ISO 27001

ISO 27001: por onde começar a segurança da informação (guia prático)

Quando uma empresa decide buscar a ISO 27001, quase sempre é por pressão externa: um cliente grande passou a exigir a certificação para renovar contrato, um edital pontuou quem tem SGSI, houve um incidente de vazamento que assustou a diretoria, ou o time jurídico ficou nervoso com a LGPD. E aí vem a mesma reação de sempre com norma nova: "isso é coisa de TI, vai virar um monte de senha e firewall que só o pessoal de tecnologia entende". Não é. A ISO 27001 é uma norma de gestão, não de tecnologia — e é justamente por isso que ela é responsabilidade da empresa inteira, não só do departamento de informática.

Neste guia você vai ver o que a norma realmente exige, o passo a passo de implantação do Sistema de Gestão de Segurança da Informação (SGSI), como fazer o coração do sistema — o inventário de ativos e a análise de riscos —, o que é a famigerada Declaração de Aplicabilidade e quais são os erros que fazem empresas chegarem à auditoria e serem reprovadas. Sem juridiquês, sem tecniquês: o que funciona em campo.

ISO 27001: o que a norma exige (e o que ela não exige)

A confusão mais comum é achar que a ISO 27001 é um checklist técnico — antivírus instalado, senha forte, backup feito. Não é isso. A norma não diz "use criptografia AES-256" nem "troque a senha a cada 90 dias". Ela diz: "conheça as suas informações valiosas, avalie os riscos que elas correm e aplique controles proporcionais a esses riscos, de forma organizada e verificável". Quem decide quais controles usar é a própria empresa, a partir da sua análise de riscos. Duas empresas podem ser certificadas com conjuntos de controles bem diferentes — e as duas estarão certas.

A ISO 27001:2022 segue a mesma estrutura de alto nível da ISO 9001 e da ISO 14001 (o Anexo SL), o que facilita muito a vida de quem já tem um sistema de gestão. Os blocos principais são:

RequisitoO que a empresa precisa fazer
4. ContextoEntender questões internas e externas de segurança e as partes interessadas (clientes, órgãos, titulares de dados); definir o escopo do SGSI
5. LiderançaA direção assumir o SGSI, definir a política de segurança da informação e os papéis
6. PlanejamentoFazer a análise de riscos de segurança, definir o tratamento e a Declaração de Aplicabilidade (SoA)
7. ApoioRecursos, competência, conscientização, comunicação e informação documentada
8. OperaçãoExecutar o tratamento de riscos e operar os controles no dia a dia
9. AvaliaçãoMonitoramento, indicadores, auditoria interna e análise crítica pela direção
10. MelhoriaTratar não conformidades e incidentes, e melhorar continuamente o sistema

💡 Se a sua empresa já é certificada ISO 9001, você tem meio caminho andado. Contexto, liderança, competência, auditoria interna, análise crítica, tratativa de não conformidade e melhoria contínua funcionam com a mesma lógica nas duas normas. Um sistema de gestão da qualidade maduro serve de esqueleto para o SGSI — você agrega a parte de segurança da informação em vez de construir tudo de novo.

Inventário de ativos: você não protege o que não conhece

Antes de falar em risco ou em controle, tem um passo que quase todo mundo pula e depois se arrepende: inventariar os ativos de informação. A lógica é simples — não dá para proteger o que você não sabe que tem. E "ativo de informação" é mais amplo do que parece. Não são só os arquivos digitais. São:

  • Informação em si: bases de dados de clientes, contratos, folha de pagamento, planilhas financeiras, propriedade intelectual, código-fonte;
  • Documentos físicos: pastas, prontuários, contratos assinados, arquivos em papel;
  • Software: sistemas, aplicativos, licenças;
  • Hardware: servidores, notebooks, celulares, mídias removíveis;
  • Pessoas e serviços: colaboradores que detêm conhecimento crítico, fornecedores de nuvem, provedores.

Para cada ativo relevante, você registra: o que é, quem é o responsável (o "dono" do ativo) e qual a sua criticidade em relação aos três pilares da segurança da informação — a famosa tríade CID:

PilarO que significaExemplo de falha
ConfidencialidadeA informação só é acessada por quem tem autorizaçãoVazamento da base de clientes
IntegridadeA informação está correta e não foi alterada indevidamenteAlguém adultera valores numa planilha financeira
DisponibilidadeA informação está acessível quando se precisa delaRansomware derruba o sistema por dias

Esse inventário é a base de tudo o que vem depois. Um ativo mal identificado é um risco que ninguém vai avaliar — e uma porta que ninguém vai trancar.

Análise de riscos: o coração do SGSI

Se há uma coisa para acertar na ISO 27001, é a análise de riscos de segurança da informação. É daqui que sai tudo o mais: quais controles aplicar, o que priorizar, o que documentar. Uma empresa que faz essa análise rasa constrói um SGSI raso — e o auditor percebe na primeira meia hora.

A mecânica é a mesma lógica de gestão de riscos que já usamos na qualidade, aplicada agora à informação. Para cada ativo (ou grupo de ativos), você pergunta:

  1. Qual a ameaça? O que pode dar errado — vazamento, invasão, erro humano, falha de equipamento, desastre, ataque de ransomware.
  2. Qual a vulnerabilidade? A fraqueza que a ameaça explora — falta de controle de acesso, senha fraca, ausência de backup, colaborador sem treinamento.
  3. Qual a probabilidade? Quão provável é isso acontecer.
  4. Qual o impacto? O tamanho do estrago se acontecer (financeiro, legal, reputacional).

Cruzando probabilidade e impacto, você chega a um nível de risco — geralmente numa matriz de cores (baixo, médio, alto, crítico), a mesma lógica da priorização de problemas. Veja um recorte de como isso fica na prática:

AtivoAmeaça / vulnerabilidadeImpactoNível de risco
Base de clientesVazamento por acesso indevido / sem controle de permissõesMulta LGPD + perda de confiançaCrítico
Servidor de arquivosRansomware / sem backup testadoParada da operação por diasAlto
Notebooks da equipeRoubo / disco sem criptografiaExposição de dados sensíveisAlto
E-mail corporativoPhishing / equipe sem treinamentoFraude financeira, golpe, invasãoMédio

⚠️ Não confunda análise de riscos com auditoria de TI. O erro clássico é entregar para o pessoal de tecnologia "resolver a ISO 27001" olhando só a infraestrutura. Boa parte dos riscos de segurança da informação é humana e de processo — o colaborador que compartilha senha, o crachá que abre porta de quem não devia, o contrato confidencial esquecido na impressora, o fornecedor de nuvem sem cláusula de proteção. Segurança da informação é gestão, não só firewall.

Tratamento de riscos e a Declaração de Aplicabilidade (SoA)

Depois de avaliar os riscos, você decide o que fazer com cada um. Existem quatro caminhos possíveis para o tratamento de risco:

  • Mitigar / reduzir: aplicar controles para diminuir a probabilidade ou o impacto (o caminho mais comum);
  • Transferir: repassar o risco a um terceiro — um seguro cibernético, um contrato com o fornecedor de nuvem;
  • Evitar: eliminar a atividade que gera o risco (parar de guardar um dado que não precisa);
  • Aceitar: assumir conscientemente o risco, quando ele é baixo e o custo de tratar não compensa — sempre com aprovação formal do dono do risco.

Para os riscos que você decidiu mitigar, entra o Anexo A da norma: uma lista de 93 controles de segurança da informação (na versão 2022), organizados em quatro temas — organizacional, pessoas, físico e tecnológico. São controles como política de controle de acesso, gestão de incidentes, backup, criptografia, segurança física, gestão de fornecedores, conscientização da equipe. Você seleciona quais controles se aplicam ao seu conjunto de riscos.

E é aqui que aparece o documento mais característico da ISO 27001: a Declaração de Aplicabilidade (SoA, de Statement of Applicability). É uma tabela que lista todos os 93 controles do Anexo A e, para cada um, informa: ele se aplica? Sim ou não? Se sim, como está implementado? Se não, por quê? A SoA é o coração documental do sistema — é o primeiro documento que o auditor pede, porque ela conecta a análise de riscos aos controles de forma rastreável.

⚠️ A Declaração de Aplicabilidade não pode ser "genérica de internet". O erro que mais reprova empresa é baixar uma SoA pronta, marcar tudo como "aplicável e implementado" e não conseguir provar. Cada "sim" na SoA é uma promessa que o auditor vai cobrar em evidência: se você diz que o controle de backup está implementado, ele vai pedir para ver o backup sendo feito, testado e restaurado. SoA sem lastro na realidade é reprovação certa.

Implantação passo a passo: o roteiro que funciona

Juntando as peças, este é o caminho de implantação que uso em campo, na ordem que faz o projeto andar sem retrabalho:

  1. Definição do escopo e do contexto. O que entra no SGSI (quais unidades, processos, sistemas), quais são as partes interessadas e as questões relevantes de segurança. Uma análise de contexto ajuda a estruturar esse olhar.
  2. Política de segurança da informação. A direção define o compromisso da empresa com a proteção da informação — o documento que orienta todo o resto.
  3. Inventário de ativos. Levante os ativos de informação relevantes, com dono e criticidade (CID). Sem isso, não há análise de riscos.
  4. Análise e avaliação de riscos. O coração do sistema: ameaças, vulnerabilidades, probabilidade e impacto, com uma metodologia definida e repetível.
  5. Plano de tratamento de riscos. Decida mitigar, transferir, evitar ou aceitar cada risco. Para os que vão ser mitigados, selecione os controles do Anexo A.
  6. Declaração de Aplicabilidade (SoA). Documente quais dos 93 controles se aplicam, como estão implementados e por que os demais foram excluídos.
  7. Implementação dos controles. Coloque em pé, de fato, os controles selecionados — políticas de acesso, backup, gestão de incidentes, treinamento, segurança física. Aqui a ISO 27002 é o manual de instruções.
  8. Competência e conscientização. Treine a equipe. A maior vulnerabilidade de qualquer empresa é a pessoa que clica no link errado ou compartilha a senha. Sem gente treinada, o resto não segura.
  9. Monitoramento e indicadores. Defina o que medir — incidentes, tentativas de acesso indevido, tempo de resposta, treinamentos realizados. Sem indicadores, não há como provar melhoria contínua.
  10. Auditoria interna e análise crítica. Rode o sistema por alguns meses, audite internamente e leve os resultados para a análise crítica pela direção.
  11. Auditoria de certificação. O organismo certificador avalia o SGSI em duas fases. Se estiver funcionando de verdade (não só no papel), sai o certificado.

✅ Repare que os passos 9, 10 e 11 fecham o clássico ciclo PDCA: planejar (ativos, riscos, tratamento), fazer (controles, treinamento), checar (monitoramento, auditoria) e agir (melhoria). A ISO 27001 é, na essência, o PDCA aplicado à segurança da informação. Se você já entende o ciclo, entende a espinha dorsal da norma — como acontece também na ISO 14001 e em qualquer sistema de gestão do Anexo SL.

Documentos que o SGSI precisa ter

A ISO 27001:2022 é objetiva no que exige de informação documentada. Alguns registros são praticamente inevitáveis para provar o sistema em auditoria:

  • Escopo do SGSI;
  • Política de segurança da informação;
  • Metodologia de análise e avaliação de riscos;
  • Inventário de ativos de informação;
  • Relatório de avaliação de riscos e plano de tratamento;
  • Declaração de Aplicabilidade (SoA);
  • Registros de competência, treinamento e conscientização;
  • Procedimentos de gestão de incidentes e de controle de acesso;
  • Resultados de monitoramento, indicadores, auditoria interna e análise crítica.

O bom controle desses documentos segue as mesmas regras de qualquer sistema de gestão — versão, aprovação, acesso restrito — como no controle de documentos do SGQ. Aqui, aliás, o controle de acesso à própria documentação já é um controle de segurança: quem pode ler e editar cada política é parte do que a norma cobra.

Erros que reprovam empresas na auditoria de ISO 27001

Depois de acompanhar implantações de segurança da informação, os tropeços se repetem. Conheça-os para não cair:

  • Tratar como projeto só de TI. Jogar tudo no colo da tecnologia e deixar RH, jurídico, comercial e direção de fora. Metade dos controles é de gente e de processo. SGSI é da empresa inteira.
  • Inventário de ativos incompleto. Esquecer papel, celular, fornecedor de nuvem, conhecimento crítico das pessoas. Ativo fora do inventário é risco não avaliado.
  • Análise de riscos genérica. Copiar uma matriz de risco da internet sem relação com a operação real. O auditor cruza os riscos com os ativos e com a SoA — se não bate, cai.
  • SoA de fachada. Marcar todos os controles como implementados sem evidência. Cada "sim" precisa de prova prática.
  • Política de vitrine. Uma política de segurança linda que ninguém da operação conhece. O auditor conversa com a equipe; se o pessoal não sabe o básico (não compartilhar senha, reportar incidente), a política é decorativa.
  • Objetivos sem plano de ação. Definir "reduzir incidentes" sem dizer como, quem e até quando. Todo objetivo precisa virar um plano de ação com responsáveis e prazos.
  • Sistema só no papel. Documentação impecável e nada acontecendo na prática — sem registros de incidentes tratados, sem backup testado, sem treinamento evidenciado. SGSI de gaveta não passa.

Por onde começar amanhã

Não espere a consultoria completa nem a ferramenta cara. Comece pelo mais concreto: liste as informações que, se vazassem ou sumissem, causariam o maior estrago à empresa — a base de clientes, os contratos, a folha, o código-fonte. Esse é o embrião do seu inventário de ativos. Depois, para cada uma, pergunte "o que pode dar errado e o que está nos protegendo hoje?". Você vai enxergar rapidamente as portas abertas — quase sempre um controle de acesso frouxo, um backup que ninguém testa, uma equipe sem treinamento.

A ISO 27001 assusta de longe e simplifica de perto: no fundo, é a empresa assumindo responsabilidade sobre a informação que sustenta o próprio negócio, de forma organizada e verificável. Se você já domina a lógica de um sistema de gestão — contexto, planejamento, controle, verificação, melhoria — o SGSI é a aplicação dessa mesma lógica à segurança da informação. Para ver como as peças se conectam com o resto do sistema, vale revisitar o guia prático da ISO 9001 e o artigo sobre gestão de riscos — porque, no fim das contas, todo o SGSI nasce de uma pergunta só: o que pode dar errado com a nossa informação, e o que estamos fazendo a respeito?

Perguntas frequentes

O que é a ISO 27001 e para que serve?

A ISO 27001 é a norma internacional que define os requisitos de um Sistema de Gestão de Segurança da Informação (SGSI). Ela não é uma norma de TI nem um checklist técnico de firewall — é uma norma de gestão. O que ela faz é dar à empresa uma estrutura para identificar suas informações valiosas, avaliar os riscos que elas correm (vazamento, perda, alteração indevida) e aplicar controles proporcionais a esses riscos. Serve tanto para proteger o negócio quanto para atender exigências de clientes, editais e da LGPD, que cada vez mais pedem a certificação como prova de que a empresa leva a proteção de dados a sério.

Qual a diferença entre a ISO 27001 e a ISO 27002?

São complementares. A ISO 27001 é a norma certificável: traz os requisitos do sistema de gestão (contexto, liderança, análise de riscos, tratamento, avaliação) e o Anexo A, que lista os 93 controles de segurança da informação da versão 2022. Já a ISO 27002 é um guia de boas práticas que detalha como implementar cada um desses controles — é o manual de instruções. Você se certifica pela 27001 e usa a 27002 como referência para colocar cada controle em pé. Empresa nenhuma se certifica na 27002.

Quanto tempo leva para implantar a ISO 27001?

Para uma pequena ou média empresa, o prazo típico vai de 6 a 12 meses entre o início e a auditoria de certificação. O que mais consome tempo não é escrever política, e sim o inventário de ativos de informação, a análise de riscos e a implementação real dos controles selecionados — mais o período mínimo de operação com registros, porque o auditor precisa ver o SGSI funcionando na prática, não só no papel. Empresas que já têm ISO 9001 costumam ser mais rápidas, porque a estrutura de gestão (contexto, auditoria interna, análise crítica, melhoria) já existe.

A ISO 27001 é a mesma coisa que estar em conformidade com a LGPD?

Não, mas uma ajuda muito a outra. A LGPD é uma lei brasileira que trata especificamente da proteção de dados pessoais e é obrigatória. A ISO 27001 é uma certificação voluntária que protege toda informação valiosa da empresa — dados pessoais, mas também segredos comerciais, contratos, propriedade intelectual. Um SGSI bem implantado cobre boa parte do que a LGPD exige (controle de acesso, gestão de incidentes, avaliação de riscos), então a norma vira um excelente caminho para demonstrar diligência com dados pessoais. Ter ISO 27001 não isenta de cumprir a LGPD, mas facilita — e muito — a vida do encarregado (DPO).

Newsletter

Receba o melhor do blog por e-mail

Guias práticos de gestão da qualidade, direto na sua caixa — sem spam, de quem vive isso há 15 anos.

Ao se inscrever você concorda com a Política de Privacidade. Cancele quando quiser, em 1 clique.