Guia Conformidade ISO 27001

ISO 27001: construindo a gestão de segurança de TI para sua organização

A ISO 27001 oferece às organizações uma forma estruturada de gerenciar a segurança da informação: identificar o que está sendo protegido, avaliar o que pode dar errado e implementar controles para mitigar esses riscos. A certificação é o resultado, mas o valor real está no Sistema de Gestão de Segurança da Informação (SGSI) que se constrói para chegar lá. Este guia aborda as seis etapas, prazos realistas e os erros que costumam atrasar o processo.

11 de maio de 2026
9 min de leitura
Principais conclusões
  • Organizações sem uma equipe de segurança dedicada podem obter a certificação ISO 27001
  • O processo tem seis etapas: escopo, avaliação de lacunas, construção do SGSI, implementação de controles, auditoria interna e auditoria de certificação externa
  • Os custos variam conforme o escopo e complexidade, incluindo consultoria, ferramentas e taxas de certificação
  • A razão mais comum para os projetos ultrapassarem os prazos é um SGSI sobreengenheirado para o tamanho da organização
  • A certificação não é o fim: as auditorias de monitoramento ocorrem anualmente e uma auditoria completa de recertificação de três em três anos

O que o ISO 27001 realmente exige

A ISO 27001 é o padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Ela estabelece uma estrutura para como uma organização identifica, avalia e gerencia os riscos de segurança da informação. Obter a certificação significa que um auditor terceirizado e acreditado verificou que seu SGSI cumpre integralmente os requisitos da norma.

O padrão tem duas partes principais. As cláusulas principais (4 a 10) abrangem a governança: compromisso da liderança, metodologia de avaliação de riscos, objetivos, documentação e revisão de gestão. O Anexo A contém 93 controles em quatro temas: organizacional, pessoas, físico e tecnológico. Não é necessário implementar todos os controles. É necessário justificar quais os controles que se aplicam ao seu perfil de risco e documentar o motivo pelo qual excluiu os que não se aplicam.

A atualização de 2022 do padrão (ISO/IEC 27001:2022) substituiu o antigo Anexo A de 114 controles por 93 controles consolidados. Se estiver a iniciar a implementação agora, está trabalhando com a versão de 2022.

O escopo é tudo

Não é necessário certificar toda a organização. Muitas organizações certificam uma linha de serviço ou produto específica, o que mantém o escopo gerível e reduz a complexidade da auditoria. Defina o escopo cuidadosamente desde o início: é difícil reduzi-lo uma vez que o projeto está em curso.

Sua empresa precisa do ISO 27001?

ISO 27001 não é legalmente obrigatório na maioria dos setores. As empresas perseguem-no por quatro razões principais:

  • Requisitos de clientes: Clientes empresariais e compradores do setor público exigem cada vez mais o ISO 27001 como condição de aquisição, particularmente em serviços profissionais, SaaS e cadeias de fornecimento de TI.
  • Vantagem competitiva: A certificação diferencia-o de concorrentes que não conseguem demonstrar maturidade de segurança equivalente.
  • Alinhamento regulatório: O ISO 27001 fornece uma base sólida para a conformidade com a LGPD e regulamentações do setor financeiro (como as normas do Banco Central do Brasil).
  • Melhoria interna: O processo de implementação do padrão obriga as organizações a documentar processos, atribuir responsabilidade pelos riscos e estabelecer controles que muitas vezes já deveriam ter implementado.

Se nenhuma destas situações se aplica ao seu caso, a ISO 27001 pode não ser a prioridade certa. Uma avaliação de segurança direcionada ou um framework mais simples pode proporcionar mais valor com menos esforço no curto prazo.

As seis etapas para a certificação

O caminho desde a decisão até à certificação segue tipicamente seis etapas, independentemente do tamanho da organização.

1
Definir o escopo
Decidir quais as partes da empresa, quais os serviços e quais os sistemas que se enquadram na fronteira do SGSI. Um escopo estreito e bem definido é mais fácil de certificar e de manter. Documente a declaração de escopo formalmente, pois torna-se parte das suas evidências de auditoria.
2
Avaliação de lacunas
Meça suas práticas atuais em relação aos requisitos do ISO 27001 e aos 93 controles do Anexo A. O resultado é um relatório de lacunas que mostra o que tem, o que falta e o esforço necessário para fechar cada lacuna. Isto torna-se seu plano de projeto.
3
Construir a documentação do SGSI
Redigir as políticas, procedimentos e registos exigidos pelo padrão. Isto inclui uma política de segurança da informação, uma metodologia de avaliação de riscos, um registo de riscos, uma Declaração de Aplicabilidade (o documento que lista quais os controles que aplica e porquê) e procedimentos de apoio para áreas como controle de acesso, gestão de incidentes e segurança de fornecedores.
4
Implementar controles e operar o SGSI
Colocar os controles em prática: configurar sistemas, realizar formações de sensibilização para o pessoal, implementar medidas técnicas, rever contratos de fornecedores e estabelecer o processo de revisão de gestão. É necessário operar o SGSI por um período (normalmente três a seis meses) antes da auditoria de certificação para gerar as evidências de que os controles estão funcionando.
5
Auditoria interna
Realizar uma auditoria interna em relação aos requisitos do padrão. O auditor deve ser independente das áreas auditadas. Documentar as conclusões e quaisquer não conformidades, e abordá-las antes da auditoria externa. O relatório de auditoria interna é uma peça de evidência de certificação obrigatória.
6
Auditoria de certificação
A auditoria externa tem duas fases. A Fase 1 analisa a documentação do SGSI para confirmar que cumpre os requisitos do padrão e que está preparado para a Fase 2. A Fase 2 é a auditoria de certificação principal: o auditor analisa as evidências de que os controles estão implementados e a funcionar eficazmente. A conclusão bem-sucedida resulta num certificado de três anos, sujeito a auditorias de monitoramento anuais.

Prazos realistas

6-9
meses para uma empresa que parte de uma base de segurança razoável
9-12
meses para organizações com controles ou documentação existentes mínimos
3
anos de validade do certificado, com auditorias de monitoramento anuais

A fase de avaliação de lacunas e de definição do escopo demora tipicamente duas a quatro semanas. A construção da documentação do SGSI leva quatro a oito semanas, dependendo do que já existe. O período de implementação e operação, onde se executa o SGSI e se geram evidências, deve ser de pelo menos três meses. A auditoria interna demora uma a duas semanas. As auditorias de certificação da Fase 1 e da Fase 2 são habitualmente agendadas com dois a quatro semanas de intervalo.

A causa mais comum de atrasos é o alargamento do escopo ou a sobreengenharia da documentação. As políticas escritas para uma empresa de 10 pessoas não precisam de ter 40 páginas. A proporcionalidade está incorporada no padrão.

Erro comum

Muitas organizações tentam implementar todos os 93 controles independentemente de se aplicarem ou não. A Declaração de Aplicabilidade existe precisamente para permitir excluir controles que não são relevantes para seu perfil de risco. Uma pequena empresa de software sem linha de produtos físicos não precisa de controles de segurança física e ambiental concebidos para um centro de dados.

Indicações de custos

A ISO 27001 tem três componentes de custo: consultoria externa (opcional), ferramentas de automação e taxas do organismo certificador. As faixas abaixo são indicativas e variam conforme o escopo e o tamanho da organização no mercado brasileiro.

Avaliação de lacunas e gestão de projeto
R$ 30.000 a R$ 90.000
Documentação do SGSI e redação de políticas
R$ 18.000 a R$ 50.000
Apoio à implementação de controles técnicos
R$ 12.000 a R$ 50.000
Apoio à auditoria interna
R$ 9.000 a R$ 25.000
Taxas do organismo de certificação (Fase 1 e Fase 2)
R$ 18.000 a R$ 50.000
Ferramentas GRC (opcional)
R$ 0 a R$ 15.000 por ano

As organizações que tratam mais do trabalho internamente reduzem significativamente a componente de consultoria. As que partem de uma base sólida (políticas de segurança existentes, inventário de ativos documentado, processos de controle de acesso estabelecidos) também avançam mais rapidamente e gastam menos.

As auditorias anuais de monitoramento do organismo certificador custam tipicamente entre R$ 9.000 e R$ 25.000, dependendo do tamanho e do escopo da organização. A auditoria completa de recertificação no terceiro ano tem um custo semelhante ao da Fase 2 original.

"O padrão é escalável. Uma empresa de serviços profissionais com 15 pessoas e uma empresa SaaS com 150 precisam de implementações de SGSI diferentes, e o padrão acomoda ambas. O erro é tratá-lo como um exercício empresarial de tamanho único."

O que acontece após a certificação

A certificação não é um projeto único. O padrão exige melhoria contínua, e seu certificado depende de demonstrar que o SGSI permanece eficaz ao longo do tempo.

No primeiro ano após a certificação, foque-se em incorporar o SGSI nas operações normais: garanta que as revisões de gestão acontecem, os incidentes são registados e analisados, e o registo de riscos é atualizado quando sua empresa ou o panorama de ameaças muda. A rotatividade de pessoal é a causa mais comum de deriva do SGSI, por isso incorpore a formação de sensibilização no seu processo de integração.

As auditorias de monitoramento ocorrem aproximadamente a intervalos de 12 meses. Analisam um subconjunto dos controles e verificam se as não conformidades da auditoria anterior foram tratadas. São menos intensivas do que a Fase 2 original, mas requerem evidências atualizadas.

No terceiro ano, realiza uma auditoria completa de recertificação. As organizações que mantêm ativamente seu SGSI durante os três anos consideram a recertificação direta. As que deixam a documentação desatualizada e só atualizam os registos nas semanas antes da auditoria tendem a achá-la stressante e dispendiosa.

Como começar

O primeiro passo mais valioso é uma avaliação de lacunas. Antes de se comprometer com um prazo ou orçamento de projeto, é necessário compreender a distância entre onde está agora e onde o ISO 27001 exige que esteja. Uma avaliação de lacunas demora tipicamente uma a duas semanas e fornece um plano de projeto claro com o esforço estimado por área de trabalho.

Se está considerando a ISO 27001 porque um cliente solicitou, comece por entender o prazo do cliente e quais requisitos mínimos podem ser atendidos no período intermediário enquanto trabalha para a certificação completa.

A equipe de auditorias e conformidade da Cyvra realiza análises de gaps ISO 27001 e apoia empresas brasileiras em todo o processo de certificação, desde a definição do escopo até a preparação para a auditoria de Fase 2. Se quiser entender como é seu caminho para a certificação, fale conosco para uma conversa inicial.

ISO/IEC 27001:2022 é publicado pela Organização Internacional de Normalização. Os recursos de boas práticas de cibersegurança da ENISA incluem orientações de implementação que complementam os objetivos de controle da norma para organizações no início da sua jornada SGSI.

Como a Cyvra apoia a certificação ISO 27001

A Cyvra trabalha com organizações de todas as dimensões que precisam da ISO 27001 para atender a um requisito de cliente, cumprir exigências regulamentares ou construir uma maturidade de segurança demonstrável. A maioria chega até nós com um motivo específico: uma equipe de compras que o exige, um novo contrato que o requer, ou uma decisão do conselho de obter a certificação este ano.

Um projeto cobre todo o ciclo, desde a definição do escopo até à preparação para a auditoria de Fase 2. A Cyvra realiza a análise de lacunas, desenvolve a documentação do SGSI, apoia a implementação de controles, conduz a auditoria interna e prepara-o perante o organismo de certificação. Permanecemos envolvidos até obter seu certificado.

O que recebe durante o projeto:

  • Relatório de análise de lacunas com uma lista de ações prioritárias, cronograma realista e estimativa de custos
  • Documentação do SGSI: política de segurança da informação, metodologia de avaliação de riscos, registo de riscos, Declaração de Aplicabilidade e os procedimentos de apoio para controle de acessos, gestão de incidentes e segurança de fornecedores
  • Apoio na implementação de controles técnicos e organizacionais
  • Auditoria interna, conduzida de forma independente das equipes avaliadas
  • Preparação para a Fase 2: organização de evidências e uma revisão do que o auditor irá examinar

Após a certificação, a Cyvra presta apoio contínuo para as auditorias de monitoramento anuais e manutenção do registo de riscos. As organizações que passam pela recertificação sem dificuldades no terceiro ano são aquelas que mantiveram o SGSI atualizado ao longo do tempo.

Se um cliente solicitou a ISO 27001 ou se tem um prazo de certificação em mente, entre em contacto. O primeiro passo é uma breve chamada para compreender sua situação antes de recomendarmos uma abordagem.

Perguntas frequentes

Quanto tempo leva a certificação ISO 27001?

O prazo varia de 6 a 9 meses para empresas que já possuem uma base de segurança razoável, e de 9 a 12 meses para organizações que estão começando do zero com controles e documentação mínimos.

Quanto custa a certificação ISO 27001 no Brasil?

Os custos variam conforme o escopo e tamanho da empresa. Investimentos típicos incluem: análise de gaps (R$ 30.000 a R$ 90.000), documentação e implementação (R$ 30.000 a R$ 100.000) e taxas do organismo certificador para Fase 1 e Fase 2 (R$ 18.000 a R$ 50.000). As organizações que conduzem mais trabalho internamente reduzem significativamente a componente de consultoria.

O que é uma Declaração de Aplicabilidade na ISO 27001?

A Declaração de Aplicabilidade (SoA) é o documento obrigatório que lista quais dos 93 controles do Anexo A se aplicam ao perfil de risco da sua empresa e justifica a exclusão dos que não se aplicam. É um dos documentos mais analisados pelos auditores e deve refletir decisões reais de avaliação de riscos, não um modelo genérico.

Precisa de um consultor para obter a ISO 27001?

Não é obrigatório, mas contar com apoio especializado acelera o processo, evita a criação de um SGSI superdimensionado e garante maior índice de aprovação nas auditorias de Fase 1 e Fase 2. A maioria das pequenas e médias empresas no Brasil não possui equipe de segurança dedicada internamente.

Pronto para começar?

Obtenha um caminho claro para a certificação ISO 27001

Uma avaliação de lacunas fornece um plano de projeto, prazo e estimativa de custos antes de assumir qualquer compromisso.

Solicitar uma avaliação de lacunas Os nossos serviços de conformidade

Aviso legal: Este artigo destina-se apenas a fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não oferece garantias quanto à exatidão ou integralidade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem procurar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita qualquer responsabilidade por perdas decorrentes da dependência deste conteúdo.