Cargando…
Cargando
Preparando la información solicitada…
ISO/IEC 27001 · ISO/IEC 27701 · Anexo A
Segurança da informação: auditoria, controles e rastreabilidade auditável
A segurança não se mede por firewalls comprados, mas por controles verificados. Auditoria e diagnóstico de SGSI com foco em evidência: sem rastreabilidade, não há proteção real.
Lead Auditor ISO/IEC 27001Lead Implementor ISO 27001ISO/IEC 27701 Privacy
93Controles Anexo A
ISO 27001Marco de referência
6Domínios de auditoria
«A segurança não se mede por firewalls comprados, mas por controles verificados com evidência.»Fernando Arrieta — Lead Auditor ISO/IEC 27001
Para quem é
Quem precisa de auditoria de segurança?
CISOs e equipes de segurança
Precisam validar que os controles declarados funcionam na prática. A auditoria transforma a percepção de segurança em registros auditáveis.
Direção e comitês de risco
Precisam de visibilidade sobre o nível real de proteção da informação e o estado de conformidade normativa. Sem linguagem técnica desnecessária.
Organizações em certificação
Preparam a auditoria de certificação ISO 27001 ou a de vigilância anual. Precisam garantir conformidade antes da visita do organismo certificador.
Domínios
O que se audita em segurança da informação
Seis domínios críticos que todo SGSI deve cobrir com evidência — não com intenção.
Governança de segurança
Política, papéis, liderança e comprometimento da direção. Contexto organizacional e escopo do SGSI.
Gestão de riscos
Identificação, avaliação e tratamento de riscos de segurança. Critérios de aceitação e plano de tratamento documentado.
Controles de acesso
Gestão de identidades, privilégio mínimo, autenticação multifator e revisão periódica de permissões.
Proteção de dados
Criptografia, classificação, ciclo de vida do dado, backup e destruição segura. Extensão para privacidade (ISO 27701).
Gestão de incidentes
Detecção, resposta, escalonamento, notificação e lições aprendidas. Planos de comunicação para partes interessadas.
Continuidade e resiliência
Planos de continuidade de negócio, recuperação de desastres, testes periódicos e métricas de disponibilidade.
Marcos normativos
Marcos e padrões de referência
- 01
ISO/IEC 27001:2022. O padrão internacional para sistemas de gestão de segurança da informação. 93 controles organizados em 4 categorias. Base de toda auditoria de segurança séria.
- 02
ISO/IEC 27701:2019. Extensão para gestão de privacidade de informações pessoais (PII). Requisito crescente para organizações que processam dados pessoais em contextos regulados (GDPR, LGPD).
- 03
ISO/IEC 27005. Guia para gestão de riscos de segurança da informação. Complemento essencial para o tratamento de riscos exigido pela ISO 27001.
- 04
NIST Cybersecurity Framework. Framework complementar para organizações com exposição a mercados norte-americanos. Identifica cinco funções: Identify, Protect, Detect, Respond, Recover.
Perguntas frequentes
Segurança da informação: o que a direção pergunta
O que é um SGSI e por que preciso de um?
Um SGSI (Sistema de Gestão de Segurança da Informação) baseado na ISO/IEC 27001 é um conjunto de políticas, processos e controles que protegem a confidencialidade, integridade e disponibilidade da informação. Não é um firewall nem um software — é um sistema de gestão com evidência auditável.
Qual a diferença entre ISO 27001 e ISO 27701?
A ISO 27001 protege a segurança da informação em geral. A ISO 27701 estende esse sistema para cobrir especificamente a privacidade de dados pessoais (PII). Se você processa dados pessoais, precisa de ambas. A ISO 27701 é implementada como extensão de um SGSI já certificado.
Quanto tempo leva uma auditoria de segurança?
Um diagnóstico de lacunas contra a ISO 27001 é entregue em 2-4 semanas. Uma auditoria interna completa de um SGSI existente leva entre 4-8 semanas dependendo do escopo. O crítico é a qualidade da evidência, não a velocidade.
A segurança da informação cobre IA?
Parcialmente. A ISO 27001 cobre controles de acesso, criptografia, gestão de incidentes e continuidade que se aplicam a sistemas de IA. Mas para governança específica de IA é necessária a ISO/IEC 42001 como complemento. A segurança da informação é condição necessária, mas não suficiente.
E se não temos nada implementado?
Começa-se com um diagnóstico de lacunas: avalia-se o estado atual contra os 93 controles do Anexo A da ISO 27001, identificam-se os riscos mais críticos e define-se um roadmap priorizado. Não é necessária certificação prévia para começar.
Acreditaciones y membresías institucionales
A segurança da informação com evidência começa com uma conversa clara.
Se sua organização está avaliando sua postura de segurança da informação ou se preparando para a ISO 27001, este é o canal para discutir escopo e abordagem. Todas as consultas são tratadas sob confidencialidade.
Os serviços de consultoria e implementação descritos neste site são fornecidos de forma independente. Conforme a ISO/IEC 17021-1 §5.2, aplicam-se restrições de imparcialidade e períodos de resfriamento.