Auditoria ISO 27001 — Sistema de Gestao de Seguranca da Informacao
ISO 27001

Auditoria ISO 27001 — Sistema de Gestao de Seguranca da Informacao

Avaliacao integral do SGSI conforme ISO/IEC 27001:2022 com foco em controles criticos e risco residual.

ISO 27001 Lead AuditorISO 27701 Specialist
93Controles avaliados
200+Auditorias realizadas
Agendar avaliacao

A ISO/IEC 27001:2022 substituiu a estrutura de 114 controles em 14 dominios por 93 controles em 4 categorias (organizacionais, de pessoas, fisicos e tecnologicos). Essa mudanca nao e cosmetica: implica redesenhar a Declaracao de Aplicabilidade (SoA), recalibrar a avaliacao de riscos e gerar nova evidencia operacional. O que a maioria das organizacoes subestima e que a transicao nao e apenas mapear controles antigos para novos — ha 11 controles completamente novos (como inteligencia de ameacas, seguranca na nuvem e prevencao de vazamento de dados) que exigem adocao do zero. Organizacoes que tratam a transicao como exercicio documental chegam a auditoria de certificacao com lacunas operacionais que resultam em nao conformidades maiores.

Entregaveis

01

Avaliacao dos 93 controles

Revisao sistematica do Anexo A contra a operacao real da organizacao.

02

Analise de risco residual

Identificacao de lacunas criticas e risco nao mitigado.

03

Roadmap de transicao 2022

Plano de migracao da versao 2013 com cronograma priorizado.

04

Relatorio para diretoria

Traducao executiva de achados tecnicos em linguagem de negocios.

Fluxo de Intervenção

01

Scoping

Definicao do escopo do SGSI e ativos criticos.

02

Auditoria de campo

Revisao documental, entrevistas e testes de controles.

03

Relatorio e encerramento

Entrega do relatorio executivo e sessao de encerramento com a direcao.

Consultas Técnicas

Um diagnostico inicial com gap analysis leva de 5 a 10 dias uteis dependendo do escopo (numero de sedes, funcionarios no escopo e complexidade tecnologica). Uma auditoria de campo completa requer de 15 a 30 dias. O fator que mais impacta os prazos nao e o tamanho da organizacao, mas a maturidade documental: se os registros de risco, a SoA e as evidencias de controles estao desatualizados, o processo de levantamento se estende. Recomendamos iniciar com o diagnostico de 72 horas para dimensionar o esforco real.

Um fornecedor de conformidade tipicamente opera com checklists genericos e entrega um relatorio de status. Uma avaliacao com rigor de auditor lider ISO aplica amostragem baseada em risco, verifica a evidencia operacional contra os requisitos de cada clausula e simula os criterios que o organismo certificador utilizara. A diferenca esta na profundidade do achado: nao reportamos 'conforme/nao conforme' mas classificamos cada nao conformidade por impacto no negocio e probabilidade de deteccao em auditoria formal.

Serviços Relacionados

ISO 42001 — Gestao de IA

Avaliacao independente do sistema de gestao de IA conforme ISO/IEC 42001:2023.

Ver serviço

ISO 27701 — Privacidade

Extensao da ISO 27001 para gestao de dados pessoais e conformidade com regulacoes de privacidade.

Ver serviço

Ciberseguranca

Avaliacao integral da postura de ciberseguranca com foco em controles tecnicos e organizacionais.

Ver serviço

Pesquisas Relacionadas

Dados e achados que sustentam este serviço

INV-05

ISO 27001 na LATAM: certificações cresceram 34% mas a maturidade real continua baixa

Ler pesquisa
INV-14

Transição para ISO 27001:2022: 55% das organizações subestimam o esforço dos novos controles

Ler pesquisa
INV-15

Incidentes em organizações certificadas: a certificação reduz o impacto em 43% mas não previne o evento

Ler pesquisa

Fernando Arrieta oferece servicos de avaliacao, diagnostico e orientacao metodologica para sistemas de gestao. Estas atividades sao independentes do processo de certificacao, que e realizado exclusivamente por organismos de certificacao acreditados.