Audit41Readiness
ISO/IEC 27001:2022

Prontidão para a certificação ISO 27001

O padrão internacional para gestão de segurança da informação — cada vez mais exigido por clientes corporativos, fornecedores governamentais e setores regulados no Brasil.

1M+certificados emitidos no mundo
150+países com organizações certificadas
Começar →Ver preços →

O padrão

O que é a ISO/IEC 27001:2022?

A ISO/IEC 27001 é o padrão internacional para Sistemas de Gestão de Segurança da Informação (ISMS). Publicada pela International Organization for Standardization (ISO) e pela International Electrotechnical Commission (IEC), ela define o que um ISMS deve conter e como deve operar.

A revisão de 2022 (ISO/IEC 27001:2022) introduziu 11 novos controles, reorganizou o Anexo A em quatro temas de controle (Organizacional, Pessoas, Físico, Tecnológico) e acrescentou requisitos explícitos para inteligência de ameaças, segurança em nuvem e mascaramento de dados. Organizações certificadas na versão de 2013 tinham até 31 de outubro de 2025 para migrar para o padrão de 2022.

A certificação ISO 27001 é emitida por organismos de certificação credenciados, não pela própria ISO. O padrão se aplica a qualquer organização, de qualquer porte, em qualquer setor. É cada vez mais exigido por clientes corporativos, compras governamentais e setores regulados como prova de que a segurança da informação é gerenciada de forma sistemática.

Publicado por

ISO & IEC (padrão conjunto)

Versão atual

ISO/IEC 27001:2022

Prazo de transição da versão 2013: 31 de outubro de 2025

Escopo

Qualquer organização, porte ou setor

Sem limite mínimo de porte

Certificação

Emitida por organismos de certificação credenciados

Não pela ISO diretamente. Exige auditoria externa formal.

93 controles em quatro temas.

A.5

Controles organizacionais

37 controles

Políticas, papéis, responsabilidades, inteligência de ameaças, segurança da informação em projetos, segurança da cadeia de suprimentos e planejamento de continuidade de negócios.

A.6

Controles de pessoas

8 controles

Triagem, termos de contratação, treinamento de conscientização em segurança, processo disciplinar e trabalho remoto.

A.7

Controles físicos

14 controles

Perímetros de segurança física, políticas de mesa e tela limpa, manutenção de equipamentos e descarte seguro de mídias.

A.8

Controles tecnológicos

34 controles (inclui 11 novos em 2022)

Controle de acesso, criptografia, gestão de vulnerabilidades, segurança de rede, codificação segura, mascaramento de dados, filtragem web e segurança em nuvem (nova em 2022).

A revisão de 2022 acrescentou 11 novos controles voltados especificamente a ameaças modernas: inteligência de ameaças, prontidão de TIC para continuidade de negócios, monitoramento de segurança física, gestão de configuração, exclusão de informações, mascaramento de dados, prevenção de vazamento de dados, atividades de monitoramento, filtragem web, codificação segura e segurança em nuvem.

Por que isso importa

A ISO 27001 está se tornando um requisito comercial.

1

Exigida pelo BACEN e pela SUSEP

O Banco Central do Brasil (Resolução CMN 4.893) e o órgão regulador ou fiscalizador de seguros exigem políticas de cibersegurança em que a ISO 27001 é o framework de controles reconhecido.

2

Fortalece sua posição em licitações públicas

A certificação ISO 27001 comprovadamente aumenta as chances de vencer contratos governamentais (licitações) e aprovações como fornecedor corporativo.

3

Reduz a carga de questionários de segurança de fornecedores em serviços financeiros, tecnologia e telecomunicações

Os três setores que impulsionam o crescimento da certificação ISO 27001 no Brasil.

4

Reconhecida mundialmente em mais de 150 países

Apoia contratos transfronteiriços, relações de exportação e exigências de clientes internacionais.

5

Alinhada ao Código de Defesa do Consumidor

Organizações que implementam padrões de segurança reconhecidos internacionalmente (ABNT NBR ISO/IEC 27001) demonstram diligência e limitam sua responsabilidade.

Como o Audit41 ajuda

Da avaliação de gaps a evidências prontas para certificação.

Avaliação de gaps

Conheça seus gaps do Anexo A antes do seu auditor

O Audit41 Readiness mapeia seus controles atuais em relação a todos os 93 controles do Anexo A da ISO 27001. Cada gap é identificado, classificado por severidade e vinculado à referência de controle específica.

Roteiro de remediação

Um plano de ação priorizado, não um checklist

Os gaps são classificados por exposição ao risco e esforço para resolver. Seu roteiro de remediação indica o que corrigir primeiro, para que você esteja pronto para a certificação antes da auditoria de Estágio 2, e não correndo na semana anterior.

Estrutura de evidências

Resultados formatados para seu organismo de certificação

Os relatórios de constatações e resumos executivos são estruturados da forma que os organismos de certificação credenciados esperam ver. Apresente ao seu auditor uma base de evidências defensável e rastreável desde o primeiro dia.

Dica de eficiência

Também se preparando para o NIST SP 800-53? Avalie os dois frameworks em uma só plataforma.

Os controles da ISO 27001 e do NIST SP 800-53 mapeiam diretamente entre si. Se sua organização precisa de ambos, avaliá-los juntos é significativamente mais eficiente do que conduzir dois programas separados. Controles de gestão de acesso, resposta a incidentes, segurança da cadeia de suprimentos, continuidade de negócios e criptografia mapeiam diretamente entre os frameworks.

O plano Programme do Audit41 Readiness (até 3 projetos) permite executar avaliações de ISO 27001 e NIST SP 800-53 em uma única assinatura, para que você atenda aos dois frameworks sem gerenciar dois contratos separados.

Conhecer o NIST SP 800-53 →Ver plano Programme →

Comece sua avaliação de gaps da ISO 27001.

Conte-nos sobre sua organização e enviaremos tudo o que você precisa para começar, incluindo uma recomendação de plano personalizada.

Não sabe por onde começar? Faça primeiro a autoavaliação gratuita. Iniciar autoavaliação gratuita →