![[BLACK FRIDAY 2025] Ilimitada Dupla Prorrogado – Cabeçalho](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2025/11/27151344/bf25-ai-dupla-prorrogado-cabecalho.webp)
Olá, querido (a) aluno(a)!
Neste artigo entenderemos conceitos importantes sobre a Norma ISO/IEC 27001:2022 e como são cobrados em questões de concursos.
Introdução à ISO/IEC 27001
A ISO/IEC 27001:2022 é uma norma internacional que estabelece requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). Seu principal objetivo é proteger informações sob os pilares da confidencialidade, integridade e disponibilidade, criando processos e políticas capazes de gerenciar riscos relacionados à informação. É amplamente adotada por organizações públicas e privadas que buscam garantir conformidade, confiança e resiliência digital.
Evolução da Norma
A versão de 2022 substitui a edição anterior de 2013, promovendo atualizações que alinham a norma às novas ameaças e tendências tecnológicas. Uma das mudanças significativas foi a reestruturação dos controles de segurança no Anexo A, agora organizados em quatro categorias principais, reduzindo a complexidade anterior e facilitando a adoção por parte das empresas.
Estrutura da ISO/IEC 27001:2022
A norma segue a estrutura de alto nível (HLS – High-Level Structure) comum a outras normas ISO, como a ISO 9001 (qualidade) e ISO 14001 (meio ambiente). Essa estrutura possui 10 seções principais, das quais as seções de 4 a 10 são obrigatórias para a certificação:
Seção 4: Contexto da organização
- Seção 5: Liderança
- Seção 6: Planejamento
- Seção 7: Suporte
- Seção 8: Operação
- Seção 9: Avaliação de desempenho
- Seção 10: Melhoria contínua
O Papel do SGSI
O Sistema de Gestão da Segurança da Informação é o coração da ISO 27001. Ele estabelece um conjunto de políticas, processos, pessoas e tecnologias que gerenciam sistematicamente os riscos de segurança. O SGSI é um processo cíclico baseado no PDCA (Plan-Do-Check-Act), garantindo melhoria contínua da segurança da informação.
Avaliação de Riscos
A norma exige que as organizações identifiquem, avaliem e tratem riscos relacionados à segurança da informação. Isso envolve definir critérios de risco, classificar ativos, ameaças e vulnerabilidades, além de escolher controles adequados para mitigação. A metodologia de gestão de riscos deve ser documentada e alinhada aos objetivos organizacionais.
Anexo A e os Controles de Segurança
O Anexo A da ISO/IEC 27001:2022 apresenta 93 controles de segurança, organizados em 4 grupos:
- Organizacionais (37 controles)
- Pessoas (8 controles)
- Físicos (14 controles)
- Tecnológicos (34 controles)
Essa reorganização tornou os controles mais objetivos, facilitando a implementação e a auditoria. Entre os novos controles adicionados, destacam-se: Inteligência de Ameaças (Threat Intelligence), Segurança em Serviços na Nuvem e Monitoramento de Atividades.
Documentação e Evidências
Apesar da norma não exigir uma documentação extensa, ela solicita evidências objetivas de que os processos estão sendo executados conforme planejado. Isso inclui políticas, registros, planos de ação, resultados de auditoria e indicadores de desempenho. A abordagem “documente o necessário” dá flexibilidade, mas exige coerência entre prática e registros.
Auditorias Internas e Melhoria Contínua
A organização deve realizar auditorias internas periódicas para avaliar a conformidade do SGSI com os requisitos da ISO/IEC 27001. Os resultados são usados para a revisão pela direção e fundamentam ações de melhoria contínua, essenciais para manter o sistema eficaz e adaptado às mudanças.
Certificação ISO 27001
A certificação é feita por organismos acreditados, e envolve auditorias externas que avaliam a aderência da organização à norma. A validade do certificado é de três anos, com auditorias de supervisão anuais. A certificação transmite credibilidade ao mercado, reduz riscos legais e aumenta a confiança de clientes e parceiros.
Aplicações Práticas e Benefícios
A implementação da ISO/IEC 27001:2022 é vantajosa para organizações de qualquer porte. Entre os principais benefícios, destacam-se:
- Redução de riscos de segurança e vazamentos de dados
- Conformidade com legislações como LGPD e GDPR
- Melhoria da imagem institucional e vantagem competitiva
- Padronização de processos de segurança da informação
Referências Bibliográficas:
- ISO/IEC. ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements. International Organization for Standardization, 2022.
- ABNT. NBR ISO/IEC 27001:2022 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Requisitos. Associação Brasileira de Normas Técnicas, 2022.
- STALLINGS, W. Segurança em Redes: Princípios e Práticas. Pearson, 7ª ed., 2017.
- SOUSA, R. A. de. Segurança da Informação: uma abordagem gerencial. Brasport, 2020.
Vamos ver como este conteúdo já foi cobrado?
1) Ano: 2024 Banca: FGV Órgão: TJ-RR Prova: FGV – 2024 – TJ-RR – Analista Judiciário – Infraestrutura de Tecnologia da Informação (adaptada)
Com base nas normas ABNT referentes à segurança da informação, avalie a afirmativa a seguir.
A Norma ABNT NBR ISO/IEC 27001:2022 estabelece requisitos genéricos e aplicáveis a todas as instituições, de qualquer tipo, tamanho ou natureza.
Gabarito: Certo
Comentário: A Norma ABNT NBR ISO/IEC 27001:2022 define requisitos para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI) com o objetivo de proteger os ativos informacionais, assegurando a confidencialidade, integridade e disponibilidade das informações.
Um dos princípios centrais da norma é sua aplicabilidade universal: ela foi desenvolvida com requisitos genéricos, podendo ser implementada por qualquer organização, independentemente de:
- Tipo (empresa pública, privada, ONG etc.),
- Tamanho (micro, pequena, média ou grande),
- Setor de atuação (indústria, comércio, saúde, educação, governo etc.).
Essa flexibilidade é explicitada no próprio texto da norma e está de acordo com a estrutura da ISO, que busca garantir a adequação a diversos contextos organizacionais, permitindo ajustes conforme o escopo, a complexidade e os objetivos da organização.
Então é isso!
Bons estudos e até o nosso próximo artigo.
Prof. Jósis Alves
Analista de TI no Supremo Tribunal Federal
Instagram: @josisalvesprof @aprovati
![[BLACK FRIDAY 2025] Ilimitada Dupla Prorrogado – Post](https://blog-static.infra.grancursosonline.com.br/wp-content/uploads/2025/11/27151935/bf25-ai-dupla-prorrogado-post.webp)
Participe da conversa