19 de janeiro de 2026
Como implementar ISO 27001 passo a passo
Implementar a ISO 27001 não é seguir um checklist — é construir um sistema de gestão que funcione na operação real da empresa. Abaixo está o roteiro que seguimos em projetos de certificação.
1. Gap analysis
Compare o que a empresa já faz hoje contra os 93 controles do Anexo A da norma (versão 2022). O resultado é um plano de trabalho com prioridades claras, não uma lista genérica.
2. Definição de escopo
Defina o que entra no Sistema de Gestão de Segurança da Informação (SGSI): quais processos, sistemas, localidades e equipes estão dentro do escopo da certificação. Escopo mal definido é uma das causas mais comuns de retrabalho no projeto.
3. Gestão de riscos
Faça o inventário de ativos de informação, identifique ameaças e vulnerabilidades, e documente o tratamento de risco aprovado pela alta direção. Esse processo justifica, em auditoria, por que cada controle foi ou não implementado.
4. Implementação dos controles
Com os riscos mapeados, implemente políticas, controle de acesso, gestão de fornecedores, resposta a incidentes, continuidade de negócio e demais controles relevantes do Anexo A — cada um com a evidência que a auditoria vai exigir.
5. Auditoria interna e análise crítica
Antes da auditoria externa, conduza uma auditoria interna e uma análise crítica pela direção. São os dois requisitos formais que comprovam que o SGSI está em operação real.
6. Auditoria de certificação
A auditoria externa acontece em duas fases com o organismo certificador acreditado escolhido: revisão documental e depois auditoria de campo. Não conformidades levantadas precisam de plano de ação antes da emissão do certificado.
7. Manutenção contínua
A certificação não termina no certificado: exige auditorias de manutenção anuais e recertificação completa a cada três anos.
Quer um diagnóstico do ponto de partida da sua empresa? Veja Certificação ISO 27001.
