Glossário
O que é ISO/IEC 27001?
Norma internacional que especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI), incluindo controles de confidencialidade, integridade e disponibilidade.
Definição completa
ISO/IEC 27001 é a norma internacional para gestão de segurança da informação. Sua versão atual (2022) define o SGSI — sistema de gestão baseado em ciclo PDCA — com 93 controles agrupados em 4 temas: organizacionais, pessoais, físicos e tecnológicos (Anexo A).
Certificação é processo formal: empresa implementa, auditor independente acreditado audita e emite certificado válido por 3 anos com vigilância anual. Empresas regulamentadas (saúde, financeiro) frequentemente exigem certificação de fornecedores.
Em contexto de canal anônimo e LGPD, ISO 27001 é referência de boas práticas: criptografia (controle 8.24), gestão de acesso (8.3), classificação da informação (5.12), gestão de incidentes (5.24-26). Certificação reduz prêmio de seguro cibernético e fortalece DPA com parceiros.
Base legal
- ISO/IEC 27001:2022
- ISO/IEC 27002:2022
- ISO/IEC 27005:2022
Exemplos práticos
- Empresa de SaaS certificando-se para vender a bancos
- Hospital com SGSI cobrindo prontuário eletrônico
- Plataforma de canal anônimo certificada para reforçar DPA
Como o Ethos cobre ISO/IEC 27001
A plataforma Ethos automatiza o cumprimento de obrigações relacionadas a ISO/IEC 27001 via canal anônimo + IA + relatório PGR-ready.
Ver no softwarePerguntas frequentes
Certificação ISO 27001 é obrigatória pela LGPD?
Não — LGPD não exige certificação específica. Mas é fortemente recomendada como evidência de "medidas técnicas e administrativas adequadas" (Art. 46). Em fiscalização ANPD, certificação atenua dosimetria de sanção.
Quanto custa certificar?
Varia com porte e escopo. Para PME com escopo limitado, R$ 50-150 mil em consultoria + R$ 30-80 mil em auditoria de certificação. Para grandes empresas com múltiplos sites, R$ 500 mil a alguns milhões.