A ISO 27001 era, até há poucos anos, território quase exclusivo de grandes empresas com departamentos de segurança dedicados. Esse cenário mudou. Hoje, clientes corporativos, contratos com o estado e parcerias internacionais exigem cada vez mais a certificação ISO 27001 como condição de entrada — e as PMEs que não a têm ficam fora de processos de negócio relevantes.
A boa notícia é que implementar ISO 27001 numa PME sem equipa de segurança dedicada é possível. Exige estrutura, comprometimento da gestão e algum investimento — mas está ao alcance de organizações de qualquer dimensão.
O que é ISO 27001 e por que PMEs estão a certificar-se
A ISO/IEC 27001 é a norma internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Define os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação no contexto da organização.
Ao contrário do que muitos pensam, a ISO 27001 não define quais as medidas técnicas de segurança que a empresa deve implementar. Define um framework de gestão que garante que a empresa: identifica os riscos de segurança relevantes, implementa controlos adequados para mitigar esses riscos, monitoriza a eficácia dos controlos, e melhora continuamente.
As razões pelas quais PMEs em Portugal procuram certificação: exigência de clientes corporativos ou do estado como condição de contrato, diferenciação competitiva em processos de venda, requisitos de parceiros internacionais, e melhoria genuína da postura de segurança.
O que a norma exige na prática
A ISO 27001:2022 (versão mais recente) organiza os seus requisitos em 4 cláusulas principais de gestão e 93 controlos de segurança agrupados em 4 temas. A empresa não tem de implementar todos os 93 controlos — tem de justificar porque exclui os que não aplica (através da Declaração de Aplicabilidade).
| Tema | Número de controlos | Exemplos de controlos |
| Controlos organizacionais | 37 | Políticas de segurança, gestão de activos, gestão de incidentes |
| Controlos de pessoas | 8 | Formação, consciencialização, acordos de confidencialidade |
| Controlos físicos | 14 | Controlo de acesso físico, segurança de equipamentos |
| Controlos tecnológicos | 34 | Controlo de acesso lógico, encriptação, backup, logs |
As 4 fases de implementação numa PME
Fase 1: Contexto e planeamento (4-8 semanas)
Definir o âmbito do SGSI (que partes da organização e que informação estão incluídas), identificar as partes interessadas e os seus requisitos, e realizar a avaliação de risco inicial. A avaliação de risco é o coração da ISO 27001: identificar os activos de informação, as ameaças, as vulnerabilidades e o impacto potencial de cada risco.
Fase 2: Implementação de controlos (3-6 meses)
Com base na avaliação de risco, seleccionar e implementar os controlos adequados. Para cada controlo seleccionado, documentar como é implementado e monitorizado. Esta fase inclui a criação de políticas e procedimentos, implementação de controlos técnicos, e formação dos colaboradores.
Fase 3: Operação e monitorização (2-3 meses)
Operar o SGSI, recolher evidências de funcionamento, realizar auditorias internas, e conduzir a revisão pela gestão. As auditorias internas são obrigatórias e servem para identificar não-conformidades antes da auditoria de certificação.
Fase 4: Auditoria de certificação (1-2 meses)
A certificação é realizada por um organismo de certificação acreditado (em Portugal: SGS, Bureau Veritas, Lloyd’s Register, entre outros). A auditoria tem duas fases: revisão documental (análise da documentação do SGSI) e auditoria de terreno (verificação da implementação real dos controlos). Após certificação bem-sucedida, a empresa recebe o certificado ISO 27001 com validade de 3 anos, sujeito a auditorias de manutenção anuais.
Quanto tempo e dinheiro custa (números reais para Portugal)
A implementação de ISO 27001 numa PME de 20 a 100 colaboradores em Portugal envolve custos que variam significativamente com a maturidade de segurança existente e a opção de usar consultoria externa ou implementação interna.
| Componente de custo | Implementação interna | Com consultoria externa |
| Horas de trabalho interno | 200-400 horas | 80-150 horas |
| Consultoria externa | Não aplicável | 8.000-20.000€ |
| Ferramentas e software de SGSI | 500-2.000€ | 500-2.000€ |
| Formação da equipa | 500-1.500€ | 500-1.500€ |
| Auditoria de certificação | 3.000-6.000€ | 3.000-6.000€ |
| Total estimado | 4.000-10.000€ + tempo interno | 12.000-30.000€ |
| Manutenção anual (auditoria) | 1.500-3.000€ | 1.500-3.000€ |
Como fazer sem equipa dedicada de segurança
O elemento crítico para implementar ISO 27001 sem equipa de segurança dedicada é o comprometimento da gestão de topo. A norma exige evidência de comprometimento da liderança — não é burocracia vazia, é a condição para que o SGSI funcione.
O modelo mais comum em PMEs: designar um responsável interno de segurança (pode ser o gestor de TI ou um gestor de área) com 20-30% do tempo dedicado ao SGSI durante a implementação, suportado por consultoria externa para o trabalho especializado e a preparação para auditoria.
Ferramentas que simplificam a gestão documental do SGSI sem plataformas caras: Notion, Confluence, ou SharePoint para gestão de políticas e evidências. Uma folha de cálculo bem estruturada para o registo de riscos e controlos.
Manter a certificação: o dia a dia após o audit
A certificação é renovada trienalmente, com auditorias de vigilância anuais. Manter a certificação exige: revisão anual da avaliação de risco, auditorias internas anuais, tratamento de não-conformidades identificadas, revisão da gestão anual documentada, e actualização de políticas quando ocorrem mudanças relevantes.
Para PMEs, o esforço de manutenção após o primeiro ano de implementação é significativamente inferior ao de implementação — tipicamente 2 a 4 dias de trabalho por ano de pessoal interno, mais a auditoria de vigilância.
>>> Avalie com a JL Suporte & Consultoria o gap da sua empresa para ISO 27001 — análise inicial gratuita com identificação das principais áreas de trabalho. Contacte-nos.
