O que é a ISO 27001?
A ISO/IEC 27001 é a norma internacional que define os requisitos para implantar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI): a estrutura de políticas, controles e processos que uma empresa usa para proteger a confidencialidade, a integridade e a disponibilidade da informação. A versão vigente é a ISO/IEC 27001:2022, e a empresa pode buscar certificação para comprovar a um cliente ou parceiro que o sistema está implantado e funciona.
Como funciona um SGSI segundo a ISO 27001
A norma não entrega uma lista fixa de ferramentas para comprar, ela exige um sistema de gestão: identificar risco, aplicar controle, medir e melhorar, de forma contínua.
Mapeie o risco à informação
A empresa identifica os ativos de informação (dados, sistemas, processos) e os riscos que ameaçam sua confidencialidade, integridade ou disponibilidade.
Aplique os controles do Anexo A
Escolha, entre os 93 controles do Anexo A, organizados em quatro temas (organizacionais, de pessoas, físicos e tecnológicos), os que tratam cada risco mapeado.
Documente e opere o sistema
Políticas, papéis, treinamento e evidência de que os controles realmente funcionam no dia a dia, não só no papel.
Audite e certifique
Um organismo certificador independente avalia o sistema. Passando, a empresa recebe um certificado válido por três anos, com auditorias de manutenção nesse intervalo.
Fonte: ISO/IEC 27001:2022 (International Organization for Standardization).
O que os controles da ISO 27001 cobrem
- Controles organizacionais Políticas de segurança, papéis e responsabilidades, gestão de fornecedores, resposta a incidentes: a espinha de governança do sistema.
- Controles de pessoas Triagem, treinamento de conscientização, termo de confidencialidade, o que muda quando alguém entra ou sai da empresa.
- Controles físicos Acesso a instalações, proteção de equipamento, descarte seguro de mídia: a segurança que não é digital.
- Controles tecnológicos Controle de acesso, criptografia, backup, monitoramento, proteção contra malware: a camada técnica que a Zamak entrega no dia a dia.
Por que a certificação virou critério de compra
A ISO 27001 deixou de ser diferencial e virou pré-requisito em processos de compra: cliente enterprise, seguradora cibernética e parceiro de dados cada vez mais pedem o certificado antes de assinar contrato. O crescimento prova a pressão: o número de certificados válidos no mundo quase dobrou em um ano, de 48.671 em 2023 para 96.709 em 2024. O certificado tem validade de três anos, mas exige auditoria de manutenção nesse intervalo, então não é um selo que se conquista e se esquece, é um sistema que precisa continuar funcionando para não ser suspenso.
Como uma empresa se prepara para a ISO 27001
O caminho até o certificado passa por etapas previsíveis:
- Faça uma avaliação de lacuna (gap analysis)Compare o que a empresa já tem contra os controles do Anexo A para saber a distância real até a certificação.
- Priorize pelo risco, não pela lista inteiraNem todo controle se aplica a toda empresa. A norma pede justificar a exclusão de um controle, não implantar todos cegamente.
- Construa a evidência, não só a políticaUm auditor não certifica uma política bonita no papel, certifica um controle que se prova em funcionamento, com registro.
- Escolha o organismo certificador e agende a auditoriaA certificação é feita por um organismo credenciado e independente, em duas etapas: revisão documental e auditoria de campo.
Na prática
A pergunta que separa uma política de segurança de um SGSI de verdade: se um auditor pedisse hoje a evidência de que um controle específico funcionou no mês passado, a empresa teria o registro pronto?
Como a Zamak apoia a jornada para a ISO 27001
A Zamak Technologies entrega a fatia técnica que a ISO 27001 exige (controle de acesso, backup, monitoramento, resposta a incidente) e apoia o mapeamento de controles e a gestão de evidência sobre uma plataforma de conformidade, dentro da Governança e Conformidade do Método Zamak. O Compliance Audit Express mostra, em minutos, a distância atual até a certificação.