ISO/IEC 27001:2022 · SGSI · SEGURANÇA DA INFORMAÇÃO

Preparação ISO 27001: preparamos sua organização para a certificação de segurança da informação

Implementação completa do SGSI. Do diagnóstico de lacunas à preparação para auditoria de certificação. Nós preparamos — a certificação é emitida por um organismo acreditado independente.

Lead Auditor ISO/IEC 27001Lead Implementor ISO 27001

Iniciar conversa Ver auditoria de segurança →

93Controles Anexo A

72 hDiagnóstico preliminar

5Fases de certificação

Fernando Arrieta en evento internacional de certificación ISO

«A certificação não é o objetivo final — é a evidência de que seu sistema de gestão funciona.»

Fernando Arrieta — Lead Auditor ISO/IEC 27001

Público-alvo

Quem precisa certificar ISO 27001?

Organizações com operações internacionais

Cada vez mais contratos exigem ISO 27001 como requisito para trabalhar. A certificação é cada vez mais um requisito documentado em cadeias de suprimentos internacionais.

Organizações reguladas

Fintech, saúde, governo e seguros precisam demonstrar controles de segurança perante reguladores e órgãos de supervisão.

Empresas que lidam com dados sensíveis

Se você processa dados pessoais, financeiros ou de saúde, a ISO 27001 fornece o framework para protegê-los e comprová-lo.

Processo de certificação

Fases de preparação para certificação ISO/IEC 27001

Diagnóstico de lacunas

Avaliação do estado atual vs. os requisitos da ISO 27001. Identifica o que existe, o que falta e por onde começar.

Análise de riscos

Mapeamento de ativos de informação, ameaças, vulnerabilidades e controles necessários conforme seu contexto.

Implementação do SGSI

Elaboração de políticas, procedimentos, controles e papéis. Documentação operacional que se usa, não que se arquiva.

Auditoria interna

Verificação prévia à certificação: detectamos achados e os corrigimos antes da auditoria externa.

Preparação para auditoria de certificação

Preparação completa: simulação de auditoria, encerramento de achados e documentação pronta para apresentar ao organismo certificador independente.

Entregáveis

O que você recebe no processo

Relatório de lacunas (GAP Analysis)

Mapa detalhado do que você cumpre e do que falta, com priorização por risco e esforço.

Documentação do SGSI

Políticas, procedimentos, matriz de riscos, Declaração de Aplicabilidade (SoA) e registros operacionais.

Plano de tratamento de riscos

Controles selecionados do Anexo A com responsáveis, prazos e critérios de verificação.

Relatório de auditoria interna

Verificação completa antes da certificação. Achados corrigidos e evidência documentada.

Preparação para certificação

Simulação de auditoria, análise crítica pela direção e encerramento de não conformidades antes da auditoria externa.

Suporte de melhoria contínua

Suporte pós-implementação para manter e melhorar o SGSI. A vigilância e o ciclo de certificação são responsabilidade do organismo certificador.

Perguntas frequentes

Certificação ISO 27001: perguntas frequentes

Quanto tempo leva para certificar ISO 27001?

Depende do tamanho e maturidade da organização. Em média, a implementação completa leva entre 4 e 8 meses. Organizações com processos maduros podem conseguir em 3 meses. O diagnóstico preliminar é entregue em 72 horas e permite planejar o cronograma.

Quanto custa a certificação ISO 27001?

O custo varia conforme o escopo, a quantidade de unidades e a complexidade da organização. O processo de preparação cobre diagnóstico, implementação e readiness. A auditoria de certificação é um serviço independente contratado diretamente com o organismo certificador acreditado.

O que é o SGSI e por que preciso de um?

O Sistema de Gestão de Segurança da Informação (SGSI) é o framework que define como sua organização protege seus ativos de informação. Inclui políticas, papéis, controles de acesso, gestão de incidentes e melhoria contínua. A ISO 27001 é o padrão internacional que certifica que seu SGSI atende requisitos reconhecidos mundialmente.

Preciso de experiência prévia em segurança da informação?

Não. Muitas organizações começam do zero. O diagnóstico inicial mapeia o estado atual e o processo de preparação cobre diagnóstico, implementação e readiness. A auditoria de certificação é um passo separado, gerenciado por um organismo acreditado independente.

A certificação tem validade internacional?

Sim. A ISO 27001 é um padrão internacional reconhecido em todo o mundo. A certificação é emitida por um organismo certificador acreditado e independente e tem validade global. Fernando Arrieta oferece preparação e readiness — a decisão de certificar é responsabilidade exclusiva do organismo acreditado.

Quais controles a ISO 27001 inclui?

A versão 2022 inclui 93 controles no Anexo A, organizados em 4 categorias: organizacionais, de pessoas, físicos e tecnológicos. Nem todos são obrigatórios: são aplicados conforme a análise de risco da sua organização.

Sistemas relacionados

Outros sistemas de auditoria

ISO 9001

Gestão da qualidade

Certificação de processos com abordagem PDCA e melhoria contínua.

Ver sistema ISO/IEC 42001

Governança de IA

Sistema de gestão de inteligência artificial com prestação de contas.

Ver sistema Segurança

Auditoria de segurança

Diagnóstico de SGSI com resultados documentados.

Ver sistema

Acreditaciones y membresías institucionales

A segurança da informação com evidência começa com uma conversa clara.

Se sua organização está avaliando a preparação para ISO 27001, este é o canal para analisar escopo e viabilidade. Todas as consultas são tratadas sob confidencialidade.