Ir para o conteúdo
ISO 27001

ISO 27001: o que é, para que serve e qual a sua importância

·
14 minutos de leitura
RH de um lado, IT do outro?
Gira dispositivos, licenças e segurança a partir de um único lugar. Sincronizado com as entradas e saídas da tua equipa. Descubra o Factorial IT
Escrito por

A segurança da informação deixou de ser um assunto exclusivo da equipa de IT. Os ataques de ransomware, as fugas de dados e os incidentes na cadeia de fornecimento afetam empresas de todas as dimensões, e o custo médio de cada incidente continua a crescer ano após ano. Em paralelo, o quadro regulamentar tornou-se mais exigente. Com a entrada em vigor do Decreto-Lei n.º 65/2025, que transpõe a diretiva NIS2, o reforço das competências do CNCS (Centro Nacional de Cibersegurança) e a pressão crescente de clientes e parceiros para trabalhar apenas com fornecedores certificados, são cada vez mais as empresas portuguesas que ponderam obter a certificação ISO 27001.

Neste artigo explicamos-te o que é exatamente esta norma, para que serve, como se estrutura e por que motivo se tornou o padrão de referência para gerir a segurança da informação em qualquer organização, independentemente da sua dimensão ou setor.

O que é a norma ISO 27001?

A ISO 27001, formalmente ISO/IEC 27001, é a norma internacional que estabelece os requisitos para implementar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) dentro de uma empresa. Por outras palavras, define como organizar tudo o que a tua empresa faz para proteger a sua informação: desde quem pode aceder a que documentos, até à forma como se gerem as palavras-passe ou ao que acontece se um colaborador perder o portátil da empresa. O duplo apelido deve-se ao facto de ser desenvolvida em conjunto pela Organização Internacional de Normalização (ISO) e pela Comissão Eletrotécnica Internacional (IEC).

Na prática, o objetivo é proteger os três pilares da informação face a ameaças internas e externas:

  • Confidencialidade: só acedem a cada dado as pessoas autorizadas.
  • Integridade: a informação não é alterada nem eliminada sem autorização.
  • Disponibilidade: está acessível sempre que for necessária.

Para o conseguir, a norma não se limita a recomendar medidas técnicas como antivírus ou cópias de segurança. Propõe um quadro de gestão completo que abrange políticas, processos, pessoas e tecnologia, de forma a que a segurança deixe de depender do esforço pontual de uma pessoa e passe a estar integrada no dia a dia da empresa.

Embora seja voluntária, em setores como o tecnológico, o financeiro ou o da saúde — e sobretudo quando se trabalha com a Administração Pública —, ter a certificação tornou-se um requisito praticamente incontornável.

Origem e evolução da ISO 27001

A ISO 27001 não surgiu do nada. As suas raízes estão na BS 7799, uma norma britânica publicada pelo BSI em 1995 que reunia boas práticas em matéria de segurança da informação. Em 2005, a ISO adotou essa base e publicou a primeira versão oficial da norma. Desde então, passou por duas atualizações importantes:

  • ISO 27001:2005: primeira versão internacional.
  • ISO 27001:2013: reorganização completa da estrutura e dos controlos.
  • ISO 27001:2022: versão atualmente em vigor, adaptada aos novos riscos digitais como a cloud, o teletrabalho, a cadeia de fornecimento ou a inteligência artificial.

Cada revisão reflete a forma como o panorama da cibersegurança evoluiu. A versão 2022 introduz, por exemplo, controlos específicos para ambientes cloud, monitorização contínua e gestão de ameaças na cadeia de fornecimento — cenários que em 2013 ainda eram emergentes.

Principais diferenças entre a 27001:2013 e a 27001:2022

A versão 2022 mantém a estrutura geral da norma, mas altera profundamente o Anexo A, que é a lista oficial de medidas de segurança concretas que a norma propõe para proteger a informação. Cada uma destas medidas chama-se «controlo» (por exemplo, exigir palavras-passe robustas ou encriptar os discos rígidos dos portáteis). Estas são as mudanças mais relevantes:

  • O número total de controlos diminui: passam de 114 para 93, embora o nível de exigência não baixe. Muitos foram fundidos ou reescritos e foram acrescentados 11 novos para cobrir ameaças que antes não existiam.
  • A forma de os agrupar muda: os 14 grupos temáticos anteriores (designados «domínios») são reorganizados em 4 categorias mais claras: controlos organizacionais (políticas, procedimentos, papéis), de pessoas (formação, responsabilidades, gestão de colaboradores), físicos (acesso a escritórios, proteção de equipamentos) e tecnológicos (encriptação, cópias de segurança, gestão de acessos).
  • Surgem controlos modernos: a threat intelligence (recolher e analisar informação sobre ataques em curso), a segurança na cloud, a prevenção de fugas de dados ou o desenvolvimento seguro de software estão entre os mais relevantes.
  • Cada controlo é etiquetado com atributos: é um sistema novo que permite filtrar os controlos consoante o tipo de medida (preventivos, de deteção ou corretivos), a área a que se aplicam ou a propriedade que protegem (confidencialidade, integridade ou disponibilidade). Na prática, facilita perceber que controlos aplicar em cada situação.

O período de transição a partir da versão 2013 terminou a 31 de outubro de 2025. Desde essa data, os certificados emitidos ao abrigo da versão anterior deixaram de ser válidos e todas as empresas certificadas têm de estar alinhadas com a 27001:2022.

Para que serve a ISO 27001?

As empresas que se certificam fazem-no por uma mistura de pressão externa e oportunidade interna. Estas são as razões mais frequentes:

  • Acesso a clientes e concursos: cada vez mais grandes empresas e organismos públicos pedem a ISO 27001 como requisito prévio para contratar, sobretudo nos setores financeiro, da saúde e tecnológico. Sem certificado, ficas de fora do processo comercial antes mesmo da primeira reunião.
  • Diferenciação face à concorrência: em categorias em que praticamente toda a gente diz que «leva a sério a segurança», o certificado transforma uma promessa num facto auditado por uma entidade externa.
  • Cumprimento de normativos que nela se apoiam: NIS2, RGPD e as orientações do CNCS partilham uma parte significativa dos requisitos da 27001. Ter a norma já implementada encurta o caminho para os restantes, em vez de duplicar trabalho.
  • Expansão para mercados internacionais: no Reino Unido, Alemanha, Países Baixos ou em contas corporativas norte-americanas, a certificação é dada como adquirida ao avaliar fornecedores. Não a ter fecha portas que nem sequer chegam a ser mencionadas na conversa.
  • Análise de risco efetiva: o processo obriga a inventariar ativos, avaliar ameaças e priorizar controlos. Muitas empresas descobrem vulnerabilidades importantes que nunca tinham quantificado, simplesmente porque até esse momento ninguém tinha a obrigação de as examinar.
  • Resposta a incidentes documentada: quando algo falha, os procedimentos estão escritos, os responsáveis atribuídos e os prazos definidos. Isso reduz o impacto económico e operacional de cada incidente e facilita ainda a negociação com seguradoras de risco cibernético, que premeiam as empresas certificadas com prémios e coberturas melhores.

A que empresas se aplica a ISO 27001?

A ISO 27001 é uma norma voluntária pensada como um padrão universal. Aplica-se a qualquer empresa que lide com informação sensível, independentemente da sua dimensão ou setor. Apesar de nenhuma lei obrigar à certificação, há contextos em que esta passou de boa prática a requisito de facto.

Qualquer dimensão e qualquer setor

A norma não impõe uma dimensão mínima de empresa nem exclui qualquer setor. Tanto uma startup de cinco pessoas como uma multinacional se podem certificar, porque cada organização define o âmbito do seu SGSI em função da sua dimensão, dos seus riscos e dos seus recursos. Uma PME não implementa os mesmos controlos nem com o mesmo nível de detalhe que uma empresa com milhares de colaboradores, mas ambas podem cumprir a norma.

É isto que explica que a certificação se tenha estendido a setores muito diversos. Qualquer empresa que dependa da sua informação — dados de clientes, propriedade intelectual, código-fonte, contratos, processos clínicos — tem motivos para a implementar. E uma vez que praticamente todas as empresas dependem hoje da informação digital, o alcance potencial é enorme.

Setores em que é praticamente obrigatória

Há setores em que operar sem a certificação é cada vez mais complicado:

  • Tecnológico: empresas de SaaS, hosting, cibersegurança, MSP ou desenvolvimento de software deparam-se com clientes que exigem ISO 27001 antes de assinar.
  • Financeiro e segurador: bancos, fintechs e seguradoras gerem dados críticos e operam sob a supervisão de entidades como o Banco de Portugal, a CMVM ou a ASF.
  • Saúde: hospitais, clínicas, laboratórios e plataformas de saúde digital trabalham com processos clínicos sujeitos ao RGPD e a normativos setoriais específicos.
  • Administração Pública e seus fornecedores: as orientações do CNCS exigem medidas equivalentes a muitas das que estão cobertas pela 27001, e a certificação é valorizada (ou diretamente exigida) em concursos públicos.
  • Infraestruturas críticas e telecomunicações: empresas de energia, transportes, água ou telecomunicações entram no âmbito da NIS2 e devem demonstrar um nível elevado de maturidade em segurança.

Para além destes setores, é também frequente que empresas que trabalham com grandes contas internacionais ponderem a certificação como requisito comercial. Qualquer negócio com clientes nos Estados Unidos, na Alemanha ou no Reino Unido recebe mais cedo ou mais tarde a pergunta: «São certificados em ISO 27001?».

Benefícios de implementar a ISO 27001

Implementar a ISO 27001 gera benefícios que vão muito para além de ter um certificado pendurado na parede. Alguns são imediatos, como o acesso a determinados processos comerciais. Outros sentem-se a médio prazo, sob a forma de menos incidentes, menos auditorias paralelas e uma organização mais madura na forma como gere a sua informação.

  • Reforça a confiança de clientes, parceiros e colaboradores: o certificado funciona como uma garantia objetiva da forma como a tua empresa gere a informação sensível, sem necessidade de explicar cada controlo ao detalhe.
  • Abre as portas a concursos públicos, grandes contas e mercados internacionais: cada vez mais empresas e organismos públicos exigem ISO 27001 como requisito de homologação, sobretudo em setores regulados e ao contratar com clientes nos Estados Unidos, Alemanha ou Reino Unido.
  • Reduz a probabilidade e o impacto dos incidentes de segurança: os controlos preventivos travam ataques que noutras circunstâncias se concretizariam, e os planos de resposta e continuidade encurtam o tempo de recuperação quando algo falha.
  • Acelera o cumprimento de NIS2, CNCS e RGPD: a 27001 cobre boa parte dos requisitos destes normativos, pelo que as equipas jurídica e de segurança reutilizam políticas, evidências e controlos em vez de os duplicar.
  • Cria uma cultura de segurança transversal à empresa: a formação obrigatória dos colaboradores e a atribuição clara de responsabilidades fazem com que a segurança deixe de ser «coisa da equipa de IT» e passe a estar presente no dia a dia de todos os departamentos.
  • Facilita a integração com outros sistemas de gestão: a 27001 partilha a mesma estrutura de outras normas ISO populares como a 9001 (qualidade) ou a 22301 (continuidade de negócio), o que ajuda a unificar políticas, auditorias e documentação se a empresa já tiver outras certificações.
  • Pode reduzir os prémios dos seguros de risco cibernético: são cada vez mais as seguradoras que valorizam a certificação no cálculo dos prémios ou das condições de cobertura, porque indica um nível elevado de maturidade na gestão de risco.

Estrutura da norma ISO 27001

A ISO 27001 organiza-se em torno de um corpo normativo de onze cláusulas (da 0 à 10) e de um Anexo A com 93 controlos de segurança concretos que a empresa pode aplicar. As quatro primeiras são introdutórias e a auditoria centra-se nas sete seguintes (da 4 à 10), onde se concentram os requisitos obrigatórios do SGSI:

  • 0: Introdução. Apresenta o objetivo da norma, a sua abordagem baseada no risco e a sua compatibilidade com outros sistemas de gestão.
  • 1: Objeto e âmbito de aplicação. Explica para que serve a norma e a que tipo de organizações se destina.
  • 2: Referências normativas. Lista os documentos a consultar em conjunto com a 27001, principalmente a ISO/IEC 27000.
  • 3: Termos e definições. Glossário oficial dos conceitos que constam da norma.
  • 4: Contexto da organização. Obriga a perceber o que faz a empresa, quem são as suas partes interessadas (clientes, colaboradores, fornecedores, reguladores) e que informação protege. É aqui que se define o âmbito do SGSI.
  • 5: Liderança. A gestão de topo deve comprometer-se com a segurança, atribuir papéis e aprovar a política de segurança. Sem esse compromisso, a 27001 não funciona.
  • 6: Planeamento. É onde se faz a análise de risco, se definem os objetivos de segurança e se planeiam as mudanças.
  • 7: Suporte. Cobre os recursos (pessoas, orçamento, infraestrutura), a formação, a comunicação e a documentação do SGSI.
  • 8: Operação. É o dia a dia. Aplicar os controlos definidos, gerir os riscos identificados e tratar os incidentes que vão surgindo.
  • 9: Avaliação do desempenho. Auditorias internas, indicadores e revisão pela gestão. Serve para confirmar que o SGSI funciona como devia.
  • 10: Melhoria. Tratar as não conformidades, aplicar ações corretivas e implementar melhorias contínuas.

As sete cláusulas obrigatórias seguem a lógica do ciclo PDCA (Planear, Executar, Verificar, Atuar), que é a base de todas as normas de gestão modernas e o que permite que o SGSI evolua com a empresa. Os 93 controlos do Anexo A, que vamos ver em detalhe na secção seguinte, são aqueles que a empresa escolhe aplicar em função dos riscos identificados durante a cláusula 6.

O Anexo A da ISO 27001

O Anexo A da ISO 27001 é a secção da norma que reúne a lista oficial de controlos de segurança que uma empresa pode aplicar para proteger a sua informação. Na versão 2022 são 93 controlos, agrupados em quatro grandes categorias consoante o tipo de medida que cobrem. Não é necessário implementá-los todos: cada empresa seleciona aqueles que correspondem aos riscos identificados durante o planeamento do SGSI e justifica as exclusões num documento chamado Declaração de Aplicabilidade (DA, ou SoA em inglês).

  • Controlos organizacionais (37 controlos): é o grupo mais alargado. Cobre tudo o que se relaciona com políticas, processos, papéis e relações com terceiros. Aqui entram a política geral de segurança, a classificação da informação, a gestão de fornecedores, a resposta a incidentes, a threat intelligence ou a continuidade de negócio.
  • Controlos de pessoas (8 controlos): ocupam-se do fator humano, ou seja, da forma como se seleciona, forma e gere o pessoal com acesso a informação sensível. Incluem as verificações prévias à contratação, as cláusulas de confidencialidade, a formação em segurança, as responsabilidades após o termo do contrato ou as medidas disciplinares em caso de incumprimento.
  • Controlos físicos (14 controlos): protegem os ativos tangíveis e o ambiente onde a informação é tratada. Cobrem o controlo de acessos a escritórios e centros de dados, as medidas contra furtos ou catástrofes naturais, a segurança da cablagem, a manutenção dos equipamentos ou a gestão de suportes amovíveis.
  • Controlos tecnológicos (34 controlos): são os controlos técnicos aplicados sobre os sistemas, as redes e os dispositivos. Aqui estão a gestão de acessos, a encriptação, a autenticação, as cópias de segurança, a prevenção de fugas de dados (DLP), a filtragem web, a monitorização da atividade ou o desenvolvimento seguro de software.

Como implementar a ISO 27001 passo a passo

Implementar um SGSI conforme à ISO 27001 leva entre seis meses e dois anos, consoante a dimensão da empresa, o âmbito definido e a maturidade prévia em segurança. Todo o processo pode ser dividido em seis passos.

1. Compromisso da gestão e definição do âmbito

Sem o apoio explícito da gestão, não há SGSI que se aguente. A gestão de topo tem de aprovar o projeto, atribuir orçamento e nomear um responsável interno (geralmente um CISO, um responsável de segurança ou um coordenador do SGSI).

Em paralelo, é preciso delimitar o âmbito. Ou seja, sobre que partes da empresa se vai aplicar a norma. Algumas opções habituais:

  • Toda a organização.
  • Uma unidade de negócio específica.
  • Um produto ou serviço (por exemplo, apenas a plataforma SaaS da empresa).
  • Uma sede ou filial específica.

Quanto mais amplo for o âmbito, mais exigente será a implementação e mais alto o custo da auditoria.

2. Inventariar e classificar os ativos de informação

Antes de proteger seja o que for, é preciso saber o que se está a proteger. Nesta fase elabora-se um inventário detalhado de todos os ativos de informação da empresa e atribui-se-lhes um nível de criticidade. Podem ser ativos:

  • Dados: bases de dados de clientes, propriedade intelectual, contratos, código-fonte.
  • Software: aplicações, sistemas operativos, ferramentas SaaS.
  • Hardware: servidores, portáteis, telemóveis, equipamentos de rede.
  • Serviços: cloud, hosting, conectividade.
  • Pessoas: colaboradores com acesso privilegiado, administradores de sistemas.

Cada ativo é normalmente classificado em três ou quatro níveis (público, interno, confidencial, restrito) consoante o impacto que teria a sua perda ou fuga.

3. Analisar e avaliar os riscos

É provavelmente o passo mais técnico. Para cada ativo identificado, é preciso estudar a que ameaças está exposto (um ataque, um erro humano, uma avaria), que vulnerabilidades podem ser exploradas e que impacto teria um incidente na empresa. A combinação de probabilidade e impacto dá o nível de risco.

A partir desse nível, a empresa decide como tratar cada risco. As opções são quatro: mitigá-lo aplicando controlos, transferi-lo (por exemplo, contratando um seguro de risco cibernético), aceitá-lo se estiver dentro do limite tolerável ou evitá-lo eliminando a atividade que o gera. Esta decisão fica documentada no plano de tratamento de riscos.

4. Selecionar e implementar os controlos

Com o plano de tratamento em cima da mesa, chega a altura de escolher os controlos do Anexo A a aplicar. Cada controlo selecionado tem de estar justificado e ligado a um ou mais riscos identificados no passo anterior. As exclusões também.

O resultado fica plasmado na Declaração de Aplicabilidade (DA), um documento que, para cada um dos 93 controlos, indica se se aplica, como foi implementado e, em caso de exclusão, porquê. É um dos documentos mais analisados na auditoria externa.

Uma vez aprovada a DA, a teoria passa à prática. Redigem-se as políticas de segurança, configuram-se os controlos técnicos (encriptação de discos, MFA, gestão de acessos, monitorização), assinam-se acordos de confidencialidade com colaboradores e fornecedores e arrancam-se os processos operacionais do SGSI.

5. Formar e sensibilizar os colaboradores

A maior parte das falhas de segurança começa num clique, daí que a formação não seja opcional, mas sim uma peça obrigatória do SGSI. Cada colaborador deve perceber que informação manuseia, como protegê-la e a quem avisar se detetar algo estranho. As sessões incluem habitualmente boas práticas de palavras-passe, identificação de phishing, utilização responsável de dispositivos corporativos e procedimento de resposta a incidentes.

6. Auditoria interna e certificação

Antes de se apresentar à certificação, a empresa tem de se auditar a si própria. A auditoria interna é realizada por pessoal qualificado (interno ou externo, mas independente do SGSI) e verifica se:

  • A documentação está completa e atualizada.
  • Os controlos funcionam tal como estão descritos.
  • As evidências são rastreáveis e verificáveis.
  • As não conformidades detetadas foram tratadas.

De seguida, a gestão de topo revê o estado geral do SGSI, avalia os indicadores e aprova as ações de melhoria.

Depois chega a auditoria externa, conduzida por uma entidade acreditada independente (em Portugal, acreditada pelo IPAC; as mais habituais são a APCER, a Bureau Veritas, a SGS, a TÜV Rheinland ou a LRQA, entre outras). Divide-se em duas fases. Na fase 1, o auditor revê a documentação do SGSI, confirma que o âmbito está bem definido e prepara a auditoria de campo. Na fase 2, avalia a implementação efetiva dos controlos através de entrevistas, análise de evidências e testes nos sistemas.

Se estiver tudo em ordem, é emitido o certificado, que tem uma validade de três anos. Durante esse período, realizam-se auditorias de acompanhamento anuais e, ao fim dos três anos, uma auditoria de renovação completa.

Erros frequentes na implementação da ISO 27001

A maioria das implementações que encalham fazem-no por erros de abordagem. Estes são os seis erros que mais se repetem.

  • Tratar a norma como um projeto pontual: a ISO 27001 não se passa como um exame, mantém-se. As empresas que abrandam o ritmo depois de se certificarem chegam à auditoria seguinte com metade do SGSI desatualizado.
  • Definir um âmbito demasiado restrito: reduzir o âmbito ao departamento mais preparado torna a auditoria mais barata, mas o certificado reflete apenas essa parte. Qualquer cliente atento deteta-o à primeira leitura.
  • Documentar para o auditor em vez de para a operação: uma política que ninguém usa no dia a dia só serve para passar a auditoria. Quando chegar o próximo incidente, essa política não vai ajudar ninguém.
  • Subestimar a gestão do parque de dispositivos: sem inventário atualizado nem controlos homogéneos sobre portáteis e telemóveis, vários controlos do Anexo A caem ao mesmo tempo na auditoria. Um endpoint não gerido é uma das portas de entrada mais fáceis para um atacante.
  • Externalizar tudo a uma consultora: uma consultora acompanha, não substitui a equipa interna. Se o conhecimento ficar fora, a primeira saída do fornecedor deixa a empresa às cegas.
  • Tratar a formação como um mero formalismo: uma ação de 30 minutos uma vez por ano não sensibiliza ninguém. É preciso formação específica por perfil, reforços periódicos e simulações reais (phishing, resposta a incidentes).

Como o Factorial IT te ajuda a obter a ISO 27001

O Factorial IT cobre, a partir de uma única plataforma, as frentes técnicas mais examinadas numa auditoria ISO 27001 (identidades, dispositivos, acessos SaaS, antivírus e colaboradores), de modo a que as evidências pedidas pelo auditor sejam geradas sozinhas com a operação diária, sem ter de reconstruir seja o que for no dia da auditoria. Estes são os seis blocos que automatiza:

plataforma factorial it

  • Inventário de ativos de IT: catálogo automático de dispositivos, software e acessos da empresa, sempre atualizado e exportável para auditoria.
  • Controlo de acessos: gestão centralizada dos acessos a ferramentas SaaS, com permissões atribuídas e revogadas automaticamente consoante o papel do colaborador.
  • Segurança de dispositivos: encriptação, palavras-passe e bloqueio aplicados automaticamente a cada equipamento. Compatível com Mac, iOS, Windows e Linux.
  • Offboarding seguro: ao registar uma saída em RH, todos os acessos do colaborador são fechados sem intervenção manual e sem contas residuais.
  • Proteção contra malware: antivírus avançado instalado em cada dispositivo, com deteção de malware, ransomware e ameaças zero-day.
  • Evidências de auditoria: registos e relatórios de conformidade gerados automaticamente, prontos a exportar e apresentar ao auditor a qualquer momento.