ISO 27001 é exigência crescente em contratos B2B no Brasil — especialmente com clientes financeiros, governamentais e multinacionais. Implementação leva 12-18 meses, mas processo é bem definido.

O que é ISO 27001

ISO/IEC 27001 é a norma internacional de gestão de segurança da informação. Estabelece requisitos para implantação, manutenção e melhoria contínua de um SGSI (Sistema de Gestão de Segurança da Informação).

Não é certificação de produtos ou tecnologia — é certificação de processos e governança. Empresa certificada ISO 27001 demonstra que tem framework formal para identificar, avaliar e tratar riscos de segurança da informação.

Estrutura da norma (versão 2022)

ISO 27001:2022 estrutura-se em 10 cláusulas:
0-3: introdução, escopo, referências, termos
4: contexto da organização
5: liderança
6: planejamento
7: apoio
8: operação
9: avaliação de desempenho
10: melhoria

Plus o Annex A com 93 controles organizados em 4 domínios:
• Organizational (37 controles)
• People (8)
• Physical (14)
• Technological (34)

Roadmap de 12-18 meses

Plano realista para empresa de médio porte:

Fase 1 (Mês 1-3): Diagnóstico GAP — mapeamento do estado atual contra requisitos ISO 27001. Definição de escopo do SGSI. Engajamento da diretoria.

Fase 2 (Mês 4-6): Implementação de processos centrais — política de SI, gestão de riscos, gestão de incidentes, gestão de mudanças. Início do treinamento.

Fase 3 (Mês 7-9): Implementação dos controles do Annex A aplicáveis (típicamente 70-85 dos 93 controles).

Fase 4 (Mês 10-12): Auditoria interna, ações corretivas, formação dos auditores internos.

Fase 5 (Mês 13-15): Auditoria externa Estágio 1 (documentação) com órgão certificador (BSI, DNV, BVQI, TÜV).

Fase 6 (Mês 16-18): Auditoria externa Estágio 2 (operação) e emissão do certificado.

Os controles essenciais

Mesmo que a empresa só implemente parte dos 93 controles, alguns são quase universais:

Organizacionais críticos:
• A.5.1 Políticas de SI
• A.5.16 Gestão de identidades
• A.5.20 Cláusulas em contratos com fornecedores
• A.5.30 Gestão de continuidade

Pessoas:
• A.6.3 Conscientização e treinamento
• A.6.6 Termos de confidencialidade

Tecnológicos:
• A.8.1 Dispositivos de usuário
• A.8.5 Autenticação segura
• A.8.16 Monitoramento de atividades
• A.8.24 Criptografia
• A.8.28 Codificação segura

Custos de implementação

Investimento típico para empresa de 100-500 colaboradores no Brasil:

Consultoria de implantação (vCISO + especialistas): R$ 250k-500k em 12-18 meses
Treinamento da equipe: R$ 30k-60k
Ferramentas (GRC, SIEM, EDR): R$ 50k-150k em CAPEX/OPEX
Auditoria externa de certificação: R$ 60k-120k (Estágios 1+2)
Manutenção anual (auditoria de manutenção, evoluções): R$ 80k-180k/ano

Total ano 1: R$ 400k-900k. Investimento se justifica em ganho de contratos B2B (clientes que exigem ISO 27001) e redução de riscos.

Combinação com LGPD

ISO 27001 e LGPD têm forte intersecção. Empresas que implementam os dois em paralelo economizam 30-40% comparado a fazer separadamente.

Sobreposições principais:
• Política de Privacidade ↔ Política de SI
• DPO ↔ ISO 27001 (gestão de privacidade no Annex A.5.34)
• Inventário de dados pessoais ↔ Inventário de ativos
• Gestão de incidentes ↔ Resposta a incidentes
• Treinamento LGPD ↔ Conscientização A.6.3

Conheça nosso serviço de compliance LGPD e ISO 27001.

Manutenção pós-certificação

Certificado ISO 27001 dura 3 anos, com auditorias anuais de manutenção (mais leves). A cada 3 anos, recertificação completa.

Manter certificação exige:
• Auditoria interna anual
• Análise crítica pela direção
• Tratamento contínuo de não conformidades
• Atualização do SGSI conforme mudanças no negócio
• Treinamento contínuo da equipe

Empresas que descuidam após certificação perdem em recertificação. ISO 27001 não é checkbox — é cultura.

Precisa de ajuda com isso na sua empresa?

A Pilar TI pode te ajudar a implementar o que você acabou de ler. Conversamos por 30 minutos para entender seu cenário e indicar o caminho — sem compromisso comercial.

Agendar conversa