O que é a ISO 27001?
A ISO/IEC 27001:2022 (publicada em outubro de 2022) é a norma internacional que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI). A versão 2022 substituiu a versão de 2013 e trouxe mudanças significativas nos controles do Anexo A.
No Brasil, é publicada como ABNT NBR ISO/IEC 27001:2023. A certificação é concedida por organismos acreditados como Bureau Veritas, BSI, SGS, DNV e BVQI.
Por que certificar sua empresa?
- Requisito contratual: Grandes empresas, bancos, órgãos governamentais e multinacionais exigem ISO 27001 de fornecedores de TI
- Redução de risco: Empresas certificadas têm 40% menos incidentes de segurança (IBM Security, 2024)
- LGPD: A ISO 27001 fornece base técnica para adequação à Lei 13.709/2018
- Diferencial competitivo: Especialmente em licitações públicas e contratos B2B enterprise
- Seguro cyber: Prêmios menores para empresas certificadas
A estrutura da ISO 27001:2022
A norma segue a estrutura de alto nível (HLS) comum a todas as normas ISO de gestão (Cláusulas 4 a 10):
| Cláusula | Título | Foco |
|---|---|---|
| 4 | Contexto da organização | Partes interessadas, escopo do SGSI |
| 5 | Liderança | Comprometimento da alta direção, política |
| 6 | Planejamento | Avaliação de riscos, objetivos de segurança |
| 7 | Suporte | Recursos, competências, comunicação, documentação |
| 8 | Operação | Implementação dos controles, gestão de riscos |
| 9 | Avaliação de desempenho | Monitoramento, auditoria interna, análise crítica |
| 10 | Melhoria | Não conformidades, ações corretivas, melhoria contínua |
Os 93 Controles do Anexo A (ISO 27001:2022)
A versão 2022 reorganizou os controles em 4 temas (eram 14 seções na versão 2013), reduzindo de 114 para 93 controles:
| Tema | Controles | Exemplos |
|---|---|---|
| A.5 Organizacional | 37 controles | Políticas, gestão de ativos, resposta a incidentes |
| A.6 Pessoas | 8 controles | Triagem, treinamento, desligamento |
| A.7 Físico | 14 controles | Controle de acesso físico, proteção de equipamentos |
| A.8 Tecnológico | 34 controles | Criptografia, controle de acesso lógico, pentest (A.8.8) |
A versão 2022 introduziu 11 novos controles, incluindo: Inteligência de ameaças (A.5.7), Segurança em nuvem (A.5.23), Continuidade de TIC (A.5.30), Mascaramento de dados (A.8.11) e Prevenção de vazamento de dados (A.8.12).
Cronograma realista de certificação
Para uma empresa de médio porte (50–500 funcionários), o processo típico leva de 6 a 18 meses:
| Fase | Duração | Atividades principais |
|---|---|---|
| 1. Gap Analysis | 2–4 semanas | Diagnóstico da situação atual vs. norma |
| 2. Definição de escopo | 1–2 semanas | Delimitação do SGSI |
| 3. Avaliação de riscos | 4–8 semanas | Identificação, análise e tratamento de riscos |
| 4. Implementação de controles | 3–6 meses | Políticas, procedimentos, controles técnicos |
| 5. Auditoria interna | 2–4 semanas | Verificação de conformidade antes da certificação |
| 6. Auditoria de certificação (Estágio 1) | 1–2 dias | Revisão documental pelo organismo certificador |
| 7. Auditoria de certificação (Estágio 2) | 2–5 dias | Auditoria in loco de implementação |
| 8. Certificação | — | Emissão do certificado (validade: 3 anos) |
Os 5 erros mais comuns na implementação
- Escopo mal definido: Incluir toda a empresa sem necessidade aumenta custo e complexidade. Comece com o escopo mínimo viável.
- Tratar como projeto de TI: ISO 27001 é um sistema de gestão corporativo. Sem comprometimento da alta direção, falha.
- Ignorar a avaliação de riscos: Os controles devem ser escolhidos com base em riscos reais, não em checklist genérico.
- Documentar mas não implementar: Auditores verificam evidências de implementação real, não apenas documentos.
- Negligenciar a melhoria contínua: O ciclo PDCA não termina na certificação — auditorias anuais de manutenção são obrigatórias.
Quanto custa a certificação ISO 27001?
- Consultoria de implementação: R$ 12.000 – R$ 60.000 (dependendo do tamanho da empresa)
- Auditoria de certificação: R$ 15.000 – R$ 45.000 (Bureau Veritas, BSI, SGS)
- Ferramentas e software: R$ 5.000 – R$ 20.000/ano
- Treinamento: R$ 3.000 – R$ 8.000 por profissional (Lead Auditor, Lead Implementer)