O que é a ISO 27001?

A ISO/IEC 27001:2022 (publicada em outubro de 2022) é a norma internacional que especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI). A versão 2022 substituiu a versão de 2013 e trouxe mudanças significativas nos controles do Anexo A.

No Brasil, é publicada como ABNT NBR ISO/IEC 27001:2023. A certificação é concedida por organismos acreditados como Bureau Veritas, BSI, SGS, DNV e BVQI.

Por que certificar sua empresa?

A estrutura da ISO 27001:2022

A norma segue a estrutura de alto nível (HLS) comum a todas as normas ISO de gestão (Cláusulas 4 a 10):

CláusulaTítuloFoco
4Contexto da organizaçãoPartes interessadas, escopo do SGSI
5LiderançaComprometimento da alta direção, política
6PlanejamentoAvaliação de riscos, objetivos de segurança
7SuporteRecursos, competências, comunicação, documentação
8OperaçãoImplementação dos controles, gestão de riscos
9Avaliação de desempenhoMonitoramento, auditoria interna, análise crítica
10MelhoriaNão conformidades, ações corretivas, melhoria contínua

Os 93 Controles do Anexo A (ISO 27001:2022)

A versão 2022 reorganizou os controles em 4 temas (eram 14 seções na versão 2013), reduzindo de 114 para 93 controles:

TemaControlesExemplos
A.5 Organizacional37 controlesPolíticas, gestão de ativos, resposta a incidentes
A.6 Pessoas8 controlesTriagem, treinamento, desligamento
A.7 Físico14 controlesControle de acesso físico, proteção de equipamentos
A.8 Tecnológico34 controlesCriptografia, controle de acesso lógico, pentest (A.8.8)

A versão 2022 introduziu 11 novos controles, incluindo: Inteligência de ameaças (A.5.7), Segurança em nuvem (A.5.23), Continuidade de TIC (A.5.30), Mascaramento de dados (A.8.11) e Prevenção de vazamento de dados (A.8.12).

Cronograma realista de certificação

Para uma empresa de médio porte (50–500 funcionários), o processo típico leva de 6 a 18 meses:

FaseDuraçãoAtividades principais
1. Gap Analysis2–4 semanasDiagnóstico da situação atual vs. norma
2. Definição de escopo1–2 semanasDelimitação do SGSI
3. Avaliação de riscos4–8 semanasIdentificação, análise e tratamento de riscos
4. Implementação de controles3–6 mesesPolíticas, procedimentos, controles técnicos
5. Auditoria interna2–4 semanasVerificação de conformidade antes da certificação
6. Auditoria de certificação (Estágio 1)1–2 diasRevisão documental pelo organismo certificador
7. Auditoria de certificação (Estágio 2)2–5 diasAuditoria in loco de implementação
8. CertificaçãoEmissão do certificado (validade: 3 anos)

Os 5 erros mais comuns na implementação

  1. Escopo mal definido: Incluir toda a empresa sem necessidade aumenta custo e complexidade. Comece com o escopo mínimo viável.
  2. Tratar como projeto de TI: ISO 27001 é um sistema de gestão corporativo. Sem comprometimento da alta direção, falha.
  3. Ignorar a avaliação de riscos: Os controles devem ser escolhidos com base em riscos reais, não em checklist genérico.
  4. Documentar mas não implementar: Auditores verificam evidências de implementação real, não apenas documentos.
  5. Negligenciar a melhoria contínua: O ciclo PDCA não termina na certificação — auditorias anuais de manutenção são obrigatórias.

Quanto custa a certificação ISO 27001?

💡 ROI: O custo de certificação é geralmente recuperado no primeiro contrato B2B enterprise que exige ISO 27001 como requisito. Empresas certificadas fecham contratos 30% mais rápido em licitações de TI.
🛡 A Spacecworp oferece consultoria completa para certificação ISO 27001:2022, incluindo gap analysis, implementação dos 93 controles e suporte até a auditoria. Solicite uma proposta.
🎤
Contrate uma palestra sobre ISO/IEC 27001:2022
Leve este conteúdo para o time de liderança ou TI da sua empresa em formato de palestra, workshop ou treinamento in-company.
Ver Palestras & Treinamentos →
ISO 27001ISO 27001:2022 SGSISegurança da Informação ABNT NBRBureau Veritas Anexo AGestão de Riscos ComplianceLGPD