A ISO/IEC 27001 é a norma internacional que define os requisitos para implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Publicada pela ISO (International Organization for Standardization) em conjunto com a IEC, ela especifica como uma organização deve identificar e tratar riscos à segurança da informação e aplicar controles para proteger três princípios fundamentais: confidencialidade (acesso apenas por quem é autorizado), integridade (precisão e completude das informações) e disponibilidade (acesso quando necessário). A versão atual é a ISO/IEC 27001:2022, que substituiu a edição de 2013 e é o padrão global mais reconhecido para certificação de segurança da informação em organizações de qualquer porte e setor.
No contexto brasileiro, a ISO 27001 ganhou relevância adicional com a LGPD — a Lei Geral de Proteção de Dados —, que exige medidas técnicas e administrativas de segurança para proteção de dados pessoais. Além disso, com o Brasil registrando mais de 315 bilhões de tentativas de ataques cibernéticos apenas no primeiro semestre de 2025, e com grandes empresas exigindo cada vez mais certificações de segurança como pré-requisito em contratos B2B, a ISO 27001 deixou de ser uma iniciativa de conformidade para se tornar um ativo estratégico de mercado.
O que é o SGSI — Sistema de Gestão de Segurança da Informação
Para entender a ISO 27001, é preciso primeiro entender o que é um SGSI — porque a norma não certifica um produto, uma tecnologia ou uma ferramenta de segurança. Ela certifica um sistema de gestão.
Um Sistema de Gestão de Segurança da Informação é o conjunto integrado de políticas, processos, procedimentos, estruturas organizacionais e controles técnicos que uma empresa implementa para gerenciar riscos à segurança da informação de forma sistemática, contínua e baseada em evidências. É um sistema de gestão da mesma natureza que a ISO 9001 define para qualidade ou a ISO 14001 para meio ambiente — estruturado em torno do ciclo PDCA (Plan-Do-Check-Act): planejar, executar, verificar e melhorar continuamente.
A diferença crucial entre uma empresa que “tem segurança” e uma empresa com um SGSI formal está na sistematização. Qualquer empresa pode ter um firewall, um antivírus e uma política de senhas. O que o SGSI formaliza é o processo de identificar quais informações precisam ser protegidas, quais riscos existem para cada uma delas, quais controles reduzem esses riscos a um nível aceitável, como verificar se os controles estão funcionando e como melhorar continuamente o sistema à medida que o ambiente muda.
O escopo do SGSI é definido pela própria organização — pode cobrir toda a empresa, uma unidade de negócio específica, um datacenter, um produto ou serviço. Essa flexibilidade é uma das características que torna a ISO 27001 aplicável a empresas de todos os tamanhos, do pequeno escritório contábil ao banco multinacional.
A estrutura da ISO 27001:2022 — o que a norma realmente exige
A ISO 27001:2022 é organizada em duas partes principais: as cláusulas (seções 4 a 10), que definem os requisitos do sistema de gestão em si, e o Anexo A, que lista os controles de segurança que a organização deve considerar e avaliar.
As cláusulas obrigatórias (seções 4 a 10)
As sete cláusulas obrigatórias são o núcleo da norma. Toda organização que busca certificação deve atender a todos os requisitos dessas seções — não há escolha ou seleção parcial.
Cláusula 4 — Contexto da organização. A empresa deve entender seu ambiente interno e externo, identificar as partes interessadas relevantes (clientes, reguladores, parceiros, colaboradores) e seus requisitos de segurança, e determinar o escopo do SGSI. A versão 2022 adicionou um requisito explícito: ao determinar as necessidades das partes interessadas, a organização deve identificar quais desses requisitos serão endereçados pelo SGSI.
Cláusula 5 — Liderança. A alta direção deve demonstrar comprometimento com o SGSI — não delegar e esquecer. Isso inclui estabelecer uma política de segurança da informação, definir papéis e responsabilidades, e garantir que os objetivos de segurança estejam integrados aos objetivos estratégicos do negócio. Sem patrocínio da liderança, um SGSI inevitavelmente falha na prática.
Cláusula 6 — Planejamento. A organização deve conduzir uma avaliação formal de riscos de segurança da informação: identificar ativos de informação, ameaças e vulnerabilidades relevantes, avaliar a probabilidade e o impacto de cada risco, e definir como tratá-los — aceitar, mitigar, transferir ou eliminar. O resultado é o Plano de Tratamento de Risco, documento central do SGSI.
Cláusula 7 — Suporte. Define requisitos de recursos (pessoas, orçamento, infraestrutura), competências (a equipe tem o conhecimento necessário?), conscientização (todos os colaboradores entendem suas responsabilidades de segurança?) e comunicação. Inclui também os requisitos de documentação — quais documentos e registros o SGSI precisa manter.
Cláusula 8 — Operação. A empresa deve planejar, implementar e controlar os processos necessários para atender aos requisitos de segurança e executar as ações definidas no planejamento. Inclui a condução formal de avaliações de risco e a implementação do plano de tratamento.
Cláusula 9 — Avaliação de desempenho. O SGSI deve ser monitorado e medido. Isso inclui auditorias internas periódicas (conduzidas por pessoal competente e independente das áreas auditadas) e revisões pela alta direção (reuniões formais onde a liderança avalia a eficácia do sistema e toma decisões sobre melhorias).
Cláusula 10 — Melhoria. Quando não conformidades são identificadas — seja em auditorias internas, em incidentes ou em reclamações —, a organização deve corrigi-las, investigar as causas raízes e implementar ações corretivas para evitar recorrência. É o mecanismo que garante que o SGSI evolui em vez de estagnar.
O Anexo A — os 93 controles de segurança da versão 2022
O Anexo A da ISO 27001:2022 lista os controles de segurança que a organização deve considerar durante a avaliação de risco. É importante entender: a organização não precisa implementar todos os 93 controles — ela precisa avaliar cada um, justificar por que está aplicando ou não aplicando no contexto do seu SGSI, e documentar essa decisão na Declaração de Aplicabilidade (SoA).
A versão 2022 reorganizou os controles de 14 domínios (na edição de 2013) para 4 categorias temáticas:
| Categoria | N° de Controles | O que cobre |
|---|---|---|
| Organizacional (seção 5) | 37 | Políticas de segurança, gestão de riscos, inteligência de ameaças, segurança com fornecedores, resposta a incidentes, continuidade de negócio, conformidade regulatória |
| Pessoas (seção 6) | 8 | Triagem de candidatos, treinamento e conscientização, acordos de confidencialidade, responsabilidades no encerramento do vínculo, trabalho remoto |
| Físico (seção 7) | 14 | Segurança de perímetro físico, controle de acesso a áreas seguras, proteção de equipamentos, descarte seguro de mídias, segurança de instalações |
| Tecnológico (seção 8) | 34 | Gestão de identidade e acesso, criptografia, segurança de rede, filtragem web, gestão de vulnerabilidades, logs e monitoramento, proteção contra malware, segurança em DevOps |
Os 11 novos controles da versão 2022. A transição da edição 2013 para a 2022 introduziu 11 controles que antes não existiam na norma — um reflexo da evolução do cenário de ameaças e das práticas de segurança modernas:
Inteligência de ameaças (5.7), segurança da informação para uso de serviços em nuvem (5.23), prontidão de TIC para continuidade de negócio (5.30), monitoramento de segurança física (7.4), gestão de configuração (8.9), exclusão de informações (8.10), mascaramento de dados (8.11), prevenção de vazamento de dados — DLP (8.12), atividades de monitoramento (8.16), filtragem web (8.23) e codificação segura (8.28).
A presença de DLP, monitoramento, filtragem web, segurança em nuvem e codificação segura entre os novos controles mostra o alinhamento da norma com os vetores de risco mais relevantes do cenário atual de cibersegurança.
A família ISO 27000 — o ecossistema de normas
A ISO 27001 não existe sozinha. Ela é parte de uma família de normas — a série ISO/IEC 27000 — que cobre diferentes aspectos da gestão de segurança da informação. Entender essa família é importante para escolher quais normas são relevantes para cada contexto.
| Norma | O que define | Certificável? |
|---|---|---|
| ISO 27001 | Requisitos do SGSI — “o que fazer” | Sim — é a norma de certificação |
| ISO 27002 | Guia de implementação dos controles — “como fazer” | Não — é norma de apoio à 27001 |
| ISO 27005 | Gestão de riscos de segurança da informação | Não — metodologia de suporte |
| ISO 27017 | Controles de segurança para serviços em nuvem | Não — extensão para cloud |
| ISO 27018 | Proteção de dados pessoais em cloud pública | Não — extensão para privacidade |
| ISO 27701 | Extensão do SGSI para gestão de privacidade (PIMS) | Sim — certificação de privacidade |
A lógica de funcionamento é complementar: a ISO 27001 define o que deve ser feito (requisitos obrigatórios), enquanto normas como a ISO 27002, 27005 e 27017 detalham como fazer (boas práticas e metodologias). Essa divisão permite que empresas adaptem a implementação à sua realidade sem comprometer a conformidade com os requisitos da certificação.
ISO 27001 e LGPD: diferenças e complementaridade
Uma das perguntas mais frequentes no mercado brasileiro é sobre a relação entre ISO 27001 e LGPD. A resposta exige uma distinção clara: são instrumentos de naturezas diferentes que se complementam sem se substituir.
A LGPD (Lei nº 13.709/2018) é uma lei brasileira de cumprimento obrigatório que regula especificamente o tratamento de dados pessoais. Ela define direitos dos titulares de dados, bases legais para tratamento, obrigações de notificação à ANPD em caso de incidentes, penalidades por descumprimento e a figura do DPO (Encarregado de Dados). Toda empresa que trata dados pessoais no Brasil deve cumprir a LGPD — independentemente de qualquer certificação.
A ISO 27001 é uma norma internacional de adoção voluntária que cobre segurança da informação em sentido mais amplo — não apenas dados pessoais. Ela inclui informações de negócio, propriedade intelectual, dados financeiros, segredos comerciais. Uma empresa pode implementar um SGSI robusto sem tratar um único dado pessoal.
Na prática, as duas são altamente complementares. Um SGSI conforme a ISO 27001 atende boa parte dos requisitos técnicos da LGPD — controles de acesso, gestão de riscos, resposta a incidentes, políticas de segurança, treinamento de colaboradores, segurança com fornecedores. Mas não garante conformidade completa com a lei, que tem requisitos adicionais que vão além da segurança técnica: base legal de tratamento, atendimento a solicitações de titulares, relatório de impacto à proteção de dados (RIPD), registro de operações de tratamento.
A combinação mais robusta para empresas brasileiras que precisam de conformidade formal é implementar um SGSI baseado na ISO 27001 e complementá-lo com o ISO 27701 (extensão de privacidade do SGSI) — o que cria uma estrutura que cobre tanto segurança da informação quanto proteção de dados pessoais de forma integrada.
Como funciona o processo de certificação ISO 27001
Obter a certificação ISO 27001 é um processo estruturado que envolve preparação interna, auditoria por um organismo certificador acreditado e manutenção contínua. O processo típico passa pelas seguintes etapas:
Etapa 1 — Gap analysis (análise de lacunas). O ponto de partida é entender onde a organização está em relação ao que a norma exige. A gap analysis compara a situação atual — políticas existentes, controles implementados, processos de gestão de risco — com os requisitos da ISO 27001:2022, identificando as lacunas que precisam ser endereçadas.
Etapa 2 — Definição do escopo e política de segurança. A organização define o escopo do SGSI (quais sistemas, processos, localidades e informações serão cobertos), estabelece a política de segurança da informação aprovada pela alta direção e comunica o compromisso da liderança com o programa.
Etapa 3 — Avaliação e tratamento de riscos. Conduz-se a avaliação formal de riscos de segurança da informação — identificando ativos críticos, ameaças relevantes, vulnerabilidades existentes e o impacto potencial de cada risco. O resultado alimenta o Plano de Tratamento de Risco e a Declaração de Aplicabilidade (SoA), que documenta quais controles do Anexo A serão implementados e por quê.
Etapa 4 — Implementação dos controles. Os controles selecionados na etapa anterior são implementados — políticas documentadas, processos formalizados, controles técnicos configurados, treinamentos realizados. Esta é geralmente a etapa mais trabalhosa e demorada, especialmente para organizações que estão estruturando segurança da informação a partir do zero.
Etapa 5 — Auditoria interna. Antes de submeter o SGSI à auditoria de certificação externa, a organização deve conduzir uma auditoria interna — revisando se os requisitos da norma estão sendo atendidos e identificando não conformidades que precisam ser corrigidas. A auditoria interna deve ser conduzida por pessoal competente e independente das áreas auditadas.
Etapa 6 — Revisão pela alta direção. A alta direção realiza uma revisão formal do SGSI — avaliando os resultados das auditorias internas, o desempenho dos controles, mudanças no contexto da organização e tomando decisões sobre recursos e melhorias necessárias.
Etapa 7 — Auditoria de certificação (estágio 1 e estágio 2). O organismo certificador acreditado conduz a auditoria externa em dois estágios. No Estágio 1, o auditor revisa a documentação do SGSI — verificando se o sistema está adequadamente definido e se a organização está pronta para o estágio seguinte. No Estágio 2, é feita a auditoria de conformidade completa — verificando se os processos documentados estão sendo efetivamente praticados. Se as não conformidades identificadas forem resolvidas, o certificado é emitido. No Brasil, o organismo certificador deve ser reconhecido pelo INMETRO.
Etapa 8 — Manutenção e recertificação. A certificação ISO 27001 é válida por 3 anos, com auditorias de manutenção anuais (surveillance audits) nos anos 1 e 2. No terceiro ano, ocorre a recertificação completa. A manutenção exige que o SGSI continue funcionando ativamente — não basta ter os documentos corretos; os processos precisam estar operando e melhorando.
Quanto tempo leva e quais recursos são necessários
O tempo médio para obter a certificação ISO 27001 é de 12 a 18 meses para a maioria das empresas de médio porte. O prazo varia conforme quatro fatores principais:
Maturidade atual de segurança. Organizações que já têm processos de segurança estruturados — políticas documentadas, controles técnicos implementados, histórico de gestão de riscos — partem de uma base muito mais avançada e podem reduzir o prazo significativamente. Empresas que começam praticamente do zero precisam de mais tempo para implementar e estabilizar os controles.
Engajamento da alta direção. A liderança engajada é o fator mais decisivo para o prazo. Quando a diretoria entende o valor estratégico da certificação e libera recursos e tempo da equipe, o projeto avança. Quando a certificação fica relegada ao time de TI sem patrocínio executivo, o projeto trava — e o prazo se estende indefinidamente.
Escopo do SGSI. Um escopo menor — cobrir apenas um produto ou serviço específico, uma unidade de negócio ou um datacenter — é mais rápido de implementar e certificar do que um escopo que cobre a organização inteira. Para uma primeira certificação, começar com escopo menor e expandir nas renovações é uma estratégia válida.
Complexidade do negócio. Número de colaboradores, número de sistemas, presença em múltiplas localidades e relações com fornecedores que têm acesso a informações sensíveis — cada um desses fatores adiciona complexidade ao projeto de implementação e ao processo de auditoria.
Em termos de recursos, os principais custos de uma certificação ISO 27001 incluem: horas internas da equipe de projeto (geralmente o custo maior, especialmente para médias empresas), consultoria especializada de implementação (recomendável para quem não tem experiência prévia com a norma), ferramentas de suporte ao SGSI (plataformas de GRC, software de avaliação de riscos, ferramentas de evidência), aquisição da norma ISO 27001 e ISO 27002 na versão 2022, e honorários do organismo certificador para auditoria e emissão do certificado. Esses valores variam significativamente com o escopo e o tamanho da organização, sendo sempre recomendável solicitar orçamentos a múltiplos organismos certificadores acreditados.
Benefícios reais da ISO 27001 além do certificado
Organizações que implementam a ISO 27001 frequentemente relatam que os benefícios mais valiosos não são o certificado em si — são as mudanças que a implementação provoca na maturidade de segurança e nos processos internos.
Visibilidade sobre riscos que não eram conhecidos. A avaliação formal de riscos que a norma exige frequentemente revela vulnerabilidades que a organização não sabia que existiam — sistemas críticos sem processo de backup, fornecedores com acesso a dados sensíveis sem contratos adequados, processos de onboarding que criam contas com permissões excessivas. O processo de identificar e documentar riscos já é, em si, um exercício de melhoria de segurança.
Diferencial competitivo em processos B2B. Empresas de tecnologia, serviços financeiros, saúde, logística e qualquer setor que processe dados sensíveis de clientes estão sendo cada vez mais exigidas a demonstrar práticas formais de segurança em processos de contratação, due diligence e renovação de contratos. Uma certificação ISO 27001 válida, emitida por organismo acreditado, é a forma mais objetiva de demonstrar essa maturidade sem depender de questionários de segurança extensos em cada processo comercial.
Redução do impacto de incidentes. Organizações com SGSI implementado respondem a incidentes de segurança de forma mais rápida e estruturada — porque têm planos de resposta documentados, responsabilidades definidas e processos de comunicação estabelecidos. O tempo de contenção e recuperação menor se traduz diretamente em menor impacto financeiro e reputacional.
Cultura de segurança que vai além do TI. Um dos requisitos da ISO 27001 é conscientização — todos os colaboradores devem entender suas responsabilidades em relação à segurança da informação. Esse requisito força as organizações a investir em treinamento e comunicação que criam uma cultura de segurança, em vez de um conjunto de regras que só o time de TI conhece.
Evidência para conformidade com LGPD e outros regulamentos. Documentação estruturada de políticas de segurança, registros de avaliação de riscos, planos de tratamento e evidências de auditorias internas fornecem exatamente o tipo de documentação que reguladores e auditores buscam para verificar conformidade. Uma organização certificada ISO 27001 chega a uma auditoria regulatória com muito mais facilidade do que uma que não tem esse sistema formal.
Os erros mais comuns na implementação da ISO 27001
Implementar um SGSI para certificação ISO 27001 é um projeto complexo, e alguns erros recorrentes comprometem o sucesso — seja atrasando o processo, seja resultando em um SGSI que existe “no papel” mas não na prática.
Tratar a certificação como projeto de TI. O SGSI cobre toda a organização — RH (triagem de colaboradores, encerramento de vínculos), jurídico (contratos com fornecedores, compliance), facilities (segurança física), operações (continuidade de negócio). Quando a certificação fica restrita ao time de TI sem envolvimento das outras áreas, o resultado é um SGSI incompleto que não reflete a realidade da organização.
Implementar controles sem base em análise de risco. A ISO 27001 não exige que todos os 93 controles sejam implementados — exige que todos sejam avaliados à luz dos riscos identificados. Implementar controles aleatoriamente, sem o processo formal de avaliação de risco que justifica cada escolha, resulta em não conformidades na auditoria e em controles mal dimensionados para os riscos reais da organização.
Documentação desconectada da prática. A auditoria de certificação verifica não apenas se os documentos existem, mas se os processos documentados estão sendo efetivamente praticados. Políticas escritas que ninguém segue, registros de auditoria interna que foram criados apenas para a certificação, treinamentos realizados mas não documentados — qualquer dessas situações resulta em não conformidades.
Subestimar o comprometimento de manutenção. Muitas organizações investem esforço significativo para obter a certificação e depois reduzem drasticamente o investimento em manutenção — resultando em auditorias de surveillance difíceis e, eventualmente, na perda da certificação. Um SGSI vivo requer revisões periódicas de risco, auditorias internas realizadas (não apenas agendadas), e processos de melhoria contínua que sejam documentados e evidenciados.
Esquecer a transição para a versão 2022. Organizações certificadas na versão 2013 que não concluíram a transição para a ISO 27001:2022 até outubro de 2025 tiveram seus certificados considerados inválidos pelos principais organismos certificadores. Se sua empresa tem uma certificação antiga, verifique com o organismo certificador qual é o status atual e o processo de transição aplicável.
ISO 27001 na InfoB: como apoiamos empresas no caminho para a conformidade
A jornada para a ISO 27001 começa com uma avaliação honesta da situação atual — entendendo onde estão as lacunas mais críticas, qual é o escopo mais adequado para uma primeira certificação e quais recursos são realistas para o prazo desejado. Esse diagnóstico inicial define se a certificação em 12 meses é factível ou se um prazo maior é mais adequado para o contexto específico da organização.
A InfoB apoia empresas de médio porte no processo de estruturação de segurança da informação — dos controles técnicos (hardening de sistemas, configuração de firewalls, monitoramento contínuo) às práticas de governança que sustentam um SGSI robusto. O diagnóstico gratuito de segurança da InfoB é o primeiro passo para entender onde sua empresa está hoje e o que seria necessário para uma trajetória de conformidade com a ISO 27001 e a LGPD. Fale com um especialista InfoB.
Perguntas Frequentes sobre ISO 27001
O que é a ISO 27001?
A ISO/IEC 27001 é a norma internacional que define os requisitos para implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Ela especifica como uma organização deve gerenciar riscos de segurança e aplicar controles para proteger a confidencialidade, integridade e disponibilidade das informações. A versão atual é a ISO/IEC 27001:2022, com 93 controles organizados em 4 categorias.
O que é SGSI na ISO 27001?
SGSI é o Sistema de Gestão de Segurança da Informação — o conjunto integrado de políticas, processos, procedimentos e controles que uma empresa implementa para gerenciar riscos à segurança da informação de forma sistemática e contínua. Não é um produto de software, mas um sistema de gestão estruturado em torno do ciclo PDCA (planejar, executar, verificar e melhorar).
Quais são os controles da ISO 27001:2022?
A ISO 27001:2022 define 93 controles no Anexo A, em 4 categorias: Organizacionais (37 controles — políticas, gestão de riscos, fornecedores, resposta a incidentes), Pessoas (8 controles — triagem, treinamento, responsabilidades), Físicos (14 controles — segurança de instalações e equipamentos) e Tecnológicos (34 controles — acesso, criptografia, rede, logs, gestão de vulnerabilidades, DLP). A versão 2022 introduziu 11 novos controles que não existiam na edição de 2013.
ISO 27001 ajuda a cumprir a LGPD?
São instrumentos complementares mas distintos. A LGPD é uma lei obrigatória que regula especificamente o tratamento de dados pessoais. A ISO 27001 é uma norma voluntária de segurança da informação. Implementar um SGSI conforme a ISO 27001 atende muitos requisitos técnicos da LGPD, mas não garante conformidade completa com a lei — que tem requisitos adicionais sobre direitos dos titulares, base legal de tratamento e notificação à ANPD.
Quanto tempo leva para obter a certificação ISO 27001?
O tempo médio é de 12 a 18 meses para empresas de médio porte. O prazo varia conforme a maturidade atual de segurança, o engajamento da liderança, o escopo definido e a complexidade do negócio. Empresas com processos de segurança já estruturados podem certificar em menos tempo; organizações que partem do zero geralmente precisam de um prazo maior.
A certificação ISO 27001 é obrigatória para empresas no Brasil?
Não. A certificação ISO 27001 é voluntária. No entanto, pode ser exigida por clientes, parceiros ou licitações como requisito contratual, especialmente em setores como financeiro, saúde, tecnologia e governo. Muitas empresas adotam a norma para demonstrar ao mercado que têm práticas estruturadas de segurança — o que diferencia em processos de venda B2B e auditorias de due diligence.