Workspace ISO 27001 ISMS: do escopo à prontidão para certificação em 19 passos

Você: A CloudSync Solutions é uma empresa SaaS B2B com sede em São Paulo, 45 colaboradores. Rodamos em GCP, usamos GitHub, Google Workspace, Okta para IAM, Stripe para pagamentos e SendGrid para email. Maria Santos é CISO, João Silva é CTO. Lidamos com dados de projetos de clientes e estamos sujeitos à LGPD.

Agente: Preparei o perfil da organização. Vou rodar o classificador de stack tecnológico e o verificador de completude do perfil.

O classificador identificou 8 entradas: GCP como IaaS, GitHub como SaaS (DevOps), Google Workspace como SaaS (Produtividade), Okta como SaaS (Segurança/IAM). Um alerta — AWS CloudFront aparece sem especificação de região.

Completude do perfil: PASS (92 %). Pequena lacuna: a faixa de receita é estimada — considere confirmar com finanças.

Também atualizei o dashboard do projeto para marcar o Organization Profile como concluído.

Você: Defina o escopo do ISMS para a CloudSync Solutions. Nossa plataforma SaaS e a infraestrutura de suporte devem estar no escopo. Sistemas de marketing e RH ficam fora.

Agente: Redigi a declaração de escopo com base no perfil da organização. Vou rodar as checagens de integridade de escopo e de justificativas de exclusão.

Integridade das fronteiras do escopo: PASS. O escopo cobre a plataforma SaaS, infraestrutura em GCP, processamento de dados de clientes e todos os serviços de TI de suporte. As fronteiras estão claramente definidas por unidade organizacional, localização (sede em São Paulo + regiões GCP) e tecnologia.

Verificação de justificativas de exclusão: WARNING. Duas exclusões precisam de justificativas mais fortes. “Sistemas de marketing” foi aceita — não há processamento de dados de clientes. Mas “Sistemas de RH” precisa de esclarecimento: o RH mantém dados pessoais de empregados sujeitos à LGPD, e a Cláusula 4.3 exige justificar por que o tratamento de dados de RH não afeta os objetivos do ISMS. Sinalizei para revisão e sugeri adicionar uma frase explicando que os dados de RH são geridos sob um programa separado de conformidade com a LGPD.

Você: Construa o inventário de ativos com base no perfil da organização e no escopo.

Agente: Identifiquei 18 ativos de informação dentro do escopo do ISMS e os classifiquei por tipo. Vou validar a rotulagem e as atribuições de ownership.

Consistência de rotulagem: PASS. Todos os 18 ativos seguem a convenção de nomenclatura (prefixo de tipo + ID sequencial). Os níveis de classificação (Confidencial, Interno, Público) estão atribuídos de forma consistente — dados de projetos de clientes e chaves de API são Confidenciais; documentação interna é Interna.

Verificação de accountability de owner: WARNING. Dois ativos têm owners em nível de equipe (“Time de Engenharia”) em vez de indivíduos nomeados. A Cláusula A.5.9 da ISO 27001 exige owners identificáveis. Sinalizei AST‑011 (Pipeline CI/CD) e AST‑014 (Dashboard de monitoramento) para reatribuição a pessoas específicas.

Você: Com base no perfil da organização e no escopo, avalie nossos riscos de segurança da informação.

Agente: Identifiquei 7 riscos e montei o registro de riscos com score de probabilidade × impacto. Vou rodar a suíte de validação.

O verificador de metodologia confirmou que todos os 11 requisitos da Cláusula 6.1.2 foram atendidos — escalas, matriz e limiar de aceitação 12 estão corretamente definidos.

Cada um dos 7 riscos passou na validação de completude: ativo, ameaça, vulnerabilidade, consequência, scores P×I, owner e decisão de tratamento estão presentes.

O detector de duplicados não encontrou riscos sobrepostos — todos os 7 cobrem cenários distintos.

O validador de cobertura ativo–risco cruzou o inventário de ativos: 5 dos 6 ativos Confidenciais possuem entradas de risco correspondentes. Porém, AST‑008 (Cofre de chaves de API) é classificado como Confidencial mas não tem entrada no registro — adicionei R‑08 cobrindo extração não autorizada de chaves com score 4×5=20 (Tratar, controles A.5.17, A.8.24).

O mapeador risco–controle verificou que todos os 8 riscos tratados estão ligados a controles específicos do Anexo A. E o verificador de risco residual confirmou que todos os scores pós‑tratamento ficam abaixo do limiar de aceitação 12.

Você: Gere a Declaração de Aplicabilidade com base na nossa avaliação de riscos. Inclua rastreamento de status de implementação.

Agente: Mapeei todos os 93 controles do Anexo A contra o registro de riscos e o perfil da organização. Vou rodar a suíte de validação da SoA.

Sugestões de inclusão de controles: 78 controles marcados como aplicáveis, 15 excluídos. A ferramenta sinalizou 2 controles que podem precisar de reavaliação: A.7.4 (Monitoramento de segurança física) — marcado como excluído, mas a infraestrutura inclui um escritório com acesso a sala de servidores. E A.5.23 (Segurança da informação para serviços em nuvem) — deveria ser aplicável dada a dependência do GCP.

Auditoria de justificativas: PASS. Todas as 15 exclusões possuem justificativas documentadas referenciando fronteiras de escopo ou contexto organizacional específico. A auditoria também sinalizou 12 controles com evidências mas status de implementação ainda “Não Iniciado” — considere atualizar conforme a implementação avança.

Consistência SoA–risco: PASS. Todo risco tratado no registro de riscos está mapeado a pelo menos um controle aplicável na SoA, e nenhum controle aplicável carece de risco ou requisito de negócio correspondente.

Resumo de status de implementação: Não Iniciado: 34, Planejado: 28, Implementado: 14, Verificado: 2. O verificador de consistência agora rastreia esses dados para que você veja de relance o andamento da implementação.

Verificação de evidências de políticas: o verificador de consistência também escaneou o diretório de políticas. 3 controles incluídos referenciam arquivos de evidência que ainda não existem — A.5.24 cita “Incident-Management-Procedure.md”, mas esse arquivo não foi gerado. Registrei como lembrete para o passo do Policy Generator.

Você: Avalie o estado atual do nosso ISMS em relação à ISO 27001.

Agente: Escaneei o workspace em busca de artefatos obrigatórios e atribuí um nível de maturidade para cada cláusula. Eis o que encontrei.

O scanner de artefatos obrigatórios produziu um checklist rastreável — a declaração de escopo do ISMS e o registro de riscos estão presentes, mas a Política de Segurança da Informação, a Declaração de Aplicabilidade e os resultados de Auditoria Interna ainda faltam.

Para maturidade por cláusula, atribuí nível 3 (“Definido”) à Cláusula 6 (Planejamento), com base na metodologia de risco e no registro existentes, enquanto a Cláusula 9 (Avaliação de desempenho) está em nível 0 (“Inexistente”), pois ainda não há monitoramento, auditoria ou revisão pela direção.

Com base no risco de auditoria, a priorização de remediação é:

1. Imediato — Política de Segurança da Informação (Cláusula 5.2), justificativas de exclusão de escopo
2. Curto prazo — Declaração de Aplicabilidade, Plano de Tratamento de Riscos, Objetivos de Segurança
3. Médio prazo — Procedimentos operacionais (controle de acesso, gestão de incidentes, segurança de fornecedores)
4. Prontidão para auditoria — Auditoria interna, revisão pela direção, processo de CAPA

Você: Gere a Política de Segurança da Informação para a CloudSync Solutions.

Agente: Redigi a POL‑001 com base no seu perfil organizacional e contexto de risco. Vou validar os metadados do documento e a cobertura de tópicos obrigatórios.

Verificação de metadados: PASS. O documento POL‑001 tem versão, owner (Maria Santos), aprovador (João Silva), data de entrada em vigor, próxima data de revisão e classificação (Interno) — todos presentes.

Verificador de tópicos obrigatórios: PASS. Todos os tópicos necessários estão cobertos — comprometimento da direção (5.1), propósito (5.2), papéis e responsabilidades (5.3), gestão de riscos (6.1), requisitos de conformidade e agenda de revisão.

Após gerar todas as 10 políticas, rodei a checagem de rastreabilidade tratamento–política. Ela cruzou as 8 decisões “Tratar” do plano de tratamento de riscos com as políticas geradas. 7 de 8 possuem cadeias completas — a política que implementa cada controle existe. Uma lacuna: R‑06 (vulnerabilidades em APIs, controles A.8.25–A.8.26) mapeia para um Procedimento de Desenvolvimento Seguro, mas ele ainda não foi gerado, já que procedimentos de desenvolvimento de software são opcionais para o seu escopo. Recomendo adicioná‑lo, considerando que a plataforma SaaS é o ativo principal.

Você: Defina controles de segurança física para o nosso escritório em São Paulo.

Agente: Com base no perfil da organização, seu escritório tem uma localização única com sala de servidores e layout open‑plan. Redigi o documento de perímetro de segurança física com controles para três zonas: entrada do prédio, andar do escritório e sala de servidores. Vou validar.

Checagem de prevenção a tailgating: PASS. Os controles incluem entrada por crachá na recepção do prédio, registro de visitantes com exigência de acompanhamento e entrada tipo mantrap para a sala de servidores com dupla autenticação (crachá + PIN).

Também fiz a referência cruzada com a SoA — A.7.1 (Perímetros de segurança física), A.7.2 (Entrada física) e A.7.4 (Monitoramento de segurança física) estão todos endereçados.

Você: Crie a política de segurança de fornecedores com base no stack tecnológico e na avaliação de riscos.

Agente: Classifiquei os 8 fornecedores em três tiers com base em acesso a dados e criticidade. Vou validar a política.

Classificação por tier:

• Tier 1 (Crítico): GCP (IaaS — hospeda todos os dados de clientes), Okta (IAM — controla autenticação)
• Tier 2 (Importante): GitHub (código‑fonte), Stripe (processamento de pagamentos), Google Workspace (comunicação interna)
• Tier 3 (Padrão): SendGrid (envio de email), CloudFront (CDN), ferramentas de monitoramento

Geração de cláusulas por tier: PASS. Fornecedores Tier 1 exigem relatórios SOC 2 Type II anuais, cláusula de direito de auditoria, notificação de incidentes em até 24 horas e garantias de residência de dados. Fornecedores Tier 2 exigem evidências SOC 2 ou ISO 27001 e notificação em até 48 horas. Fornecedores Tier 3 exigem questionários de segurança básicos.

Reforço de direito de auditoria: PASS. Todas as cláusulas de fornecedores Tier 1 e Tier 2 incluem direito contratual de auditoria conforme A.5.19 e A.5.21.

Você: Elabore o plano de tratamento de riscos com base no registro de riscos e na SoA.

Agente: Gerei planos de ação para os 8 riscos com decisão “Tratar”. Vou rodar as validações.

Consistência tratamento–SoA: PASS. Todos os 8 planos de ação referenciam controles marcados como aplicáveis na SoA. Nenhum controle órfão.

Completude de planos de ação: WARNING. 7 de 8 planos estão completos — owner, prazo, recursos e critério de sucesso presentes. O plano para R‑06 (vulnerabilidades em APIs) está sem estimativa de recursos. Sinalizei para revisão.

Validação de prazos: PASS. Todos os prazos estão dentro do horizonte de 12 meses para certificação, e nenhuma ação de prioridade alta tem prazo superior a 90 dias.

Você: Crie o plano de continuidade de negócios para a CloudSync Solutions.

Agente: Realizei a análise de impacto no negócio e identifiquei 5 processos críticos. Vou validar as estratégias de recuperação.

Análise de impacto no negócio: PASS. Cada processo tem classificação de criticidade, impacto financeiro estimado por hora de indisponibilidade e dependências mapeadas.

Validação de RTO/RPO: WARNING. O RTO da plataforma SaaS está definido em 4 horas, mas a estratégia de recuperação depende de restauração de snapshot do GCP, que tipicamente leva 2–6 horas. Recomendo ajustar o RTO para 6 horas ou implementar failover automático para atingir 4 horas.

Estratégias de recuperação: PASS. Todos os 5 processos críticos possuem estratégias de recuperação documentadas com responsáveis, procedimentos de ativação e critérios de retorno à operação normal.

Você: Crie o procedimento de resposta a incidentes de segurança.

Agente: Redigi o PROC‑003 com fluxo de resposta em 5 fases: detecção, contenção, erradicação, recuperação e lições aprendidas. Vou validar.

Fluxo de escalação: PASS. Incidentes de severidade Crítica escalam para a CISO (Maria Santos) em até 30 minutos, com notificação ao CTO (João Silva) em até 1 hora.

Categorização de severidade: PASS. Quatro níveis definidos (Crítico, Alto, Médio, Baixo) com critérios claros de classificação baseados em impacto a dados de clientes, disponibilidade do serviço e obrigações regulatórias.

Checagem de notificação regulatória: PASS. O procedimento inclui prazo de 72 horas para notificação à ANPD conforme a LGPD, e notificação a clientes afetados em até 48 horas quando dados pessoais estão envolvidos. Ambos os prazos referenciam os controles A.5.24 e A.5.26 da SoA.

Você: Gere a política de controle de acesso para a CloudSync Solutions.

Agente: Redigi a POL‑003 com regras de acesso para todos os sistemas dentro do escopo. Vou validar.

Princípio do menor privilégio: PASS. Cada sistema tem perfis de acesso definidos por cargo, com justificativa documentada para acessos privilegiados. Contas administrativas do GCP e Okta exigem aprovação do CISO.

Cobertura de revisão de acesso: PASS. Revisões trimestrais programadas para todos os sistemas Tier 1 (GCP, Okta), semestrais para Tier 2 (GitHub, Stripe, Google Workspace).

Consistência com inventário de ativos: WARNING. 16 de 18 ativos possuem controles de acesso mapeados. AST‑015 (Documentação técnica interna) e AST‑017 (Ambiente de staging) ainda não possuem regras de acesso explícitas. Sinalizei para inclusão.

Você: Crie o programa de conscientização e treinamento em segurança da informação.

Agente: Desenhei o programa com 4 trilhas de treinamento segmentadas por público. Vou validar.

Cobertura de público-alvo: PASS. Quatro trilhas definidas: todos os colaboradores (onboarding + anual), equipe de engenharia (desenvolvimento seguro, trimestral), gestão (governança e riscos, semestral) e equipe de suporte (tratamento de dados de clientes, trimestral).

Completude de conteúdo: PASS. Todos os tópicos obrigatórios cobertos — política de segurança da informação, gestão de senhas, phishing, classificação de dados, resposta a incidentes e responsabilidades individuais sob a LGPD.

Rastreamento de cronograma: WARNING. O cronograma do 1T/2026 mostra que o treinamento de onboarding está configurado, mas o primeiro treinamento anual obrigatório ainda não tem data definida. Recomendo agendar para antes da auditoria interna.

Você: Configure o framework de monitoramento e avaliação do nosso ISMS.

Agente: Gerei 8 KPIs alinhados aos objetivos do ISMS definidos no escopo e nas políticas. Vou validar o rastreamento de CAPA.

Geração de KPIs: PASS. Cada KPI tem métrica definida, meta, frequência de medição, fonte de dados e owner responsável. Exemplos: “Porcentagem de revisões de acesso concluídas no prazo” (meta: 100 %, trimestral, fonte: logs de auditoria do Okta, owner: Maria Santos), “Tempo médio para corrigir vulnerabilidades críticas” (meta: <72h, mensal, fonte: alertas de segurança do GitHub, owner: João Silva).

Completude de CAPA: WARNING. Dois dos três achados de auditoria (Finding 01 e Finding 02) possuem registros CAPA completos — causa raiz, ação corretiva, owner, prazo e critérios de efetividade. O Finding 03 (verificação de backups) tem causa raiz e ação corretiva definidos, mas está sem critérios de verificação de efetividade. Sinalizei para completar.

Reconciliação NC–CAPA de auditoria: o reconciliador cruzou o relatório de auditoria interna com o log de CAPA. Todas as 3 NCs de auditoria (NC‑001 a NC‑003) possuem entradas CAPA correspondentes. Ele também verificou os controles reprovados no relatório de monitoramento — a métrica de revisão de acesso (72 % de conclusão vs. meta de 100 %) foi corretamente vinculada à CAPA‑001. Nenhum achado órfão.

Rastreamento de ações corretivas: PASS. Todos os CAPAs têm owners atribuídos e prazos dentro de 90 dias da data do achado.

Você: Defina os objetivos de segurança da informação para a CloudSync Solutions.

Agente: Redigi 6 objetivos de SI alinhados à política e ao contexto de risco. Vou validar.

Alinhamento com política: PASS. Cada objetivo referencia uma seção específica da Política de Segurança da Informação (POL‑001). “Reduzir tempo médio de correção de vulnerabilidades críticas para menos de 72 horas” referencia a seção 6.1 de gestão de riscos.

Mensurabilidade: PASS. Todos os 6 objetivos possuem métricas quantificáveis, metas numéricas, frequência de medição e fonte de dados.

Atribuição de recursos: WARNING. 5 de 6 objetivos têm owner e orçamento definidos. O objetivo “Alcançar 100 % de cobertura de treinamento em SI” está sem estimativa de horas necessárias. Sinalizei para revisão.

Você: Crie o relatório de auditoria interna do nosso ISMS.

Agente: Preparei o plano de auditoria para 20–24 de março de 2026, com Carlos Mendes, do time de Qualidade, como auditor líder. Vou rodar a checagem de imparcialidade.

Validação de imparcialidade: PASS. Carlos Mendes não possui responsabilidades operacionais, de gestão ou de desenho do ISMS — independência confirmada.

Completei o checklist de auditoria para todas as cláusulas e controles do Anexo A. Foram identificados três achados:

Finding 01 (Evidências de revisão de acesso, A.5.15): Não conformidade menor. A Política de Controle de Acesso exige revisões trimestrais, mas não há registros do 1T/2026. Causa raiz: a transição para Okta foi concluída, porém os fluxos de revisão ainda não foram agendados.

Finding 02 (Procedimento de gestão de incidentes, A.5.24): Não conformidade menor. O PROC‑003 está em rascunho e não contempla passos específicos para incidentes em ambiente SaaS.

Finding 03 (Verificação de backups, A.8.13): Não conformidade maior. Existem backups em GCP, mas não há registros de testes de restauração. A suposição de que serviços gerenciados garantem integridade sem verificação manual é insuficiente.

Você: Compile o pacote de insumos para a revisão pela direção.

Agente: Compilei o input pack com referências rastreáveis para todos os artefatos do workspace. O verificador de insumos obrigatórios confirmou que os 10 itens da Cláusula 9.3 estão cobertos.

Também validei que cada ação definida na revisão tem owner, prazo e critério de aceitação — todas as checagens passaram.

Você: Crie o registro de melhoria contínua do nosso ISMS.

Agente: Compilei o registro com 8 oportunidades de melhoria identificadas ao longo do ciclo. Vou validar.

Rastreabilidade de fontes: PASS. Cada oportunidade referencia sua origem — 3 vêm de achados de auditoria interna, 2 da revisão pela direção, 2 da análise de incidentes e 1 do programa de conscientização.

Priorização: PASS. Todas as oportunidades estão classificadas por impacto (Alto/Médio/Baixo) e esforço de implementação, com justificativa documentada.

Validação de status PDCA: WARNING. 6 de 8 oportunidades possuem ciclo PDCA completo — planejamento, execução, verificação e ação definidos. Duas oportunidades recentes (oriundas da revisão pela direção) ainda estão na fase “Plan” sem prazo para a fase “Do”. Sinalizei para definição de cronograma.

Você: Rode o dashboard de rastreabilidade para verificar a consistência geral do ISMS.

Agente: Escaneei o workspace e verifiquei todos os 11 vínculos de rastreabilidade. Eis os resultados.

Progresso de implementação:

• Fase Plan (Cláusulas 4–6): 6/6 documentos completos
• Fase Do (Cláusulas 7–8): 10 políticas encontradas
• Fase Check (Cláusula 9): 2/2 documentos completos
• Fase Act (Cláusula 10): 2/2 documentos completos

Vínculos de rastreabilidade: 9 de 11 vínculos estão plenamente consistentes. 2 alertas encontrados:

1. SoA → Políticas: 3 controles incluídos citam arquivos de evidência que foram modificados após a última atualização da SoA — talvez seja necessário atualizar a SoA para refletir o conteúdo atual das políticas.
2. Tratamento de riscos → Políticas: R‑06 (vulnerabilidades em APIs) tem tratamento “Tratar” com controles A.8.25–A.8.26, mas o Procedimento de Desenvolvimento Seguro que o implementa ainda não existe.

Prontidão para auditoria: 91 % — resolva os 2 alertas antes do Stage 1.

Agente: Completei o registro de riscos com 8 entradas. Rodando a suíte de validação…

O validador de cobertura ativo–risco encontrou uma lacuna: AST‑008 (Cofre de chaves de API, classificado como Confidencial) aparece no inventário de ativos, mas não tem entrada correspondente no registro de riscos. Isso é um sinal vermelho para o auditor — um ativo Confidencial sem avaliação de risco sugere análise incompleta.

Adicionei o risco R‑08: “Extração não autorizada de chaves de API do cofre de segredos” (Probabilidade: 4, Impacto: 5, Score: 20, Tratamento: Tratar, Controles: A.5.17, A.8.24).

Agora rodando o verificador de consistência da SoA com o registro de riscos atualizado…

O verificador confirmou que A.5.17 (Informações de autenticação) e A.8.24 (Uso de criptografia) estão marcados como aplicáveis na SoA — consistente com a nova entrada de risco. Porém, sinalizou que o campo de evidência de implementação de A.8.24 contém “[TBD]” — um placeholder que precisa ser substituído por uma referência real de política.

Atualizei a evidência de A.8.24 para referenciar a “Seção de Controles Criptográficos” na Política de Segurança da Informação. Rodando novamente… PASS.