NORMA ISO/IEC 27001:2022 - SGSI

Prepare a sua certificação ISO 27001
sem perder 6 meses

A ISO/IEC 27001 é a norma internacional de referência para o Sistema de Gestão de Segurança da Informação (SGSI). Cada vez mais exigida pelos clientes, em concursos públicos, por seguradoras cibernéticas ou para o acesso a determinados mercados de exportação, a SYAGA acompanha-o desde o gap assessment até à preparação da auditoria de certificação.

93
Medidas do Anexo A (ed. 2022)
4
Temas de segurança
7
Cláusulas de gestão (4 a 10)
1
Declaração de Aplicabilidade entregue

O contexto

A ISO 27001 não é uma obrigação legal geral, mas torna-se um pré-requisito comercial incontornável

📋

Uma certificação voluntária, mas cada vez mais pedida

A ISO/IEC 27001 continua a ser uma iniciativa voluntária. No entanto, é cada vez mais exigida em concursos públicos, por grandes clientes, por determinadas seguradoras cibernéticas, ou como pré-requisito para o acesso a determinados mercados de exportação.

🔒

Poucas PME formalizaram o seu SGSI

A maioria das PME e empresas de média dimensão não iniciou qualquer iniciativa estruturada de Sistema de Gestão de Segurança da Informação. O tema é percecionado como complexo, técnico e demorado.

💰

Acompanhamentos longos e dispendiosos

As missões de certificação clássicas mobilizam as suas equipas durante vários meses e representam um investimento considerável, muitas vezes fora do alcance de uma PME.

As suas equipas de TI já estão sobrecarregadas

Mobilizar o CIO ou o responsável de segurança durante meses para construir um SGSI não é viável numa PME onde cada pessoa já acumula várias funções.

O método ISO27001-Express

Uma abordagem estruturada em 3 fases, apoiada na mesma metodologia já comprovada pela SYAGA no PSSI-Express

1
Fase 1 - Gap Assessment

Avaliação das 93 medidas do Anexo A

Entrevista de enquadramento com a direção e o responsável de SI, seguida de avaliação sistemática de cada uma das 93 medidas de segurança do Anexo A (edição 2022), distribuídas pelos 4 temas organizacional, humano, físico e tecnológico. Apresentação de um relatório de desvios factual.

2
Fase 2 - Documentação do SGSI

Política de segurança, DdA e plano de remediação

Redação ou atualização da política de segurança (SGSI), da Declaração de Aplicabilidade (DdA) que justifica a aplicação ou a exclusão de cada uma das 93 medidas, e de um plano de remediação priorizado para colmatar os desvios identificados na fase 1.

3
Fase 3 - Acompanhamento até à certificação

Preparação da auditoria pelo organismo certificador

Acompanhamento da implementação do plano de remediação, revisão documental, e preparação da sua equipa para a auditoria realizada por um organismo certificador acreditado independente. A SYAGA prepara-o para a auditoria; a própria certificação é emitida por esse organismo terceiro.

O que recebe

Os documentos estruturantes do processo de certificação ISO 27001

📊

Relatório de Gap Assessment

Avaliação factual do seu nível de conformidade face à norma.

  • Avaliação das 93 medidas do Anexo A
  • Estado por medida: conforme / parcial / não conforme
  • Síntese por tema (organizacional, humano, físico, tecnológico)
  • Constatações factuais, sem juízo de valor
🔐

Declaração de Aplicabilidade (DdA)

Documento normativo central do processo de certificação ISO 27001.

  • Estado aplicável/excluído para cada uma das 93 medidas
  • Justificação de cada exclusão
  • Referência aos documentos do SGSI
  • Pronto a ser apresentado ao organismo certificador
📝

Política de segurança (SGSI)

O documento de governação exigido pelas cláusulas 4 a 10 da norma.

  • Âmbito e contexto do SGSI
  • Funções e responsabilidades de segurança
  • Processo de gestão de riscos
  • Ciclo de melhoria contínua (PDCA)
🎯

Plano de remediação priorizado

O roteiro para colmatar os desvios identificados.

  • Ações classificadas por prioridade
  • Medidas organizativas e técnicas
  • Acompanhamento do progresso
  • Preparação progressiva para a auditoria
📄

Procedimentos operacionais

Documentos aplicáveis diretamente pelas suas equipas.

  • Gestão de incidentes de segurança
  • Gestão de acessos e identidades
  • Gestão de mudanças
  • Carta informática
💻

Ficheiros editáveis

Todos os documentos em formatos que pode fazer evoluir.

  • HTML autónomo (aberto em qualquer navegador)
  • PDF de alta qualidade (impressão A4)
  • DOCX editável (Microsoft Word)
  • Atualização em cada revisão anual

Uma base documental partilhável

O SGSI ISO 27001 cruza-se naturalmente com vários referenciais

ISO

ISO/IEC 27001:2022

Referencial central: cláusulas 4 a 10 (exigências de gestão) e Anexo A (93 medidas de segurança distribuídas em 4 temas).

N2

Ponte com a NIS2

As medidas de gestão dos riscos cibernéticos exigidas pela diretiva NIS2 cruzam-se largamente com as medidas do Anexo A da ISO 27001. Um SGSI ISO 27001 facilita a conformidade com a NIS2 para as entidades abrangidas.

AN

Guia ANSSI - Higiene informática (autoridade francesa)

As medidas do guia de higiene informática da ANSSI cruzam-se com uma parte significativa das medidas do Anexo A da ISO 27001. Correspondência documentada no plano de remediação.

RG

RGPD (Art. 32)

As medidas técnicas e organizativas adequadas exigidas pelo artigo 32 do RGPD assentam nas mesmas boas práticas do Anexo A da ISO 27001 (controlo de acessos, encriptação, gestão de incidentes).

Ofertas adaptadas ao seu contexto

Cada missão ISO 27001 é dimensionada segundo o seu âmbito e a sua maturidade atual. Orçamento personalizado sistemático.

Gap Assessment

Fotografia inicial dos seus desvios

Sob orçamento
consoante o âmbito e o número de trabalhadores
  • Avaliação das 93 medidas do Anexo A
  • Relatório de constatação factual
  • Síntese por tema de segurança
  • Apresentação à direção
  • Formatos HTML + PDF + DOCX
Pedir orçamento

Manutenção anual

Após a certificação ou em contínuo

Sob orçamento
consoante o âmbito e o número de trabalhadores
  • Revisão anual do SGSI
  • Atualização da DdA
  • Atualização do plano de remediação
  • Preparação para as auditorias de vigilância
Pedir orçamento

Perguntas frequentes

O que é a norma ISO/IEC 27001?
A ISO/IEC 27001 é a norma internacional de referência para a implementação de um Sistema de Gestão de Segurança da Informação (SGSI). Na sua edição de 2022, está estruturada em cláusulas 4 a 10 (exigências de gestão: contexto, liderança, planeamento, suporte, funcionamento, avaliação, melhoria) e um Anexo A de 93 medidas de segurança distribuídas em 4 temas: organizacional, humano, físico e tecnológico.
A ISO 27001 é obrigatória para a minha empresa?
Não, a ISO 27001 é uma certificação voluntária, ao contrário de textos regulamentares como a NIS2. Em contrapartida, é cada vez mais pedida na prática: concursos públicos, exigências de grandes clientes, condições de seguro cibernético, ou acesso a determinados mercados de exportação. É uma escolha estratégica mais do que uma obrigação legal geral.
A SYAGA emite a certificação?
Não. A certificação ISO 27001 é emitida exclusivamente por um organismo certificador acreditado independente, após uma auditoria externa. A SYAGA acompanha-o na preparação (gap assessment, documentação do SGSI, plano de remediação, preparação das suas equipas), mas não emite ela própria o certificado.
O que é a Declaração de Aplicabilidade (DdA)?
A DdA é um documento normativo obrigatório do processo de certificação. Lista cada uma das 93 medidas do Anexo A e especifica se é aplicada ou excluída, com a justificação correspondente. É um dos documentos mais escrutinados durante a auditoria de certificação.
Quanto tempo tenho de mobilizar as minhas equipas?
A maior parte do trabalho (avaliação, redação documental, plano de remediação) é realizada pelos nossos auditores. As suas equipas são solicitadas principalmente na entrevista de enquadramento inicial e nos pontos de apresentação. A duração total de uma iniciativa de certificação depende fortemente do seu âmbito e da sua maturidade inicial; é estimada caso a caso no orçamento.
Em que é que a SYAGA é legítima para me acompanhar?
A SYAGA Consulting realiza auditorias de segurança de sistemas de informação desde 2009. Os nossos auditores trabalham junto de clientes de dimensões variadas em vários setores. A metodologia de gap assessment e de geração documental utilizada para o ISO27001-Express assenta no mesmo motor já utilizado nos nossos outros acompanhamentos de conformidade (PSSI-Express).
A SYAGA acompanha-o na preparação do seu SGSI e do seu processo de certificação. A certificação ISO/IEC 27001 em si é emitida por um organismo certificador acreditado independente, não afiliado à SYAGA. Este conteúdo é uma ferramenta de apoio e não constitui um parecer jurídico.

Pronto para estruturar a sua iniciativa ISO 27001?

Contacte-nos para um orçamento personalizado segundo o seu âmbito e a sua maturidade atual.

Vigilância regulamentar - fontes oficiais

O que a ISO/IEC 27001 diz realmente, explicado de forma simples. Cada ponto remete para a sua fonte oficial (ISO, AFNOR, COFRAC, ANSSI), atualizada a 17/07/2026.

O que é, concretamente?

A ISO/IEC 27001 é um método reconhecido para identificar as ameaças que pesam sobre os seus dados, controlar os riscos e implementar as proteções adequadas, para que a sua informação permaneça confidencial, disponível e fiável. Não é um software, é uma organização a implementar na empresa.

Fonte: AFNOR Certification (organismo francês)

É uma escolha, não uma lei

Ao contrário de outras iniciativas (como a homologação de segurança imposta a determinados sistemas do Estado francês), a ISO 27001 é facultativa: é uma norma certificadora, não uma obrigação regulamentar geral. Escolhe-a para tranquilizar clientes, parceiros e seguradoras.

Fonte: ANSSI (autoridade francesa, ficha de método)

Quem emite o certificado?

Nunca a própria empresa, nem um consultor: apenas um organismo certificador independente e acreditado o pode emitir (o COFRAC é a única entidade francesa de acreditação, criada em 1994). O certificado obtido é válido por 3 anos.

Fonte: COFRAC (organismo francês)

O percurso, em 6 etapas

Avaliação prévia (opcional), preparação, revisão dos documentos, auditoria no local para verificar o que está realmente implementado, emissão do certificado (3 anos), seguida de uma visita de controlo todos os anos e de uma auditoria completa de renovação ao fim de 3 anos. Nada é definitivo de uma vez por todas.

Fonte: AFNOR Certification (organismo francês)

Compensa realmente?

Segundo um estudo da AFNOR realizado junto de empresas certificadas: 89% constataram menos incidentes de segurança, 83% têm processos de segurança internos mais sólidos, e 88% mantiveram clientes que poderiam ter saído sem a certificação.

Fonte: estudo AFNOR 2019 (organismo francês)

Reconhecida em todo o lado, não só em França

É a norma de segurança da informação mais utilizada no mundo segundo a própria ISO. E a acreditação que controla os organismos certificadores (como o COFRAC em França) é reconhecida internacionalmente por acordos entre países, o que facilita o acesso a mercados na Europa e noutros locais.

Fonte: ISO (comité JTC1/SC27)