A ISO 27001:2022 entrou em vigor em outubro de 2022. O prazo de transição para empresas certificadas na versão anterior encerrou em outubro de 2025. Estamos em maio de 2026, e empresas que ainda não fizeram a adequação estão operando com uma certificação expirada ou correndo o risco de perdê-la na próxima auditoria.
Isso não é teoria. É o estado atual de qualquer organização que não concluiu a transição.
O que mudou na ISO 27001: os 4 grupos e os 11 novos controles
A principal alteração da ISO 27001 está no Anexo A, que concentra os controles de segurança da informação. A versão anterior tinha 114 controles distribuídos em 14 domínios. A versão 2022 reorganizou tudo em 4 categorias e reduziu o total para 93 controles, sendo que 11 são completamente novos.
A redução de 114 para 93 não significa que controles foram eliminados. A maioria foi mesclada e renomeada. O que importa é o que foi adicionado: 11 controles criados especificamente para endereçar ameaças que não existiam ou não eram prioritárias em 2013.
As 4 categorias do Anexo A na versão 2022:
| Categoria | Controles | Código |
|---|---|---|
| Organizacionais | 37 | A.5 |
| Tecnológicos | 34 | A.8 |
| Físicos | 14 | A.7 |
| Humanos | 8 | A.6 |
Os 11 novos controles:
| Código | Controle |
|---|---|
| A.5.7 | Inteligência de ameaças |
| A.5.23 | Segurança da informação para uso de serviços em nuvem |
| A.5.30 | Prontidão de TIC para continuidade dos negócios |
| A.7.4 | Monitoramento de segurança física |
| A.8.9 | Gerenciamento de configurações |
| A.8.10 | Exclusão e descarte de informações |
| A.8.11 | Mascaramento de dados |
| A.8.12 | Prevenção contra vazamento de dados (DLP) |
| A.8.16 | Atividades de monitoramento |
| A.8.23 | Filtragem da web |
| A.8.28 | Programação e criptografia segura |
Esses controles refletem o ambiente atual: nuvem, DLP, inteligência de ameaças e continuidade de negócios passaram de boas práticas para requisitos formais da norma.
O que a atualização significa para a sua empresa agora?
O cronograma de transição foi claro desde o início. A partir de outubro de 2023, novas certificações e recertificações passaram a exigir obrigatoriamente a versão 2022. O prazo final para transição das certificações existentes era outubro de 2025.
Estamos em maio de 2026.
Isso significa que qualquer empresa que ainda não concluiu a transição está em uma das seguintes situações:
Certificação expirada ou cancelada, sem que os responsáveis necessariamente tenham sido notificados com clareza. Risco de reprovação na próxima auditoria de manutenção ou recertificação. Exposure legal e contratual, especialmente em setores onde a ISO 27001 is requisito de fornecedores como a Microsoft, que exige a norma de parceiros e fornecedores de TI.
As mudanças nas cláusulas que a maioria ignora
Além do Anexo A, a versão 2022 alterou cláusulas centrais da norma que definem como o SGSI deve ser gerenciado. São mudanças menores em texto, mas com impacto prático relevante.
A cláusula 4.2 agora exige que a organização determine explicitamente quais requisitos das partes interessadas serão endereçados dentro do SGSI. A cláusula 6.3, completamente nova, adiciona o planejamento de mudanças como requisito formal. A cláusula 9.3 foi reorganizada em três subcláusulas para estruturar melhor a análise crítica pela direção.
Outro ponto de atenção: os objetivos de controle, que existiam na versão 2013, foram removidos. Isso altera a forma como a Declaração de Aplicabilidade (SoA) deve ser estruturada.
Os controles que sua empresa provavelmente ainda não implementou
Para organizações que migraram da versão ISO 27001:2013 sem um gap analysis estruturado, os controles novos são o principal ponto de risco. Alguns deles exigem investimento em ferramentas ou processos que podem não estar no radar do time de TI.
A.5.23: Segurança em nuvem. Essencial para qualquer empresa que usa SaaS, IaaS ou PaaS. Exige controles específicos sobre contratos com provedores, gestão de acessos e classificação de dados em ambientes cloud.
A.8.12: Prevenção contra vazamento de dados (DLP). Crítico para conformidade com LGPD e GDPR. Requer ferramentas e processos para monitorar e bloquear transferências não autorizadas de dados sensíveis.
A.5.7: Inteligência de ameaças. Exige que a organização colete, analise e atue com base em informações sobre ameaças relevantes ao seu ambiente. Vai além de apenas ter um antivírus atualizado.
A.5.30: Prontidão de TIC para continuidade. Integra segurança da informação com o plano de continuidade de negócios, exigindo testes e validações regulares da capacidade de recuperação.
Segundo o NIST Cybersecurity Framework, organizações que integram inteligência de ameaças e continuidade de negócios em seus programas de segurança reduzem significativamente o tempo de resposta a incidentes. A ISO 27001 formaliza exatamente essa integração.
As 4 etapas para adequação agora
Se sua empresa ainda não concluiu a transição, o caminho é estruturado em quatro etapas. Quanto mais cedo começar, menor o risco de impacto em auditorias ou contratos.
Etapa 1: Capacitação. A equipe responsável pelo SGSI precisa entender o que mudou na norma. Isso includes as cláusulas, os novos controles e a forma como a SoA deve ser atualizada.
Etapa 2: Gap Analysis. Identificar quais dos 11 novos controles ainda não estão implementados, quais controles existentes precisam ser adaptados e onde a Declaração de Aplicabilidade precisa ser revisada.
Etapa 3: Implementação. Atualizar a SoA, implementar os novos controles conforme aplicabilidade ao negócio e documentar justificativas para qualquer controle omitido. Realizar auditoria interna e análise crítica da direção.
Etapa 4: Auditoria de transição. Solicitar formalmente a transição na próxima auditoria de manutenção ou recertificação. O organismo certificador verificará as mudanças, a SoA atualizada e a avaliação de riscos.
Como a El Canary pode ajudar na sua certificação ou readequação?
Nosso serviço El Canary® Governance atua como um acelerador estratégico e operacional para empresas que buscam a certificação ou atualização da ISO/IEC 27001. Em vez de focar apenas em conformidade burocrática, o serviço estrutura um Sistema de Gestão de Segurança da Informação (SGSI) prático, resiliente e totalmente integrado aos objetivos de negócio do cliente.
A El Canary conduz o processo de adequação à ISO 27001 de ponta a ponta: gap analysis, implementação de controles, atualização da SoA e suporte à auditoria de transição. Se sua empresa ainda não fez a migração, o momento de agir é agora.
