Glossário — Checklist ISO 27001
Termos essenciais de gestão de segurança da informação e ISO 27001.
ISO/IEC 27001
Norma internacional para sistema de gestão de segurança da informação (ISMS). Versão atual: 2022 (revisada). Certificação reconhecida globalmente.
ISMS
Information Security Management System — conjunto estruturado de políticas, processos e controles que gerencia segurança da informação na organização.
SoA (Statement of Applicability)
Declaração de Aplicabilidade — documento que lista todos os controles do Anexo A da norma e marca cada um como aplicável ou não, com justificativa.
BIA (Business Impact Analysis)
Análise de impacto ao negócio — identifica processos críticos, dependências e impacto financeiro/operacional de indisponibilidade. Base do plano de continuidade.
RTO (Recovery Time Objective)
Tempo máximo aceitável para restaurar um sistema após incidente. Definido pela BIA. Determina arquitetura e investimento em continuidade.
RPO (Recovery Point Objective)
Perda máxima de dados aceitável em incidente, expressa em tempo. Determina frequência de backup e replicação.
MFA (Multi-Factor Authentication)
Autenticação que combina dois ou mais fatores: algo que você sabe (senha), tem (token) ou é (biometria). Controle obrigatório em sistemas críticos.
IAM (Identity and Access Management)
Sistema centralizado de gestão de identidades e acessos. Provisiona, revoga e audita acessos com base em políticas e papéis.
PAM (Privileged Access Management)
Gestão de acessos privilegiados — controla, monitora e audita uso de contas administrativas. Reduz risco de uso indevido de superusuário.
SIEM
Security Information and Event Management — plataforma que coleta, correlaciona e analisa logs de segurança para detectar ameaças e incidentes.
Risco residual
Risco que permanece após aplicação de controles. Precisa ser formalmente aceito pela liderança quando excede o apetite de risco.
PDCA
Plan-Do-Check-Act — ciclo de melhoria contínua adotado pela ISO 27001. Estrutura toda a operação do ISMS.