8 de abril de 2026 • ISO 27001
A ISO 27001 e a ISO 27002 são frequentemente mencionadas em conjunto, mas não são a mesma coisa. Uma é uma norma de certificação, a outra um guia prático. Qualquer pessoa que leve a sério a segurança da informação beneficia de ambas, mas de formas diferentes.
O que é a ISO 27001?
A ISO 27001 é a norma internacional para a segurança da informação. Define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI): um conjunto coerente de políticas, processos e medidas para proteger a informação. As organizações podem obter a certificação ISO 27001, o que significa que um auditor independente verifica a conformidade com os seus requisitos.
A norma define o que tens de implementar, não como o fazer. Pensa em: avaliações de risco, auditorias internas, envolvimento da direção e formação dos colaboradores em matéria de sensibilização para a segurança. Este último ponto está explicitamente mencionado no Anexo A da norma.
O que é a norma ISO 27002?
A ISO 27002 é a concretização prática dos controlos de segurança exigidos pela ISO 27001. Enquanto a 27001 estabelece que deves tomar medidas, a 27002 explica como implementá-las. Não é possível obter certificação segundo a ISO 27002: trata-se de uma diretriz, não de uma norma de certificação.
Em 2022, a norma ISO 27002 foi profundamente revista. O número de controlos passou de 114 para 93, divididos em quatro categorias: organizacional, pessoal, física e tecnológica. A formação em sensibilização para a segurança enquadra-se na categoria pessoal.
A diferença num relance
| ISO 27001 | ISO 27002 | |
|---|---|---|
| Tipo | Norma de certificação | Orientação |
| Objetivo | Requisitos para um SGSI | Orientações sobre como implementar controlos |
| É possível obter a certificação? | Sim | Não |
| Número de controlos | 93 (conforme o Anexo A) | 93 (elaborado por controlo) |
| É obrigatório? | Para certificação: sim | Recomendado como referência |
| Público-alvo | Direção, auditores | Equipas de segurança, implementadores |
De que norma precisas?
Se queres demonstrar aos clientes, parceiros ou entidades reguladoras que levas a segurança da informação a sério, a certificação ISO 27001 é o teu objetivo. A norma ISO 27002 serve de referência durante a implementação: ajuda-te a perceber quais os controlos que fazem sentido e como os pôr em prática.
As duas normas complementam-se. A ISO 27001 sem a ISO 27002 é como construir sem um projeto. A ISO 27002 sem a ISO 27001 é saber como fazer, mas não saber porquê.
O papel da formação security awareness
Tanto a ISO 27001 como a ISO 27002 exigem que os funcionários recebam formação em segurança da informação. A ISO 27001 estabelece isso como um requisito (Anexo A, controlo 6.3), enquanto a ISO 27002 explica como tornar essa formação eficaz: regular, específica para cada função e mensurável.
Na prática, os cursos de e-learning pontuais ou os workshops anuais raramente cumprem esses requisitos. A Guardey ajuda as organizações a cumprir os requisitos da norma ISO 27001 em matéria de sensibilização para a segurança, com microformações semanais, simulações de phishing e relatórios prontos para auditoria.
Formação em sensibilização para a segurança em conformidade com a norma ISO 27001
A Guardey ajuda as organizações a cumprir os requisitos de formação da norma ISO 27001, sem complicações. Pede uma demonstração e vê por ti mesmo o que a plataforma pode fazer pela tua organização.
Planeia uma demonstração