Avançado Governança e Compliance

ISO 27001 — SGSI, controles, ciclo PDCA e certificação

A ISO/IEC 27001 é o padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Ela define requisitos para estabelecer, implementar, manter e melhorar continuamente a segurança da informação em uma organização. A versão atual é a ISO 27001:2022, que reorganizou os controles do Anexo A em 4 temas: organizacionais, de pessoas, físicos e tecnológicos.

O que é um SGSI

Um SGSI não é uma lista de ferramentas — é um sistema de gestão. Inclui políticas, processos, pessoas e tecnologia trabalhando juntos para proteger a confidencialidade, integridade e disponibilidade da informação (tríade CIA).

Escopo do SGSI (exemplo):
┌──────────────────────────────────────┐
│  Organização: Example Corp           │
│  Escopo: sistemas de dados de        │
│  clientes e infraestrutura de TI     │
│  na sede São Paulo                   │
│  Excluído: filial Rio (sem dados     │
│  de clientes)                        │
└──────────────────────────────────────┘

Definir o escopo com precisão é o primeiro passo — e um dos mais críticos para a certificação.

Ciclo PDCA Aplicado ao SGSI

FaseAção
Plan (Planejar)Definir escopo, política, objetivos, avaliação de risco
Do (Executar)Implementar controles, treinar equipe, operar processos
Check (Verificar)Auditorias internas, métricas, análise de incidentes
Act (Agir)Ações corretivas, melhoria contínua, revisão pela direção

A revisão pela direção (cláusula 9.3) deve acontecer ao menos uma vez por ano e produzir ata formal com decisões documentadas.

Estrutura da Norma (Cláusulas 4 a 10)

  • 4 — Contexto da organização (partes interessadas, escopo)
  • 5 — Liderança (comprometimento da direção, política, papéis)
  • 6 — Planejamento (riscos, objetivos)
  • 7 — Suporte (recursos, competência, comunicação, documentação)
  • 8 — Operação (implementação dos controles)
  • 9 — Avaliação de desempenho (monitoramento, auditoria interna)
  • 10 — Melhoria (não conformidades, ações corretivas)

Controles do Anexo A (ISO 27001:2022)

A versão 2022 tem 93 controles distribuídos em 4 temas:

Organizacionais (37): políticas, gestão de ativos, supplier security...
Pessoas (8): triagem, treinamento, responsabilidades, desligamento...
Físicos (14): controle de acesso físico, segurança de equipamentos...
Tecnológicos (34): gestão de identidade, criptografia, backup, logs...

Cada controle deve ter uma Declaração de Aplicabilidade (Statement of Applicability — SoA) que justifica inclusão ou exclusão.

Processo de Certificação

1. Gap analysis → identificar distância atual até a norma
2. Implementação → corrigir lacunas, documentar evidências
3. Auditoria interna → validar o sistema antes da certificação
4. Revisão pela direção → formalizar resultados
5. Auditoria de certificação Estágio 1 → análise documental pelo organismo
6. Auditoria de certificação Estágio 2 → verificação em campo
7. Certificado emitido → válido por 3 anos
8. Auditorias de vigilância → anual (anos 1 e 2)
9. Renovação → auditoria completa no ano 3

Organismos de certificação devem ser acreditados pelo INMETRO (Brasil) ou equivalente nacional conforme ISO/IEC 17021.

Métricas Úteis de Operação do SGSI

  • Tempo médio de resposta a incidentes (MTTR)
  • Percentual de riscos tratados vs. total identificado
  • Cobertura de treinamentos de segurança (% da equipe)
  • Número de não conformidades abertas em auditoria interna
  • Percentual de controles do Anexo A com evidência documentada