A ISO/IEC 27001 é a norma internacional de referência para o Sistema de Gestão de Segurança da Informação (SGSI). Cada vez mais exigida pelos clientes, em concursos públicos, por seguradoras cibernéticas ou para o acesso a determinados mercados de exportação, a SYAGA acompanha-o desde o gap assessment até à preparação da auditoria de certificação.
A ISO 27001 não é uma obrigação legal geral, mas torna-se um pré-requisito comercial incontornável
A ISO/IEC 27001 continua a ser uma iniciativa voluntária. No entanto, é cada vez mais exigida em concursos públicos, por grandes clientes, por determinadas seguradoras cibernéticas, ou como pré-requisito para o acesso a determinados mercados de exportação.
A maioria das PME e empresas de média dimensão não iniciou qualquer iniciativa estruturada de Sistema de Gestão de Segurança da Informação. O tema é percecionado como complexo, técnico e demorado.
As missões de certificação clássicas mobilizam as suas equipas durante vários meses e representam um investimento considerável, muitas vezes fora do alcance de uma PME.
Mobilizar o CIO ou o responsável de segurança durante meses para construir um SGSI não é viável numa PME onde cada pessoa já acumula várias funções.
Uma abordagem estruturada em 3 fases, apoiada na mesma metodologia já comprovada pela SYAGA no PSSI-Express
Entrevista de enquadramento com a direção e o responsável de SI, seguida de avaliação sistemática de cada uma das 93 medidas de segurança do Anexo A (edição 2022), distribuídas pelos 4 temas organizacional, humano, físico e tecnológico. Apresentação de um relatório de desvios factual.
Redação ou atualização da política de segurança (SGSI), da Declaração de Aplicabilidade (DdA) que justifica a aplicação ou a exclusão de cada uma das 93 medidas, e de um plano de remediação priorizado para colmatar os desvios identificados na fase 1.
Acompanhamento da implementação do plano de remediação, revisão documental, e preparação da sua equipa para a auditoria realizada por um organismo certificador acreditado independente. A SYAGA prepara-o para a auditoria; a própria certificação é emitida por esse organismo terceiro.
Os documentos estruturantes do processo de certificação ISO 27001
Avaliação factual do seu nível de conformidade face à norma.
Documento normativo central do processo de certificação ISO 27001.
O documento de governação exigido pelas cláusulas 4 a 10 da norma.
O roteiro para colmatar os desvios identificados.
Documentos aplicáveis diretamente pelas suas equipas.
Todos os documentos em formatos que pode fazer evoluir.
O SGSI ISO 27001 cruza-se naturalmente com vários referenciais
Referencial central: cláusulas 4 a 10 (exigências de gestão) e Anexo A (93 medidas de segurança distribuídas em 4 temas).
As medidas de gestão dos riscos cibernéticos exigidas pela diretiva NIS2 cruzam-se largamente com as medidas do Anexo A da ISO 27001. Um SGSI ISO 27001 facilita a conformidade com a NIS2 para as entidades abrangidas.
As medidas do guia de higiene informática da ANSSI cruzam-se com uma parte significativa das medidas do Anexo A da ISO 27001. Correspondência documentada no plano de remediação.
As medidas técnicas e organizativas adequadas exigidas pelo artigo 32 do RGPD assentam nas mesmas boas práticas do Anexo A da ISO 27001 (controlo de acessos, encriptação, gestão de incidentes).
Cada missão ISO 27001 é dimensionada segundo o seu âmbito e a sua maturidade atual. Orçamento personalizado sistemático.
Fotografia inicial dos seus desvios
Do gap assessment à preparação da auditoria
Após a certificação ou em contínuo
Contacte-nos para um orçamento personalizado segundo o seu âmbito e a sua maturidade atual.
O que a ISO/IEC 27001 diz realmente, explicado de forma simples. Cada ponto remete para a sua fonte oficial (ISO, AFNOR, COFRAC, ANSSI), atualizada a 17/07/2026.
A ISO/IEC 27001 é um método reconhecido para identificar as ameaças que pesam sobre os seus dados, controlar os riscos e implementar as proteções adequadas, para que a sua informação permaneça confidencial, disponível e fiável. Não é um software, é uma organização a implementar na empresa.
Fonte: AFNOR Certification (organismo francês)Ao contrário de outras iniciativas (como a homologação de segurança imposta a determinados sistemas do Estado francês), a ISO 27001 é facultativa: é uma norma certificadora, não uma obrigação regulamentar geral. Escolhe-a para tranquilizar clientes, parceiros e seguradoras.
Fonte: ANSSI (autoridade francesa, ficha de método)Nunca a própria empresa, nem um consultor: apenas um organismo certificador independente e acreditado o pode emitir (o COFRAC é a única entidade francesa de acreditação, criada em 1994). O certificado obtido é válido por 3 anos.
Fonte: COFRAC (organismo francês)Avaliação prévia (opcional), preparação, revisão dos documentos, auditoria no local para verificar o que está realmente implementado, emissão do certificado (3 anos), seguida de uma visita de controlo todos os anos e de uma auditoria completa de renovação ao fim de 3 anos. Nada é definitivo de uma vez por todas.
Fonte: AFNOR Certification (organismo francês)Segundo um estudo da AFNOR realizado junto de empresas certificadas: 89% constataram menos incidentes de segurança, 83% têm processos de segurança internos mais sólidos, e 88% mantiveram clientes que poderiam ter saído sem a certificação.
Fonte: estudo AFNOR 2019 (organismo francês)É a norma de segurança da informação mais utilizada no mundo segundo a própria ISO. E a acreditação que controla os organismos certificadores (como o COFRAC em França) é reconhecida internacionalmente por acordos entre países, o que facilita o acesso a mercados na Europa e noutros locais.
Fonte: ISO (comité JTC1/SC27)