Como implementar ISO 27001 — as 6 etapas

Antes de qualquer implementacao, mapear o estado atual contra os 114 controles do Anexo A. O gap analysis define o escopo do SGSI — quais ativos, processos e locais entram no escopo da certificacao.

Entregas

A ISO 27001 exige uma metodologia formal de analise de risco (cl. 6.1.2). Identificar ativos, ameacas, vulnerabilidades, probabilidade e impacto para cada combinacao. O resultado e o Plano de Tratamento de Riscos (PTR).

Armadilha comum

Muitas empresas fazem a analise de risco superficialmente para "cumprir tabela". Certificadoras rejeitam PTRs que nao demonstram rastreabilidade entre riscos e controles implementados.

Implementar os controles mapeados no PTR com evidencias documentadas. A norma exige documentos mandatorios (politica de SI, procedimentos, registros de treinamento, logs de auditoria).

Documentos mandatorios ISO 27001

Antes da auditoria de certificacao, realizar auditoria interna (cl. 9.2) conduzida por alguem independente da area auditada. O relatorio de nao-conformidades deve gerar planos de acao formais com prazo e responsavel.

Dica

Contratar auditor externo para a auditoria interna — mais independente e o relatorio tem mais credibilidade com a certificadora. Custo tipico: R$ 15.000–35.000.

A alta direcao deve revisar formalmente o SGSI (cl. 9.3) com pauta documentada: resultados de auditorias, status de nao-conformidades, feedback de partes interessadas, desempenho de objetivos. O output e uma ata com decisoes e acoes de melhoria.

Certificadoras acreditadas (BVQI, Bureau Veritas, SGS, DNV) conduzem a auditoria em dois estagios: Estagio 1 (revisao documental, presencial ou remoto) e Estagio 2 (auditoria de conformidade operacional). Nao-conformidades maiores impedem a certificacao.