Quanto custa implementar a ISO 27001?

Custos variam conforme tamanho e complexidade. PME (50-100 funcionarios): R$ 80.000-150.000 (consultoria + certificacao). Media empresa (100-500): R$ 150.000-300.000. Grandes: R$ 300.000+. Inclui gap analysis, implementacao, treinamento, auditoria interna e certificacao. Manutencao anual: 30-40% do valor inicial.

Quanto tempo leva para certificar?

Timeline tipico: 8-18 meses dependendo da maturidade inicial. PME com boa base: 8-12 meses. Organizações maiores ou menos maduras: 12-18 meses. Fases: gap analysis (1-2 meses), implementacao (4-10 meses), auditoria interna (1 mes), certificacao (1-2 meses).

ISO 27001 e obrigatoria?

Nao e obrigatoria por lei no Brasil, mas pode ser exigida contratualmente por clientes (especialmente multinacionais e setor financeiro). Alguns setores regulados exigem controles equivalentes. A certificacao e diferencial competitivo e demonstra compromisso com seguranca.

ISO 27001: Guia Prático de Implementacao

O que e ISO 27001

A ISO/IEC 27001 e a norma internacional que especifica requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestao de Seguranca da Informacao (SGSI). A versao atual e a ISO 27001:2022, que substituiu a versao de 2013.

A norma adota uma abordagem baseada em risco, onde a organizacao identifica ameacas, avalia impactos e implementa controles proporcionais. Diferente de checklists rígidos, permite flexibilidade na escolha de controles conforme o contexto de cada organizacao.

70.000+

organizações certificadas ISO 27001 globalmente (ISO Survey 2024)

Beneficios da Certificacao

Diferencial competitivo: Exigencia frequente em licitacoes e contratos
Reducao de riscos: Framework estruturado para gestao de seguranca
Conformidade: Facilita atendimento a LGPD, PCI DSS e outras regulamentacoes
Confianca: Demonstra compromisso com seguranca para clientes e parceiros
Melhoria continua: Ciclo PDCA incorporado na norma
Reducao de custos: Menos incidentes = menos perdas financeiras

Requisitos da Norma (Clausulas 4-10)

A ISO 27001 e dividida em clausulas obrigatorias (4-10) que definem o SGSI:

Clausula 4: Contexto da Organizacao

Entender o contexto interno/externo, necessidades das partes interessadas e definir o escopo do SGSI.

Clausula 5: Lideranca

Comprometimento da alta direcao, politica de seguranca da informacao e atribuicao de papeis e responsabilidades.

Clausula 6: Planejamento

Avaliacao de riscos, tratamento de riscos, objetivos de seguranca e planejamento de mudancas.

Clausula 7: Apoio

Recursos, competencia, conscientizacao, comunicacao e informacao documentada.

Clausula 8: Operacao

Planejamento e controle operacional, avaliacao de riscos e tratamento de riscos.

Clausula 9: Avaliacao de Desempenho

Monitoramento, auditoria interna e análise crítica pela direcao.

Clausula 10: Melhoria

Nao conformidades, acoes corretivas e melhoria continua.

Controles do Anexo A (ISO 27001:2022)

O Anexo A contem 93 controles organizados em 4 temas (versao 2022):

Organizacionais

Pessoas

Fisicos

Tecnologicos

Controles Organizacionais (A.5)

Politicas, papeis, segregacao de funcoes, contato com autoridades, gestao de projetos, inventario de ativos, classificacao da informacao, gestao de identidades, controle de acesso, gestao de fornecedores.

Controles de Pessoas (A.6)

Selecao, termos de contratacao, conscientizacao e treinamento, processo disciplinar, responsabilidades pos-emprego, trabalho remoto.

Controles Fisicos (A.7)

Perimetros de seguranca, controle de entrada, seguranca de escritorios, monitoramento fisico, protecao contra ameacas ambientais, trabalho em areas seguras.

Controles Tecnológicos (A.8)

Dispositivos endpoint, privilegios de acesso, restricao de acesso a informacao, codigo-fonte, autenticacao segura, gestao de capacidade, protecao contra malware, gestao de vulnerabilidades, backup, logging, monitoramento, seguranca de redes, criptografia.

Passo a Passo da Implementacao

Gap Analysis (1-2 meses)

Avaliar situacao atual vs requisitos da norma
Identificar lacunas em controles existentes
Definir escopo preliminar do SGSI
Estimar esforco e recursos necessarios
Obter patrocinio da alta direcao

Planejamento (1-2 meses)

Definir escopo oficial do SGSI
Estabelecer politica de seguranca da informacao
Definir metodologia de avaliacao de riscos
Identificar partes interessadas
Criar cronograma de implementacao

Avaliacao de Riscos (1-2 meses)

Inventariar ativos de informacao
Identificar ameacas e vulnerabilidades
Avaliar probabilidade e impacto
Calcular nivel de risco
Definir criterios de aceitacao de risco
Elaborar plano de tratamento de riscos

Implementacao de Controles (3-6 meses)

Elaborar Statement of Applicability (SoA)
Implementar controles selecionados
Desenvolver politicas e procedimentos
Realizar treinamentos e conscientizacao
Implementar monitoramento e metricas

Operacao e Auditoria Interna (1-2 meses)

Operar o SGSI por periodo minimo
Coletar evidencias de conformidade
Realizar auditoria interna completa
Tratar nao conformidades identificadas
Realizar análise crítica pela direcao

Certificacao (1-2 meses)

Selecionar organismo certificador acreditado
Auditoria Stage 1: revisao documental
Tratar observacoes do Stage 1
Auditoria Stage 2: verificacao de implementacao
Tratar nao conformidades (se houver)
Obtencao do certificado

Processo de Certificacao

Escolha do Organismo Certificador

Selecione um organismo acreditado pelo INMETRO (Brasil) ou por membro do IAF. Exemplos: BSI, Bureau Veritas, DNV, SGS, LRQA. Compare precos, experiencia no setor e disponibilidade.

Auditoria Stage 1

Revisao documental do SGSI: politicas, procedimentos, avaliacao de riscos, SoA. O auditor verifica se a documentacao atende aos requisitos. Resultado: relatorio com observacoes a tratar antes do Stage 2.

Auditoria Stage 2

Verificacao in-loco da implementacao efetiva. Entrevistas com colaboradores, verificacao de evidencias, observacao de processos. Pode resultar em: certificacao direta, nao conformidades menores (prazo para tratar) ou maiores (reauditoria necessária).

Manutencao da Certificacao

Certificado tem validade de 3 anos com auditorias de supervisao anuais (anos 1 e 2) e auditoria de recertificacao no ano 3.

Precisa de Ajuda com ISO 27001?

Oferecemos gap analysis, consultoria de implementacao e preparacao para auditoria.

Solicitar Proposta

Perguntas Frequentes

Posso certificar apenas parte da empresa?

Sim. O escopo do SGSI pode ser limitado a unidades de negocio, processos ou localidades especificas. Exemplo: "Servicos de data center na unidade Sao Paulo". Isso reduz complexidade e custo, mas o certificado deixa claro o escopo limitado.

Preciso implementar todos os 93 controles?

Nao. A ISO 27001 permite excluir controles nao aplicaveis, desde que justificado no Statement of Applicability (SoA). Por exemplo, se nao ha desenvolvimento de software, controles relacionados podem ser excluidos. O importante e justificar cada exclusao.

Qual a diferenca entre ISO 27001 e ISO 27002?

ISO 27001 e a norma certificavel com requisitos do SGSI. ISO 27002 e um guia de boas praticas que detalha os controles do Anexo A - nao e certificavel por si so. Use 27002 como referencia para implementar os controles da 27001.

Inteligencia Brasil

Consultoria especializada em Compliance, ISO 27001 e Gestao de Seguranca da Informacao.