa de inclusão ou exclusão

A SoA é o que os auditores examinam mais de perto. Toda exclusão deve ser justificada – e justificada de forma convincente. Exclusões legítimas comuns: controles de segurança física para organizações somente em nuvem (data centers gerenciados pelo provedor de nuvem), controles de gerenciamento de fornecedores se não existirem relacionamentos significativos com terceiros.

---

Etapa 4 — Implementar os controles do Anexo A

O Anexo A da ISO 27001:2022 organiza 93 controles em quatro temas. Controles-chave para organizações orientadas para a tecnologia:

Controles Organizacionais (37 controles)

Os principais controles incluem:

• 5.1 Políticas de segurança da informação: Política de segurança documentada, aprovada e comunicada e políticas específicas de tópico
• 5.2 Funções e responsabilidades de segurança da informação: Função definida do CISO/responsável pela segurança; responsabilidades de segurança documentadas
• 5.7 Inteligência contra ameaças (novo em 2022): colete e analise inteligência sobre ameaças relevante para a organização
• 5.9 Inventário de informações e outros ativos associados: Inventário de ativos mantido com propriedade
• 5.15 Controle de acesso: Política de controle de acesso; menor privilégio; procedimentos formais de gerenciamento de acesso
• 5.16 Gerenciamento de identidades: gerenciamento completo do ciclo de vida da identidade (provisionamento, modificação, desprovisionamento)
• 5.17 Informações de autenticação: Política e procedimentos de gerenciamento de senha/credencial de autenticação
• 5.20 Abordando a segurança nos acordos com fornecedores: Requisitos de segurança em contratos com fornecedores e parceiros
• 5.23 Segurança da informação para uso de serviços em nuvem (novo em 2022): Políticas de segurança em nuvem, seleção de serviços em nuvem, monitoramento

Controles de pessoas (8 controles)

• 6.1 Triagem: verificações de antecedentes antes e durante o emprego
• 6.2 Termos e condições de emprego: termos relacionados com a segurança nos contratos de trabalho
• 6.3 Conscientização, educação e treinamento em segurança da informação: programa anual de treinamento, treinamento específico para funções, simulações de phishing
• 6.4 Processo disciplinar: Processo formal para violações da política de segurança
• 6.6 Acordos de confidencialidade ou não divulgação: NDAs com funcionários e contratados

Controles Físicos (14 controles)

• 7.1 Perímetros de segurança física: Perímetros de segurança definidos; controle de acesso a áreas seguras
• 7.4 Monitoramento de segurança física (novo em 2022): CFTV, detecção de intrusão, registros de acesso
• 7.7 Mesa limpa e tela limpa: Política e implementação; bloqueios de tela; mesa limpa no final do dia
• 7.10 Mídia de armazenamento: Gerenciamento de mídias removíveis; descarte seguro

Controles Tecnológicos (34 controles)

• 8.2 Direitos de acesso privilegiados: Gestão de contas privilegiadas; acesso just-in-time; monitoramento de sessões privilegiadas
• 8.4 Acesso ao código fonte: Acesso restrito ao código fonte; requisitos de revisão de código
• 8.5 Autenticação segura: MFA; protocolos de autenticação seguros
• 8.7 Proteção contra malware: Antimalware em todos os endpoints; filtragem de e-mail e web
• 8.8 Gestão de vulnerabilidades técnicas: Verificação de vulnerabilidades; corrigir SLA; teste de penetração
• 8.9 Gerenciamento de configuração (novo em 2022): linhas de base de segurança documentadas; processos de gerenciamento de configuração
• 8.10 Exclusão de informações (novo em 2022): exclusão segura quando não for mais necessária
• 8.11 Mascaramento de dados (novo em 2022): Mascaramento de dados confidenciais em ambientes que não sejam de produção
• 8.12 Prevenção contra vazamento de dados (novo em 2022): ferramentas DLP para evitar a exfiltração não autorizada de dados
• 8.15 Registro em log: registro em log de auditoria abrangente; proteção de log; revisão de registro
• 8.16 Atividades de monitorização (nova em 2022): Monitorização de redes e sistemas; SIM
• 8.23 Filtragem da Web (novo em 2022): filtragem de conteúdo da Web para proteção contra conteúdo malicioso
• 8.25 Ciclo de vida de desenvolvimento seguro: Política SDLC segura; requisitos de segurança em desenvolvimento; revisão de código; SAST/DAST
• 8.26 Requisitos de segurança de aplicativos: definição de requisitos de segurança para aplicativos novos e aprimorados
• 8.27 Princípios de arquitetura e engenharia de sistemas seguros (novo em 2022): Segurança desde a concepção; defesa em profundidade
• 8.28 Codificação segura (novo em 2022): Padrões de codificação segura; revisão de código; análise estática
• 8.29 Testes de segurança em desenvolvimento e aceitação: Testes de segurança como parte do SDLC; testes de penetração antes do lançamento
• 8.34 Proteção de sistemas de informação durante testes de auditoria: Coordenação de atividades de auditoria para minimizar interrupções

---

Passo 5 — Documentação e Registros

A ISO 27001 exige informações documentadas específicas (políticas e registros). Conjunto mínimo de documentação:

Documentos obrigatórios:

• Documento de escopo do SGSI
• Política de segurança da informação
• Metodologia de avaliação de riscos de segurança da informação
• Registro de riscos e plano de tratamento de riscos
• Declaração de Aplicabilidade
• Programa e relatórios de auditoria interna
• Registros de revisão gerencial
• Registros de treinamento e conscientização

Políticas específicas de tópicos recomendadas:

• Política de controle de acesso
• Política de uso aceitável
• Política de gestão de ativos
• Continuidade de negócios e política de DR
• Política de gerenciamento de mudanças
• Política de criptografia e gerenciamento de chaves
• Política de resposta a incidentes
• Política de trabalho remoto
• Política de segurança do fornecedor
• Política de gestão de vulnerabilidades

---

Passo 6 — Programa de Auditoria Interna

A cláusula 9.2 exige um programa de auditorias internas conduzidas em intervalos planejados cobrindo todos os requisitos do SGSI e controles do Anexo A. Os auditores internos devem ser competentes e objetivos (não auditar o seu próprio trabalho).

Abordagem de auditoria interna:

• Plano anual de auditoria interna cobrindo todas as cláusulas do SGSI e todos os controles aplicáveis do Anexo A ao longo de um ciclo definido
• Amostragem baseada em risco: teste com mais frequência em áreas de maior risco
• Coleta de evidências documentais e registro de não conformidades
• Reporte à gerência; rastrear ações corretivas até o fechamento

Os auditores internos devem ser certificados (Auditor Líder ISO 27001 ou treinamento de auditor interno) para obter credibilidade. Muitas organizações usam uma abordagem de segundo departamento (auditoria de segurança de TI, auditoria de segurança de TI) ou contratam uma empresa externa para fins de objetividade.

---

Etapa 7 — Revisão Gerencial

A cláusula 9.3 exige que a alta administração revise o SGSI em intervalos planejados (normalmente anualmente). A revisão pela gestão deve abranger:

• Status das ações de avaliações anteriores
• Mudanças em questões externas e internas relevantes para o SGSI
• Feedback sobre o desempenho do SGSI (incidentes de segurança, resultados de auditoria, monitoramento, KPIs)
• Feedback das partes interessadas
• Resultados da avaliação de risco e status do plano de tratamento de risco
• Oportunidades de melhoria contínua

Resultado da revisão gerencial: Decisões sobre oportunidades de melhoria contínua, mudanças no SGSI, necessidades de recursos.

---

Processo de Certificação

Selecione um organismo de certificação: Deve ser credenciado por um organismo de acreditação nacional (UKAS no Reino Unido, DAkkS na Alemanha, ANAB nos EUA, JAS-ANZ na Austrália/NZ). Verifique o reconhecimento da IAF para aceitação global.

Auditoria de Fase 1 (revisão da documentação): O auditor analisa sua documentação do SGSI — escopo, SoA, avaliação de risco, políticas — para confirmar a prontidão para a Fase 2. Normalmente de 1 a 2 dias. Resultado: lista de descobertas/lacunas a serem abordadas antes da Fase 2.

Correção de lacunas: Aborde as descobertas do Estágio 1. Pode levar de 4 a 8 semanas, dependendo das lacunas identificadas.

Auditoria de estágio 2 (auditoria de implementação): Auditoria no local (ou remota) da implementação real do SGSI. Os auditores testam os controles, entrevistam a equipe e revisam os registros de evidências. Normalmente de 3 a 10 dias de auditoria, dependendo do escopo e do tamanho da organização. As não conformidades (maiores ou menores) devem ser abordadas.

Decisão de certificação: Organismo de certificação emite certificado ISO 27001:2022, válido por 3 anos. O certificado inclui declaração de escopo.

Auditorias de supervisão: auditorias de supervisão anuais nos anos 1 e 2 do ciclo de certificação (mais leves do que a auditoria de certificação). A auditoria de recertificação no ano 3 cobre todo o SGSI.

---

Lista de verificação de implementação da ISO 27001

• Escopo do SGSI definido e documentado
• Política de segurança da informação aprovada pela alta administração
• Metodologia de avaliação de risco documentada e aplicada
• [] Registro de risco completo com classificações de risco para todos os riscos significativos
• [] Plano de tratamento de riscos desenvolvido para todos os riscos inaceitáveis
• [] Declaração de aplicabilidade preenchida para todos os 93 controles do Anexo A
• Todos os controles aplicáveis do Anexo A implementados
• Conjunto de documentação completo (políticas, procedimentos, registros)
• Programa de auditoria interna estabelecido e primeira auditoria concluída
• [] Ações corretivas desde a auditoria interna rastreadas até o fechamento
• [] Revisão gerencial concluída com registros
• [] Treinamento de conscientização de segurança da equipe concluído e documentado
• Organismo de certificação credenciado selecionado e auditoria de Estágio 1 agendada
• Resultados da Fase 1 abordados
• [] Auditoria de certificação de estágio 2 concluída

---

Perguntas frequentes

Quanto tempo leva a implementação da ISO 27001?

Para uma empresa de tecnologia de médio porte partindo de uma linha de base de segurança razoável, a implementação normalmente leva de 6 a 12 meses desde o início até a certificação. As organizações com práticas de segurança maduras podem obter a certificação em 4 a 6 meses. Grandes empresas com escopo complexo, vários locais ou extensa documentação legada podem levar de 12 a 18 meses. Principais impulsionadores do cronograma: complexidade do escopo, maturidade da documentação existente, disponibilidade de recursos e agendamento do organismo de certificação.

Qual ​​é a diferença entre a ISO 27001 e a ISO 27002?

ISO 27001 é o padrão de sistema de gestão pelo qual as organizações são certificadas – ela especifica requisitos para estabelecer, implementar, manter e melhorar um SGSI. A ISO 27002 é um documento de orientação que fornece conselhos de melhores práticas na implementação de cada um dos 93 controles do Anexo A. O Anexo A da ISO 27001 contém os controles (normativamente); A ISO 27002 explica como implementá-los (de forma informativa). A certificação ISO 27001 é o requisito; ISO 27002 é o manual de implementação. Você não pode ser “certificado pela ISO 27002” – apenas existe a certificação ISO 27001.

Podemos obter a certificação ISO 27001 apenas para parte da nossa organização?

Sim — a ISO 27001 permite definir o escopo de um serviço, linha de produtos, departamento ou local específico. Uma empresa de SaaS pode abranger sua certificação ISO 27001 para sua plataforma de produtos hospedada na nuvem, excluindo sistemas administrativos de RH e financeiros. O certificado de certificação especificará o escopo, e os clientes e auditores entendem que os controles se aplicam dentro dos limites do escopo declarado. Um escopo restrito significa certificação mais rápida e barata, mas oferece menos garantia aos clientes que desejam confiança em toda a organização.

Qual a diferença entre a ISO 27001 e a SOC 2?

Ambos abordam a segurança da informação, mas de diferentes estruturas e públicos. ISO 27001 é um padrão internacional de sistema de gestão que produz um certificado de três anos; as auditorias são conduzidas por organismos de certificação credenciados; é amplamente reconhecido nas compras da Europa, Ásia-Pacífico e Oriente Médio. SOC 2 é uma estrutura de certificação de origem nos EUA que produz um relatório (Tipo I ou Tipo II) revisado por auditores de clientes; concentra-se nos critérios de serviço de confiança; é predominantemente exigido por compradores empresariais dos EUA. Os controles se sobrepõem substancialmente. Muitas organizações buscam ambos – SOC 2 para vendas empresariais nos EUA, ISO 27001 para compras internacionais e governamentais.

Quais são as principais mudanças na ISO 27001:2022 em comparação com 2013?

Principais mudanças: (1) Anexo A reestruturado de 14 categorias/114 controles para 4 temas/93 controles; (2) 11 novos controles adicionados: inteligência contra ameaças, prontidão de TIC para continuidade de negócios, monitoramento de segurança física, gerenciamento de configuração, exclusão de informações, mascaramento de dados, prevenção de vazamento de dados, atividades de monitoramento, filtragem da Web, codificação segura e segurança de informações para serviços em nuvem; (3) Nenhum controlo foi eliminado — os controlos existentes foram fundidos e reorganizados; (4) A cláusula 6.3 adicionou “Planejamento de mudanças” para mudanças gerenciadas do SGSI; (5) O texto foi atualizado para maior clareza. A estrutura fundamental do sistema de gestão (cláusulas 4 a 10) permanece praticamente inalterada.

Quanto custa a certificação ISO 27001?

Os custos totais variam significativamente de acordo com o tamanho e escopo da organização: Taxas de auditoria do organismo de certificação: US$ 8.000 a US$ 50.000 ou mais, dependendo do escopo e dos dias de auditoria; Consultoria (opcional): US$ 30.000 a US$ 150.000 para implementação assistida; Tempo da equipe interna: mais de 200 a 1.000 horas de implementação e documentação; Ferramentas (plataforma GRC, verificação de vulnerabilidades, SIEM): US$ 10.000 a US$ 100.000/ano; Auditorias anuais de supervisão: aproximadamente 30–50% do custo da Fase 2. Pequenas organizações com escopo restrito podem obter certificação por um total de US$ 40.000 a US$ 80.000. Organizações de médio porte normalmente investem entre US$ 100.000 e US$ 300.000 em seu primeiro ciclo de certificação.

---

Próximas etapas

A certificação ISO 27001 é um investimento estratégico que compensa através do aumento da confiança do cliente, da aceleração das vendas empresariais, da redução dos prémios de seguro cibernético e da melhoria estruturada da segurança. Para empresas de tecnologia, a implementação da ISO 27001 juntamente com o SOC 2 proporciona uma cobertura global abrangente dos requisitos de segurança do comprador empresarial.

A equipe da ECOSIRE ajuda empresas de tecnologia a implementar programas de gerenciamento de segurança alinhados à ISO 27001, com experiência na implementação de controle técnico em ambientes de nuvem, segurança de aplicativos e entrega de serviços gerenciados.

Começar: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos. Os requisitos de certificação ISO 27001 devem ser confirmados por um organismo de certificação credenciado. Os requisitos específicos de implementação variam de acordo com o tamanho, o escopo e o setor da organização.