BLOG

Passo a passo para a implementação e certificação da ISO 27001 – Roteiro prático

Passo a passo para a implementação e certificação da ISO 27001 – Roteiro prático
Redação CECyber 5 de junho de 2026 
Por Almir Meira AlvesDiretor Acadêmico da CECyber | 
Engenheiro Eletrônico | Especialista em Cibersegurança

1. Patrocínio da direção

  • Objetivo: obter mandato, recursos e metas.
  • Atividades: aprovar business case, nomear Sponsor e ISMS Manager, definir comitê.
  • Entregáveis: termo de compromisso da direção, charter do SGSI.
  • Evidências para auditoria: atas, nomeações, orçamento aprovado.
2. Contexto e escopo do SGSI
  • Atividades: entender partes interessadas, requisitos legais e contratuais, fronteiras do SGSI.
  • Entregáveis: registro de partes interessadas, requisitos aplicáveis, declaração de escopo.
  • Dica 2022: atualizar registro para mostrar como cada requisito de parte interessada será atendido pelo SGSI.

3. Inventário de ativos

  • Atividades: identificar ativos de informação, donos, classificação, dependências.
  • Entregáveis: inventário e critérios de classificação.
  • Evidências: planilha ou CMDB com ativos, donos e criticidade.

4. Avaliação de riscos

  • Atividades: metodologia, identificação de ameaças e vulnerabilidades, análise de probabilidade e impacto.
  • Entregáveis: relatório de avaliação de riscos, matriz de risco.
  • Evidências: registros de workshops, planilhas, ferramenta usada.

5. Tratamento de riscos

  • Atividades: decidir tratar, aceitar, transferir ou evitar; mapear controles do Anexo A.
  • Entregáveis: Plano de Tratamento de Riscos, responsáveis e prazos.
  • Evidências: plano assinado, status por risco.

6. Declaração de Aplicabilidade

  • Atividades: selecionar 93 controles da versão 2022, justificar inclusões e exclusões.
  • Entregáveis: SoA atualizada e rastreável ao risco.
  • Nota 2022: 93 controles, 4 domínios, 11 controles novos como Threat Intelligence, Cloud, Deleção de Informação, Monitoramento Físico, Configuração, Monitoramento, Data Masking, DLP, ICT Readiness, Secure Coding, Web Filtering.

7. Programa de implementação do SGSI

  • Atividades: planejar projetos por trilhas organizacional, pessoas, físico, tecnologia.
  • Entregáveis: roadmap com ondas, RACI, KPI e orçamento.
  • Evidências: plano mestre, cronograma e backlog de controles.

8. Políticas, normas e procedimentos

  • Atividades: redigir manual do SGSI, políticas de segurança, processos operacionais.
  • Entregáveis: Manual do SGSI, políticas aprovadas, registros de comunicação.
  • Dica para a versão de 2022: incluir planejamento de mudanças do SGSI e plano de comunicação focando como comunicar.

9. Controles técnicos prioritários

  • Exemplos práticos: RBAC e MFA, PAM, criptografia em repouso e trânsito, firewall e IDS ou IPS, EDR, SIEM e logging, backup e DR.
  • Evidências: configs exportadas, capturas do SIEM, relatórios de backup e testes de restore.

10. Controles novos da 2022 em operação

  • O que colocar de pé rapidamente:
    • Threat Intelligence integrado a risco e detecção.
    • Política de uso de serviços em nuvem com papéis e saída.
    • Gestão de configuração com templates e revisão periódica.
    • Deleção segura, Data Masking e DLP.
    • Monitoramento de serviços e Web Filtering.
    • ICT Readiness para continuidade com RTO e RPO definidos.
    • Secure Coding em SDLC com teste e correção.
  • Entregáveis: políticas específicas e evidências operacionais.
  • Evidências: playbooks, registros, telas de ferramentas, contratos com cláusulas de nuvem.

11. Cultura e treinamento

  • Atividades: trilhas por público, simulações de phishing, reforços mensais.
  • Entregáveis: plano anual de awareness e registros.
  • Evidências: listas de presença, resultados de simulações.

12. Operação, monitoramento e métricas

  • Atividades: monitorar eficácia de controles, incidentes, execução do tratamento de risco.
  • Métricas úteis: tempo de resposta a incidentes, cobertura de logs, taxa de remediação de vulnerabilidades, adesão a políticas.
  • Evidências: dashboards, relatórios do SIEM, atas de análise de desempenho.

13. Auditoria interna e revisão pela direção

  • Atividades: programa de auditoria, execução, registros de não conformidades, reunião de gestão.
  • Entregáveis: relatórios de auditoria, atas de management review com entradas exigidas.
  • Dica 2022: requisitos de auditoria separam programa e execução, e a revisão da direção ganhou subitens e atualização de partes interessadas.

14. Ações corretivas

  • Atividades: tratar NCs, comprovar causa raiz e eficácia.
  • Entregáveis: plano de ação, registro de evidências antes e depois.
  • Classificação de achados: maior, menor e OFI, com prazos e impactos diferentes. Use isso também na interna.

15. Pré-certificação com organismo acreditado

  • Escolha do certificador: reputação e acreditação, experiência no seu setor, custo e flexibilidade.
  • Entrega de evidências para Estágio 1: políticas, avaliação e tratamento de riscos, procedimentos, registros de incidentes e logs.
  • Saída: lista de pendências para ajuste antes do Estágio 2.

16. Auditoria de certificação

Estágio 1, revisão documental.

  • Estágio 2, verificação in loco da eficácia e entrevistas.
  • Resultado: recomendação com eventuais NCs menores para fechar e emissão do certificado.

17. Manutenção e recertificação

  • Pós-certificação: auditorias de vigilância anuais, recertificação no ciclo de 3 anos, tratamento de mudanças organizacionais e tecnológicas.
  • Evidências: execução contínua do SGSI, melhoria contínua registrada.

Entregáveis mínimos por fase e critério de pronto

  • Fase inicial, 1 a 2 meses
    • Charter, escopo, inventário, matriz de risco e SoA rascunho. Pronto quando risco e SoA estão rastreados.
  • Implementação, 3 a 4 meses
    • Políticas aprovadas, procedimentos, controles chave operando, treinamentos aplicados. Pronto quando há evidência operacional e logs.
  • Auditoria interna e management review, mês 5
    • Relatório de auditoria, atas, ações corretivas iniciadas. Pronto quando NCs críticas estão endereçadas.
  • Estágio 1, mês 6
    • Dossiê documental entregue e revisado. Pronto quando pendências estão sanadas.
  • Estágio 2, mês 8
    • Evidência da eficácia em produção. Pronto quando auditor recomenda certificação.

Papéis e RACI de referência

  • Sponsor executivo, ISMS Manager, Risk Manager, Compliance Lead, IT Security Manager, Internal Auditor, Incident Response Coordinator. Esses papéis suportam implementação, operação e auditoria.

Checklist rápido de prontidão para auditoria

  • Programa de segurança, escopo e objetivos claros, risco atualizado, IRP e BCP testados.
  • Acesso, MFA, revisões periódicas e senhas fortes.
  • Proteção de dados, classificação, criptografia, retenção e deleção.
  • Terceiros, avaliação de fornecedores e cláusulas contratuais.
  • Monitoramento e logs centralizados, IDS ou IPS, SIEM.
  • Conformidade e auditoria, programa interno e tratamento de achados.
  • Treinamento e simulações recorrentes.

Pontos de atenção da versão 2022 que caem na auditoria

  • SoA com 93 controles e justificativas.
  • Novos controles implementados de forma prática, com políticas e evidências.
  • Comunicação focada em como comunicar, não mais quem comunica.
  • Planejamento de mudanças do SGSI documentado.
  • Entradas da revisão da direção incluem mudanças nas partes interessadas.

Como lidar com achados

  • Maior, falha crítica no requisito. Ação imediata e pode travar certificação.
  • Menor, lacuna pontual. Corrigir em 1 a 3 meses.
  • OFI, sugestão de melhoria para fortalecer o SGSI. Registre e priorize.

Linha do tempo e custos, referência prática

  • Linha do tempo típica de 9 meses da preparação à decisão final, com Estágio 1 por volta do mês 6 e Estágio 2 no mês 8.
  • Custos variam entre implementação, ferramentas, treinamentos e auditoria. Use essa referência para orçar e negociar.
Rolar para cima