ISO 27001: O que é, quais são os requisitos para a certificação e se a sua organização precisa dela

A ISO 27001 é a norma internacional para sistemas de gestão da segurança da informação. É a certificação de segurança mais amplamente reconhecida em todo o mundo, aceita por clientes corporativos, órgãos reguladores e seguradoras como prova de uma abordagem sistemática e auditada para a gestão de riscos à segurança da informação.

De acordo com o Relatório Kaseya sobre a Situação dos MSPs em 2026, a conformidade regulatória e a prestação de contas figuram entre as dez principais necessidades de serviços dos clientes de MSPs em 2026, e a ISO 27001 é a certificação mais frequentemente exigida pelas equipes de compras das empresas. Baixe o relatório completo.

Para equipes de TI e MSPs, a ISO 27001 é importante em dois aspectos: como uma norma de segurança interna que vale a pena adotar e como um requisito que os clientes corporativos impõem cada vez mais aos seus prestadores de serviços. Compreender o que a norma exige e determinar se a certificação formal é realmente necessária ou se o alinhamento com a norma, mesmo sem ela, oferece valor equivalente, é o ponto de partida para qualquer boa decisão. As ferramentas de conformidade da Kaseya oferecem suporte à avaliação de lacunas e à coleta de evidências relacionadas à ISO 27001 para organizações em todas as etapas desse processo de decisão.

O que é a ISO 27001?

A ISO/IEC 27001 é uma norma internacional publicada conjuntamente pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC). Ela especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação (SGSI), uma estrutura organizada para identificar e gerenciar os riscos à segurança da informação em toda a organização.

A ISO 27001 não é uma lista de verificação de controles de segurança específicos. Trata-se de uma norma de sistema de gestão. A norma exige que uma organização possua um processo documentado de gestão de riscos, implemente controles adequados aos riscos identificados, avalie o desempenho do seu SGSI e o aprimore continuamente. A certificação é emitida por um organismo de certificação independente credenciado, após uma auditoria formal.

A ISO 27001:2022 é a versão atual, publicada em outubro de 2022. O prazo de outubro de 2025 para que as organizações fizessem a transição da ISO 27001:2013 já expirou. Qualquer certificado ISO 27001 válido deve fazer referência à versão de 2022. As equipes de compras das empresas devem tratar com cautela as organizações que ainda citam a norma de 2013, pois essas certificações não são mais consideradas válidas.

A adoção da norma tem crescido acentuadamente. De acordo com a Pesquisa ISO 2024, o número de certificados ISO 27001 válidos em todo o mundo atingiu quase 97.000, um aumento substancial em relação aos anos anteriores, à medida que organizações dos setores de serviços financeiros, tecnologia e saúde passam a considerar cada vez mais a certificação como uma expectativa básica de segurança.

ISO 27001 vs ISO 27002

Essas duas normas funcionam em conjunto e são frequentemente confundidas.

A ISO 27001 especifica os requisitos de um SGSI e o que o sistema de gestão deve incluir para se qualificar para a certificação. É a norma segundo a qual as organizações são certificadas.

A ISO 27002 fornece orientações sobre como implementar os controles de segurança da informação listados no Anexo A da ISO 27001. Trata-se de um documento de referência, e não de uma norma certificável. As organizações são certificadas segundo a ISO 27001, utilizando a ISO 27002 como orientação para a implementação.

Pense na ISO 27001 como a especificação (o que é necessário ter) e na ISO 27002 como o guia de implementação (como fazer isso). Para ser aprovado em uma auditoria da ISO 27001, não é necessário implementar diretamente a ISO 27002, mas as orientações são úteis na prática para qualquer organização que esteja implementando controles pela primeira vez.

O que a certificação ISO 27001 exige

Os requisitos de certificação estão organizados nas cláusulas 4 a 10. Cada uma delas deve ser atendida para a obtenção da certificação.

Cláusula 4, Contexto da organização: Definir o escopo do SGSI. Identificar os fatores internos e externos que o afetam, as partes interessadas com requisitos relacionados à segurança da informação e quais ativos de informação estão incluídos no escopo.

Cláusula 5, Liderança: A alta administração deve demonstrar um compromisso ativo com o SGSI. Isso significa adotar uma política de segurança da informação documentada, atribuir funções e responsabilidades e garantir que o programa disponha de recursos adequados.

Cláusula 6, Planejamento: Realizar uma avaliação formal dos riscos à segurança da informação. Identificar os riscos aos ativos de informação, avaliar sua probabilidade e impacto potencial e elaborar um plano de tratamento de riscos que documente como cada risco será tratado, seja ele aceito, mitigado, transferido ou evitado.

Cláusula 7, Apoio: Confirmar se o SGSI dispõe dos recursos necessários, se o pessoal possui as competências adequadas, se a conscientização sobre as responsabilidades de segurança é mantida de forma ativa e se a documentação é controlada adequadamente.

Cláusula 8, Operação: Implementar o plano de tratamento de riscos. É nesta fase que os controles do Anexo A são aplicados e que as atividades de segurança operacional descritas no plano são efetivamente executadas.

Cláusula 9, Avaliação do desempenho: Monitorar e medir o desempenho do SGSI em relação aos objetivos definidos. Realizar auditorias internas. A direção deve revisar o SGSI em intervalos programados.

Cláusula 10, Melhoria: Resolver quaisquer não conformidades que possam surgir, tomar medidas corretivas e melhorar continuamente o SGSI ao longo do tempo.

A auditoria de certificação em si tem duas etapas. A Etapa 1 consiste na análise da documentação: o SGSI existe e está adequadamente projetado? A Etapa 2 avalia a implementação: o SGSI está realmente funcionando conforme projetado? Após a certificação inicial, são realizadas auditorias de vigilância anualmente, com uma auditoria completa de recertificação ao completar três anos.

Para organizações que partem de um nível inicial baixo, o processo completo, desde a avaliação das lacunas até a certificação do SGSI, geralmente leva de seis a dezoito meses e exige um investimento significativo em serviços profissionais, tempo de recursos internos e ferramentas.

Anexo A: as 93 medidas de segurança

O Anexo A da ISO 27001:2022 contém 93 controles organizados em quatro temas.

Controles organizacionais (37): políticas, funções e responsabilidades, inteligência contra ameaças, segurança da informação na gestão de projetos, relações com fornecedores, procedimentos de gestão de incidentes e planejamento de continuidade de negócios.

Controles relacionados ao pessoal (8): triagem pré-contratação, cláusulas contratuais relacionadas à segurança da informação, educação e conscientização em segurança, processos disciplinares e políticas de trabalho remoto.

Controles físicos (14): Perímetros de segurança física, segurança de equipamentos, políticas de mesa e tela limpas e descarte seguro de equipamentos.

Controles tecnológicos (34): Controle de acesso, mecanismos de autenticação, gerenciamento de chaves criptográficas, práticas de desenvolvimento seguro, gerenciamento de vulnerabilidades, monitoramento da segurança de rede, backup e recuperação, registro de eventos e criptografia.

Nem todos os 93 controles são obrigatórios para todas as organizações. A Declaração de Aplicabilidade (SoA) é um documento obrigatório no qual a organização registra quais controles se aplicam ao seu escopo e perfil de risco, além de justificar quaisquer exclusões. Os controles são excluídos quando realmente não se aplicam às operações da organização, e não com o objetivo de reduzir o esforço de conformidade. Um auditor analisará minuciosamente as exclusões.

Certificação x alinhamento: quando vale a pena obter uma certificação formal?

A certificação ISO 27001 representa um investimento significativo. O processo completo, que abrange a análise de lacunas, o desenvolvimento do SGSI, a auditoria interna, as auditorias de certificação das fases 1 e 2 e a vigilância contínua, normalmente exige de seis a dezoito meses de trabalho e um orçamento concreto.

Vale claramente a pena buscar uma certificação formal quando:

• Os clientes corporativos exigem isso. Grandes organizações nos setores de serviços financeiros, saúde e governo estão, cada vez mais, tornando a certificação ISO 27001 um critério de qualificação para fornecedores. Se clientes importantes ou potenciais clientes-alvo exigem isso, a justificativa comercial é clara. Perder um contrato ou ser excluído de um processo de licitação antes mesmo de iniciar uma conversa é um risco real para fornecedores não certificados.
• O alinhamento regulatório exige isso. Certas regulamentações setoriais específicas na UE e no Reino Unido referem-se à ISO 27001 como um mecanismo de conformidade aceitável. Para as organizações sujeitas a esses regimes, a certificação pode ser o caminho mais claro para demonstrar conformidade.
• A diferenciação no mercado justifica isso. Em mercados competitivos, onde os clientes corporativos avaliam vários fornecedores, a certificação ISO 27001 demonstra um nível de maturidade em segurança que falta a muitos concorrentes.

O alinhamento sem certificação formal pode ser suficiente quando:

• O principal motivador é a melhoria da segurança interna. A implementação da estrutura do SGSI, a realização de uma avaliação de riscos e a adoção de controles adequados proporcionam a maior parte dos benefícios de segurança sem a necessidade de uma auditoria de certificação.
• A organização está se preparando para a certificação, mas ainda não está pronta. Implementar o SGSI de forma gradual, com vistas a uma auditoria de certificação, é uma estratégia válida, especialmente para organizações menores ou aquelas com recursos internos limitados para a conformidade.

Um exemplo prático: um MSP que gerencia 200 terminais de clientes e está concorrendo a um contrato de serviços financeiros no segmento de médio porte quase certamente encontrará a certificação ISO 27001 na lista de verificação de qualificação de fornecedores. O mesmo MSP que atende clientes de pequenas e médias empresas (PMEs) com suporte geral de TI pode descobrir que demonstrar conformidade, por meio de políticas documentadas e uma avaliação de riscos concluída, satisfaz o que os clientes realmente exigem.

ISO 27001 para MSPs

A norma ISO 27001 é particularmente relevante para os MSPs, por duas razões distintas.

Os MSPs como um risco na cadeia de suprimentos. Os clientes corporativos aprenderam, a partir de incidentes de grande repercussão na cadeia de suprimentos, que os MSPs representam uma superfície de ataque significativa para seus ambientes. A certificação ISO 27001 é a prova reconhecida de que um MSP possui um programa de segurança sistemático e auditado. Os MSPs que buscam contratos corporativos, ou que desejam manter os clientes corporativos existentes à medida que os processos de aquisição amadurecem, considerarão cada vez mais a certificação como um requisito de fato.

A pesquisa “State of Information Security” de 2025, realizada pela ISMS.online, revelou que a maioria das organizações sofreu pelo menos um incidente de segurança relacionado a terceiros ou fornecedores no ano anterior. As equipes de compras perceberam isso. Os MSPs sem programas de segurança estruturados estão sendo excluídos das negociações antes mesmo que a equipe de vendas entre em cena.

MSPs que prestam serviços de conformidade aos clientes. Os MSPs que auxiliam os clientes a alcançar a conformidade ou a certificação ISO 27001 precisam compreender a norma suficientemente bem para realizar avaliações de lacunas, orientar a implementação de controles e preparar os clientes para as auditorias. Trata-se de uma categoria de serviços em expansão. As empresas de médio porte são um dos segmentos que mais crescem na busca pela certificação ISO 27001, e muitas delas não dispõem da expertise interna necessária para realizar esse processo por conta própria.

Compliance Manager GRC à avaliação da ISO 27001/2 por meio de sua biblioteca de modelos, permitindo que os MSPs gerenciem as avaliações de lacunas da ISO 27001 dos clientes, o mapeamento de controles e a coleta de evidências a partir de uma plataforma centralizada. Um MSP que esteja conduzindo simultaneamente a preparação para a ISO 27001 de vários clientes se beneficia significativamente de uma ferramenta estruturada, em vez de planilhas criadas ad hoc e unidades compartilhadas.

Como a ISO 27001 se relaciona com outras estruturas

Uma das vantagens práticas da ISO 27001 é sua compatibilidade com outras estruturas importantes. O esforço de implementação se multiplica: uma organização que desenvolva um SGSI sólido para a ISO 27001 terá, ao mesmo tempo, cumprido grande parte de várias outras obrigações de conformidade.

NIST CSF. Forte alinhamento. Ambas são abordagens baseadas em riscos, focadas na gestão sistemática da segurança da informação. Uma organização certificada pela ISO 27001 verificará que a maioria dos requisitos do NIST CSF já está atendida pelo seu SGSI. O quadro do NIST não certifica, mas é amplamente utilizado como referência, especialmente por organizações com contratos ou clientes do governo dos EUA.

SOC 2. Sobreposição significativa nas áreas de controle, especialmente no que diz respeito ao controle de acesso, registro de atividades, gerenciamento de mudanças e disponibilidade. A metodologia de auditoria e o formato do relatório diferem significativamente, mas a certificação ISO 27001 acelera de forma significativa a preparação para o SOC 2. É comum que as organizações busquem obter ambas as certificações.

RGPD. A norma ISO 27001 aborda muitos dos requisitos técnicos e organizacionais de segurança do RGPD. Um SGSI (Sistema de Gestão de Segurança da Informação) em conformidade com a ISO 27001 fornece evidências sólidas para o cumprimento da obrigação prevista no Artigo 32 de implementar medidas de segurança adequadas. Os requisitos específicos do RGPD em matéria de privacidade vão além, abrangendo os direitos dos titulares de dados, a base legal e as avaliações de impacto sobre a proteção de dados, mas o SGSI fornece a base de segurança.

Controles CIS. Os controles do Anexo A da ISO 27001 correspondem amplamente aos Controles CIS. As organizações que implementaram os Controles CIS IG2 ou IG3 já terão atendido a uma parte significativa dos requisitos do Anexo A e, por isso, deverão considerar a auditoria de certificação mais fácil de gerenciar.

NIS 2. As medidas de segurança previstas no Artigo 21 da NIS 2 estão em estreita consonância com a abordagem do SGSI (Sistema de Gestão de Segurança da Informação) da ISO 27001. A certificação ISO 27001 não é equivalente à conformidade com a NIS 2, mas oferece uma base confiável e atende a grande parte dos requisitos exigidos pelos órgãos reguladores em termos de gestão de segurança documentada e sistemática.

Para uma comparação mais abrangente entre a ISO 27001 e as normas SOC 2, NIST e PCI DSS, consulte Principais normas de conformidade e as diferenças entre elas.

Descubra como Compliance Manager GRC na avaliação e na gestão da conformidade com a norma ISO 27001.