Consultoria ISO 27001
A certificação ISO 27001 abre a aquisição empresarial, satisfaz as obrigações da cadeia de fornecimento da NIS2 e fornece a evidência mais defensável de conformidade com o Artigo 32 do GDPR. A preparação são 4–9 meses de conceção de ISMS, criação de políticas, trabalho de registo de riscos e recolha de evidências. Fazemos tudo isso — preço fixo, com total prontidão para auditoria em cada fase.
ISO 27001 feita uma vez, feita corretamente
Definimos o âmbito de projetos ISO 27001 para cobrir o ciclo completo de preparação: definição de âmbito do ISMS, avaliação de riscos, seleção de controlos do Anexo A, criação de políticas, implementação de controlos técnicos, recolha de evidências, auditoria interna e coordenação de auditores da Fase 1 e Fase 2. A certificação é o entregável, e cada etapa entre o início e o certificado está incluída no âmbito do projeto.
A consultoria ISO 27001 integra-se naturalmente com o nosso retainer de CISO Fracional: o vCISO detém o ISMS numa base contínua após a emissão do certificado, gere auditorias de vigilância e mantém o registo de riscos. A maioria dos clientes combina consultoria ISO 27001, o nosso serviço de testes de penetração (exigido pelo controlo 8.8 do Anexo A) e o retainer vCISO num programa de segurança integrado.
Da análise de lacunas ao ISMS certificado
Conceção de ISMS
Definição de âmbito do Sistema de Gestão de Segurança da Informação, contexto da organização (cláusula 4), requisitos de liderança (cláusula 5) e estrutura de planeamento (cláusula 6) — concebidos para corresponder ao tamanho do seu negócio, setor e requisitos do organismo de certificação. O limite do ISMS é definido para cobrir o que os auditores irão testar e nada desnecessário.
Registo de Riscos & Tratamento
Avaliação de riscos da cláusula 6.1 da ISO 27001: identificação de ativos de informação, análise de ameaças e vulnerabilidades, pontuação de probabilidade e impacto e seleção do plano de tratamento (mitigar, aceitar, transferir, evitar). Declaração de Aplicabilidade (SoA) criada para o Anexo A da ISO 27001:2022. O registo de riscos é mantido como documento vivo ao longo do projeto.
Documentação de Políticas
Conjunto completo de políticas criado para o seu negócio: política de segurança da informação, utilização aceitável, gestão de acessos, resposta a incidentes, gestão de fornecedores, gestão de alterações, continuidade de negócio, recuperação de desastres e gestão de ativos. Escrito em linguagem simples, revisto pela sua equipa, aprovado ao nível certo e mantido numa cadência documentada.
Suporte à Auditoria de Certificação
Coordenamos a auditoria com o organismo de certificação da sua escolha: revisão documental da Fase 1 e auditoria presencial ou remota da Fase 2. Preparamos a sua equipa para entrevistas com auditores, gerimos a sala de evidências, respondemos a constatações durante a janela de auditoria e acompanhamos a remediação de quaisquer não-conformidades até ao encerramento.
Consultoria ISO 27001 — Perguntas Frequentes
Quanto tempo demora a certificação ISO 27001?
Do início à decisão de certificação, a ISO 27001 demora tipicamente 4–9 meses. As empresas sem controlos de segurança ou documentação prévia demoram mais; as organizações com práticas de segurança existentes e alguma documentação conseguem avançar mais rapidamente. As fases principais são: análise de lacunas e definição de âmbito do ISMS (2–4 semanas), construção de políticas e registo de riscos (6–12 semanas), implementação de controlos técnicos (em paralelo, 4–12 semanas), recolha de evidências e auditoria interna (4–6 semanas), auditoria da Fase 1 (2–4 semanas) e auditoria da Fase 2 (2–4 semanas). A nossa análise de lacunas na primeira semana dá-lhe um cronograma de projeto preciso antes de o projeto principal começar.
ISO 27001 vs. SOC 2 — de qual preciso?
A ISO 27001 é mais comum na aquisição empresarial europeia e é cada vez mais exigida sob as obrigações da cadeia de fornecimento da NIS2. O SOC 2 é o padrão para compradores empresariais dos EUA e empresas SaaS que vendem no mercado dos EUA. Se vende para ambos os mercados, ou se os seus compradores são grandes multinacionais, pode precisar de ambas. Definimos projetos combinados ISO 27001 + SOC 2 com uma base de evidências partilhada — aproximadamente 70% dos controlos do Anexo A mapeiam para os Critérios de Serviços de Confiança do SOC 2, tornando a dupla certificação 20–35% mais barata do que dois programas separados.
Quanto custa a consultoria ISO 27001?
O nosso projeto de consultoria ISO 27001 a preço fixo começa a partir de €12,000 para um âmbito de ISMS bem definido numa empresa de 20–100 pessoas. Organizações maiores, âmbitos de ISMS mais amplos ou programas combinados ISO 27001 + SOC 2 são definidos individualmente. O projeto cobre análise de lacunas, conceção de ISMS, registo de riscos, criação de políticas, implementação de controlos técnicos, recolha de evidências, auditoria interna e coordenação de auditores das Fases 1 & 2. A taxa de auditoria do organismo de certificação é separada (tipicamente €5,000–€15,000 dependendo do auditor e do tamanho da organização).
Preciso de ISO 27001 para conformidade com o GDPR?
A ISO 27001 não é obrigatória pelo GDPR, mas suporta substancialmente a conformidade com o Artigo 32 do GDPR — que requer “medidas técnicas e organizacionais adequadas” para proteger dados pessoais. Um ISMS ISO 27001 é a evidência mais defensável de que essas medidas são sistemáticas, documentadas e revistas. Muitas autoridades de supervisão e APDs veem a certificação ISO 27001 como evidência forte de conformidade de segurança GDPR. Se processar volumes significativos de dados pessoais da UE, ou se operar num setor regulamentado, a ISO 27001 vale a pena perseguir apenas pela gestão do risco regulatório — independentemente de qualquer requisito de comprador empresarial.
Certificação ISO 27001, sem a taxa de consultoria
Diga-nos o âmbito do seu ISMS, o seu cronograma de certificação e que evidências já tem — responderemos com uma proposta a preço fixo.
Contacte-nos → ISO 27001 & SOC 2 →