O que é a ISO/IEC 27001

A ISO/IEC 27001 é o principal padrão internacional para sistemas de gestão de segurança da informação (SGSI), publicado pela Organização Internacional de Normalização (ISO). A revisão de 2022 introduziu um conjunto revisado de controles do Anexo A alinhado com a ISO 27002:2022, reduzindo de 114 para 93 controles em 4 temas.

A certificação demonstra que uma organização avaliou seus riscos de segurança da informação e implementou controles apropriados dentro de um sistema de gestão sistemático, sujeito a auditoria independente de terceiros.

Quem precisa da ISO 27001

Empresas de tecnologia e SaaS com clientes corporativos B2B
Organizações de serviços financeiros, bancos e processamento de pagamentos
Empresas de saúde e MedTech que tratam dados de pacientes
Prestadores de serviços ao governo e setor público
Data centers, provedores de nuvem e provedores de serviços gerenciados
Qualquer organização que responda questionários de segurança de clientes ou compras

ISO 27001:2022 — Principais mudanças desde 2013

As organizações certificadas pela ISO 27001:2013 devem fazer a transição para a versão 2022. As principais mudanças incluem:

Anexo A reestruturado em 4 temas: Organizacional, Pessoas, Físico, Tecnológico
11 novos controles adicionados, incluindo inteligência de ameaças, segurança na nuvem e mascaramento de dados
Total de controles reduzido de 114 para 93 (alguns unificados)
Maior alinhamento com outros padrões de sistemas de gestão ISO (Estrutura de Alto Nível)

Escopo de uma Certificação ISO 27001

A definição do escopo é uma etapa crítica no processo de certificação. O escopo determina quais ativos de informação, processos, localizações e unidades organizacionais estão dentro do limite do SGSI. A fase de análise de lacunas da BALTUM inclui orientação detalhada para a definição do escopo, garantindo que seja significativo para as partes interessadas e alcançável dentro do prazo previsto.

O processo BALTUM: Etapa por etapa

Etapa 1 — Análise de lacunas e escopo: Avaliação do estado atual em relação aos requisitos da ISO 27001:2022. Registo de lacunas. Documento de escopo. Roteiro do projeto.
Etapa 2 — Documentação do SGSI: Política de Segurança da Informação, Avaliação de Riscos e metodologia de tratamento, Declaração de Aplicabilidade, procedimentos e documentação de controles.
Etapa 3 — Apoio à implementação: Orientação para implementação de controles, auditoria interna e facilitação da análise crítica pela direção.
Etapa 4 — Auditoria de certificação: Revisão documental Etapa 1 e auditoria presencial/remota Etapa 2 por organismo de certificação acreditado.
Etapa 5 — Vigilância: Auditorias de vigilância anuais e planejamento de recertificação trienal.

Cronograma típico

Para uma organização de médio porte (50–500 colaboradores) buscando a primeira certificação: 3–6 meses desde o início até a emissão do certificado. Os prazos dependem do tamanho da organização, seu nível de maturidade atual e a disponibilidade de recursos internos. A BALTUM fornece um plano de projeto baseado em marcos no início de cada engajamento.

Integração com outras normas

A ISO 27001 é frequentemente implementada junto com padrões complementares. A BALTUM oferece programas integrados que compartilham documentação, controles e atividades de auditoria:

ISO 27001 + ISO 27701 (Gestão de Informações de Privacidade)
ISO 27001 + ISO 22301 (Continuidade de Negócios)
ISO 27001 + ISO 42001 (Sistema de Gestão de IA)
ISO 27001 + SOC 2 (estrutura unificada de evidências)
ISO 27001 + PCI DSS (setor financeiro)

Obtenha a certificação ISO 27001

Envie seus dados e um consultor da BALTUM fornecerá uma proposta detalhada em 1 dia útil.

Solicitar proposta gratuita →

✦ Verifique sua preparação primeiro

Obtenha uma pontuação de preparação ISO 27001 gratuita em 2 minutos.

Abrir baltum.ai →

ISO/IEC 27001 — Gestão de Segurança da Informação