O diagnostico de Fernando identificou 14 nao conformidades que tres auditorias anteriores nao haviam detectado. A diferenca esta na profundidade da analise com evidencia operacional real, nao apenas documentacao.
ISO 27001
Auditoria ISO 27001 — Sistema de Gestao de Seguranca da Informacao
Avaliacao integral do SGSI conforme ISO/IEC 27001:2022 com foco em controles criticos e risco residual.
ISO 27001 Lead AuditorISO 27701 Specialist
93Controles avaliados
200+Auditorias realizadas
A ISO/IEC 27001:2022 substituiu a estrutura de 114 controles em 14 dominios por 93 controles em 4 categorias (organizacionais, de pessoas, fisicos e tecnologicos). Essa mudanca nao e cosmetica: implica redesenhar a Declaracao de Aplicabilidade (SoA), recalibrar a avaliacao de riscos e gerar nova evidencia operacional. O que a maioria das organizacoes subestima e que a transicao nao e apenas mapear controles antigos para novos — ha 11 controles completamente novos (como inteligencia de ameacas, seguranca na nuvem e prevencao de vazamento de dados) que exigem adocao do zero. Organizacoes que tratam a transicao como exercicio documental chegam a auditoria de certificacao com lacunas operacionais que resultam em nao conformidades maiores.
Evidência em campo
Imagens de auditorias, equipes e validações ligadas a esta linha.
Entregaveis
01
Avaliacao dos 93 controles
Revisao sistematica do Anexo A contra a operacao real da organizacao.
02
Analise de risco residual
Identificacao de lacunas criticas e risco nao mitigado.
03
Roadmap de transicao 2022
Plano de migracao da versao 2013 com cronograma priorizado.
04
Relatorio para diretoria
Traducao executiva de achados tecnicos em linguagem de negocios.
Fluxo de Intervenção
01
Scoping
Definicao do escopo do SGSI e ativos criticos.
02
Auditoria de campo
Revisao documental, entrevistas e testes de controles.
03
Relatorio e encerramento
Entrega do relatorio executivo e sessao de encerramento com a direcao.
Consultas Técnicas
Um diagnostico inicial com gap analysis leva de 5 a 10 dias uteis dependendo do escopo (numero de sedes, funcionarios no escopo e complexidade tecnologica). Uma auditoria de campo completa requer de 15 a 30 dias. O fator que mais impacta os prazos nao e o tamanho da organizacao, mas a maturidade documental: se os registros de risco, a SoA e as evidencias de controles estao desatualizados, o processo de levantamento se estende. Recomendamos iniciar com o diagnostico de 72 horas para dimensionar o esforco real.
Um fornecedor de conformidade tipicamente opera com checklists genericos e entrega um relatorio de status. Uma avaliacao com rigor de auditor lider ISO aplica amostragem baseada em risco, verifica a evidencia operacional contra os requisitos de cada clausula e simula os criterios que o organismo certificador utilizara. A diferenca esta na profundidade do achado: nao reportamos 'conforme/nao conforme' mas classificamos cada nao conformidade por impacto no negocio e probabilidade de deteccao em auditoria formal.
800+ organizacoes avaliadas
Resultados verificaveis de organizacoes reais
Diretores, CISOs e oficiais de conformidade da America Latina compartilham sua experiencia com as avaliacoes independentes de Fernando Arrieta.
Fernando Arrieta oferece servicos de avaliacao, diagnostico e orientacao metodologica para sistemas de gestao. Estas atividades sao independentes do processo de certificacao, que e realizado exclusivamente por organismos de certificacao acreditados.