Guia de implementação de um SGSI conforme ISO/IEC 27001:2022. Escopo, avaliação de riscos, controles do Anexo A e auditoria interna.
ISO 27001 estabelece os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Este guia divide o processo em etapas concretas para que sua organização alcance a conformidade de forma ordenada.
Determine quais processos, locais e ativos de informação entram no escopo do SGSI. Um escopo mal definido é a causa mais frequente de achados na auditoria de Estágio 1.
Identifique ameaças e vulnerabilidades nos ativos do escopo. Avalie a probabilidade e impacto com critérios quantificáveis e documente o tratamento escolhido para cada risco.
Liste os 93 controles do Anexo A e justifique quais se aplicam e quais não. A SoA é o documento mais revisado durante a auditoria de certificação.
Implante os controles técnicos e organizacionais selecionados. Documente as políticas obrigatórias (segurança da informação, uso aceitável, controle de acesso) com evidência de aprovação da direção.
Realize pelo menos um ciclo completo de auditoria interna cobrindo todas as cláusulas (4-10) e os controles aplicáveis. A revisão pela direção deve avaliar resultados, métricas e oportunidades de melhoria.
Depende do escopo e da maturidade da organização. Em média, entre 6 e 12 meses para organizações médias com processos parcialmente documentados.
Não. O Anexo A é um catálogo de referência. Somente os controles que a análise de riscos e a SoA determinam como aplicáveis são implementados.
A versão 2022 reorganizou os controles do Anexo A em 4 categorias (antes 14) e adicionou 11 controles novos, incluindo inteligência de ameaças e segurança na nuvem.
Diagnostico em 72 horas operacionais. Metodologia ISO. Sem vinculacao com certificadores.
Solicitar diagnostico