Pular para o conteúdo
Governança e Conformidade

O que é a ISO 27001?

A ISO/IEC 27001 é a norma internacional que define os requisitos para implantar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI): a estrutura de políticas, controles e processos que uma empresa usa para proteger a confidencialidade, a integridade e a disponibilidade da informação. A versão vigente é a ISO/IEC 27001:2022, e a empresa pode buscar certificação para comprovar a um cliente ou parceiro que o sistema está implantado e funciona.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como funciona um SGSI segundo a ISO 27001

A norma não entrega uma lista fixa de ferramentas para comprar, ela exige um sistema de gestão: identificar risco, aplicar controle, medir e melhorar, de forma contínua.

1

Mapeie o risco à informação

A empresa identifica os ativos de informação (dados, sistemas, processos) e os riscos que ameaçam sua confidencialidade, integridade ou disponibilidade.

2

Aplique os controles do Anexo A

Escolha, entre os 93 controles do Anexo A, organizados em quatro temas (organizacionais, de pessoas, físicos e tecnológicos), os que tratam cada risco mapeado.

3

Documente e opere o sistema

Políticas, papéis, treinamento e evidência de que os controles realmente funcionam no dia a dia, não só no papel.

4

Audite e certifique

Um organismo certificador independente avalia o sistema. Passando, a empresa recebe um certificado válido por três anos, com auditorias de manutenção nesse intervalo.

Fonte: ISO/IEC 27001:2022 (International Organization for Standardization).

O que os controles da ISO 27001 cobrem

  • Controles organizacionais Políticas de segurança, papéis e responsabilidades, gestão de fornecedores, resposta a incidentes: a espinha de governança do sistema.
  • Controles de pessoas Triagem, treinamento de conscientização, termo de confidencialidade, o que muda quando alguém entra ou sai da empresa.
  • Controles físicos Acesso a instalações, proteção de equipamento, descarte seguro de mídia: a segurança que não é digital.
  • Controles tecnológicos Controle de acesso, criptografia, backup, monitoramento, proteção contra malware: a camada técnica que a Zamak entrega no dia a dia.

Por que a certificação virou critério de compra

96.709
certificados ISO 27001 válidos no mundo em 2024, segundo o ISO Survey 2024
+98%
crescimento do número de certificados entre 2023 (48.671) e 2024 (96.709)
93
controles do Anexo A, organizados em 4 temas, na versão 2022 da norma

A ISO 27001 deixou de ser diferencial e virou pré-requisito em processos de compra: cliente enterprise, seguradora cibernética e parceiro de dados cada vez mais pedem o certificado antes de assinar contrato. O crescimento prova a pressão: o número de certificados válidos no mundo quase dobrou em um ano, de 48.671 em 2023 para 96.709 em 2024. O certificado tem validade de três anos, mas exige auditoria de manutenção nesse intervalo, então não é um selo que se conquista e se esquece, é um sistema que precisa continuar funcionando para não ser suspenso.

Como uma empresa se prepara para a ISO 27001

O caminho até o certificado passa por etapas previsíveis:

  1. Faça uma avaliação de lacuna (gap analysis)Compare o que a empresa já tem contra os controles do Anexo A para saber a distância real até a certificação.
  2. Priorize pelo risco, não pela lista inteiraNem todo controle se aplica a toda empresa. A norma pede justificar a exclusão de um controle, não implantar todos cegamente.
  3. Construa a evidência, não só a políticaUm auditor não certifica uma política bonita no papel, certifica um controle que se prova em funcionamento, com registro.
  4. Escolha o organismo certificador e agende a auditoriaA certificação é feita por um organismo credenciado e independente, em duas etapas: revisão documental e auditoria de campo.

Na prática

A pergunta que separa uma política de segurança de um SGSI de verdade: se um auditor pedisse hoje a evidência de que um controle específico funcionou no mês passado, a empresa teria o registro pronto?

Como a Zamak apoia a jornada para a ISO 27001

A Zamak Technologies entrega a fatia técnica que a ISO 27001 exige (controle de acesso, backup, monitoramento, resposta a incidente) e apoia o mapeamento de controles e a gestão de evidência sobre uma plataforma de conformidade, dentro da Governança e Conformidade do Método Zamak. O Compliance Audit Express mostra, em minutos, a distância atual até a certificação.

Perguntas frequentes sobre a ISO 27001

ISO 27001 é lei ou norma voluntária?
É uma norma voluntária, não uma lei. A empresa busca a certificação porque um cliente, um contrato ou um mercado exige, ou porque quer formalizar a própria gestão de segurança, não por obrigação legal.
Qual a diferença entre ISO 27001 e SOC 2?
A ISO 27001 certifica o sistema de gestão de segurança da informação como um todo, com um certificado emitido por um organismo credenciado. O SOC 2 é um relatório de auditoria sobre controles específicos, emitido por um contador independente. Empresas que vendem para os EUA costumam ouvir mais sobre SOC 2; as que vendem para a Europa ou Ásia, mais sobre ISO 27001.
Preciso implantar os 93 controles do Anexo A?
Não. A norma pede avaliar cada controle contra o risco mapeado e justificar formalmente a exclusão dos que não se aplicam, num documento chamado Declaração de Aplicabilidade.
Quanto tempo dura o certificado?
Três anos, mas com auditorias de manutenção (surveillance) nesse intervalo. Não é um selo permanente.
Empresa pequena consegue se certificar?
Sim. A norma é genérica e se aplica a organizações de qualquer porte ou setor; o esforço é proporcional ao tamanho e à complexidade do sistema, não fixo.
Certificação ISO 27001 é da empresa ou de um produto?
Do sistema de gestão da empresa (ou de um escopo definido dela), não de um produto isolado. É por isso que o escopo declarado no certificado importa tanto quanto o próprio selo.

Termos relacionados

Continue explorando

Ver o índice completo →
Ameaças e Ataques
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake