// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Compliance / ISO 27001 — Sistema de Gestão de Segurança da Informação
● Intermediário 25 min de leitura ISO 27001 SGSI ISMS Controles Risco Auditoria Certificação Annex A

ISO 27001 — Sistema de Gestão de Segurança da Informação

ISO/IEC 27001 é o padrão internacional para Sistemas de Gestão de Segurança da Informação. Certificar-se demonstra maturidade em segurança para clientes, parceiros e reguladores. Define 93 controles organizados em 4 temas. Adotada por mais de 70.000 organizações em 150 países.

O que é ISO 27001

A ISO/IEC 27001:2022 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI). Diferente de outras normas, ela é certificável — uma auditoria independente verifica a conformidade.

Estrutura da Norma

Cláusulas principais (4 a 10):
4. Contexto da organização
   - Partes interessadas e requisitos
   - Escopo do SGSI

5. Liderança
   - Comprometimento da alta direção
   - Política de segurança da informação
   - Responsabilidades

6. Planejamento
   - Avaliação e tratamento de riscos
   - Declaração de Aplicabilidade (SoA)
   - Objetivos de segurança

7. Apoio
   - Recursos, competências, conscientização
   - Comunicação e documentação

8. Operação
   - Implementação dos controles
   - Gestão de riscos operacional

9. Avaliação de Desempenho
   - Monitoramento, auditorias internas
   - Revisão pela direção

10. Melhoria
    - Não conformidades e ações corretivas
    - Melhoria contínua

Anexo A: 93 controles em 4 temas
  5. Organizacionais (37 controles)
  6. Pessoas (8 controles)
  7. Físicos (14 controles)
  8. Tecnológicos (34 controles)

Gestão de Riscos — Core da ISO 27001

Processo de avaliação de riscos:

1. IDENTIFICAR ativos de informação
   - Sistemas, dados, pessoas, processos, instalações
   - Responsável por cada ativo (Asset Owner)

2. IDENTIFICAR ameaças e vulnerabilidades
   - Ameaça: o que pode dar errado (ransomware, erro humano)
   - Vulnerabilidade: fraqueza que a ameaça pode explorar

3. CALCULAR o risco
   Risco = Probabilidade × Impacto
   (Escala: 1-5 ou 1-3)
   
   Probabilidade: quão provável é a ameaça se materializar
   Impacto: quão grave seria para a organização

4. DECIDIR o tratamento
   a) Mitigar: implementar controle para reduzir risco
   b) Aceitar: risco dentro do apetite de risco
   c) Evitar: encerrar a atividade que gera o risco
   d) Transferir: seguro cibernético, terceirizar

5. DOCUMENTAR no Risk Register
   Manter e revisar periodicamente (mínimo anual)

Declaração de Aplicabilidade (SoA):
   Para cada um dos 93 controles do Anexo A:
   - Aplicável? Sim/Não
   - Se não: justificativa de exclusão
   - Se sim: como foi implementado
   - Referência à evidência

Controles Tecnológicos Críticos (ISO 27002)

8.2 Identidade e gestão de acesso
  - MFA para todos os sistemas críticos
  - Revisão periódica de acessos
  - Remoção imediata ao desligamento

8.7 Proteção contra malware
  - EDR em todos os endpoints
  - Atualização automática de definições
  - Restrição de execução de software não autorizado

8.8 Gestão de vulnerabilidades técnicas
  - Inventário atualizado de ativos
  - Scan de vulnerabilidades periódico
  - SLA para correção por criticidade:
    Crítico: 24-72h / Alto: 7 dias / Médio: 30 dias

8.12 Prevenção de vazamento de dados (DLP)
  - Classificação de dados
  - Controles de saída (email, USB, cloud)

8.16 Monitoramento de atividades
  - Logs centralizados (SIEM)
  - Retenção mínima de logs: 12 meses

8.23 Filtragem de conteúdo web
  - Proxy com categorização
  - Bloqueio de categorias de risco

8.28 Codificação segura
  - Treinamento em OWASP Top 10
  - Code review e SAST/DAST no pipeline

Processo de Certificação

Fase 1: Preparação (6-18 meses)
  - Gap analysis: onde estamos vs onde devemos estar
  - Definir escopo do SGSI
  - Implementar controles faltantes
  - Criar documentação obrigatória
  - Executar ciclo completo: audit interna → revisão pela direção

Fase 2: Auditoria de Certificação (2 etapas)
  Stage 1 — Revisão documental:
    Auditor externo revisa documentação
    SGSI formalmente estabelecido? Escopo adequado?
    Duração: 1-2 dias, remota
  
  Stage 2 — Auditoria de campo:
    Auditor visita ou faz reuniões presenciais
    Verifica implementação real dos controles
    Entrevista colaboradores, analisa evidências
    Duração: 3-10 dias dependendo do tamanho

Fase 3: Manutenção (anual)
  Auditorias de vigilância anuais (anos 1 e 2)
  Recertificação a cada 3 anos
  Manter evidências continuamente

Organismos certificadores no Brasil:
  BSI Group, Bureau Veritas, DNV, Lloyd's Register,
  BVQI, SGS, TÜV Rheinland

Documentação Obrigatória

Documentos mandatórios:
- Política de Segurança da Informação
- Metodologia de Avaliação de Riscos
- Risk Register e Risk Treatment Plan
- Declaração de Aplicabilidade (SoA)
- Objetivos de Segurança da Informação
- Evidências de competência dos responsáveis
- Resultados das auditorias internas
- Atas de revisão pela direção
- Registro de não conformidades e ações corretivas

Documentos recomendados:
- Política de Classificação da Informação
- Política de Controle de Acesso
- Política de Uso Aceitável
- Política de Senhas
- Política de Backup
- Plano de Continuidade de Negócio
- Procedimento de Resposta a Incidentes
- Acordo de Confidencialidade (NDA) para colaboradores

Benefícios da Certificação

  • Credibilidade Comercial — requisito de alguns contratos enterprise, governo e financeiro
  • Redução de Risco — processo estruturado identifica e trata riscos antes que virem incidentes
  • Resposta a Incidentes — processos documentados reduzem caos quando ocorre incidente
  • Cultura de Segurança — treinamento obrigatório cria consciência em toda organização
  • Seguro Cibernético — premiums menores para empresas certificadas
  • LGPD — sobreposição significativa de controles facilita conformidade
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista