PROCURAR
Ligamos para você

Explore nossos conteúdos

RECOLHER MENU

Adm/Financeiro

Marketing e Vendas

Operações

RH

TI

TOTVS > Blog > ISO 27002: conheça a norma de segurança da informação e como aplicá-la na prática

ISO 27002: conheça a norma de segurança da informação e como aplicá-la na prática

Imagem de relógio para tempo de leitura.

Tempo de leitura: 12 minutos

Escrito por Equipe TOTVS
Última atualização em 27 outubro, 2025

A ISO 27002 é uma das normas mais importantes quando o assunto é segurança da informação — e pode ser o grande diferencial para manter os dados da sua empresa protegidos.

Imagine ter que lidar com o vazamento de dados confidenciais de clientes. 

O prejuízo aqui vai muito além do financeiro. A reputação, a confiança do mercado e até a continuidade do negócio estariam em jogo nesse caso.

Para evitar esse risco, a norma 27002 traz diretrizes claras e práticas de controle que fortalecem a governança de dados. 

Quer saber mais sobre ela? É só seguir a leitura para conferir seus objetivos, benefícios, principais pontos e como implementá-la de forma estratégica no seu negócio.

O que é a ISO 27002?

A ISO/IEC 27002, ou simplesmente ISO 27002, é uma norma técnica  internacional que reúne diretrizes e boas práticas para a gestão da segurança da informação dentro das empresas. 

Ela funciona como um verdadeiro guia, trazendo recomendações para a implementação de controles destinados à proteção de dados contra ameaças internas e externas.

Por isso, é um pilar importante no combate a problemas de cibersegurança, como fraudes e vazamento de informações sensíveis.

Desenvolvida pela ISO (Organização Internacional para Normalização) e pela IEC (Comissão Eletrotécnica Internacional), essa norma apoia a implantação e manutenção do SGSI (Sistema de Gestão de Segurança da Informação).

No Brasil, a norma foi publicada pela ABNT (Associação Brasileira de Normas Técnicas), na versão ABNT NBR ISO/IEC 27002.

Qual a diferença entre as normas ISO 27001 e 27002?

As normas ISO 27001 e 27002 são complementares. Enquanto a primeira define os requisitos para estruturar um SGSI, a segunda apresenta as diretrizes necessárias para a implementação da ISO 27001 no dia a dia.

Ou seja, a ISO 27001 indica “o que precisa ser feito”, já a ISO/IEC 27002 detalha “como colocar em prática” esses controles que garantem a segurança da informação.

Vamos entender melhor as diferenças entre as duas:

AspectoISO 27001ISO 27002
ObjetivoDefinir requisitos para criar e manter um SGSI.Fornecer boas práticas e diretrizes para aplicação dos controles de segurança.
CertificaçãoÉ certificável por órgãos credenciados.Não é certificável. Essa norma atua como guia de referência.
Nível de detalheFocado em requisitos gerais de gestão do SGSI.Mais detalhado, com descrição de controles e orientações práticas.
AplicaçõesUsado por empresas que buscam comprovar conformidade em segurança da informação.Usado como suporte prático para implementação da ISO 27001.
PapelDefine o “o quê” deve ser feito.Explica “como” implementar os controles de forma eficaz.

Quais são os objetivos da ISO 27002?

O principal objetivo da norma é orientar as empresas na implementação de controles de segurança da informação. O foco é garantir a confidencialidade, a integridade e a disponibilidade dos dados.

Além de apoiar a ISO 27001, a norma ISO 27002 busca:

  • Proteger informações contra acessos não autorizados;
  • Estabelecer práticas para a gestão de riscos e vulnerabilidades;
  • Apoiar a conformidade com legislações e regulamentações vigentes;
  • Promover uma cultura organizacional orientada à segurança da informação;
  • Reduzir a probabilidade de incidentes de segurança e minimizar seus impactos.

Na prática, esses objetivos ajudam a padronizar os controles de segurança, o que contribui diretamente para a confiabilidade e proteção dos dados.

Quais são os principais controles da ISO 27002?

A versão mais recente da ISO/IEC 27002 estabeleceu 93 controles, organizados em quatro domínios principais: físicos, tecnológicos, de pessoas e organizacionais

Cada grupo foca em um aspecto específico da segurança da informação, o que torna o guia mais prático e facilita a implementação das diretrizes apresentadas pela norma.

Entre as principais áreas de controle detalhadas estão:

  • Criptografia;
  • Gestão de ativos;
  • Controle de acessos;
  • Continuidade do negócio;
  • Segurança física e do ambiente;
  • Gestão de incidentes de segurança;
  • Aquisição e manutenção de sistemas;
  • Políticas de segurança da informação;
  • Conformidade com a legislação vigente;
  • Segurança operacional e das comunicações.

A lista de controles é extensa, mas reunimos os principais pontos de cada um dos quatro domínios para compartilhar com você. Confira quais são eles a seguir:

1. Controles físicos

A norma define 14 controles físicos, que se relacionam à proteção de estruturas, objetos e do ambiente físico. Os principais pontos deste domínio são:

  • Proteção de instalações contra acesso não autorizado;
  • Controle de entrada e saída de equipamentos e documentos;
  • Monitoramento de áreas críticas com dispositivos de segurança.

2. Controles tecnológicos

No domínio tecnológico, a ISO 27002 estabelece 34 controles voltados à segurança de sistemas e dados. As diretrizes englobam medidas ligadas à:

  • Monitoramento e registro de logs de sistemas;
  • Uso de backups e planos de recuperação de desastres;
  • Implementação de criptografia e autenticação multifator;
  • Proteção contra malwares e vulnerabilidades conhecidas.

3. Controles de pessoas

Já na categoria de pessoas, a norma técnica apresenta 8 controles, que envolvem funções de segurança realizadas pelo pessoal da empresa ou terceiros. 

As medidas se referem à ações como:

  • Gestão de acessos baseada em cargos e responsabilidades;
  • Conscientização e treinamentos recorrentes sobre segurança da informação;
  • Processos de desligamento, com encerramento de acessos e devolução de equipamentos, para evitar riscos de acessos indevidos por ex-funcionários.

4. Controles organizacionais

Os controles organizacionais são todos que não se encaixam nas outras categorias e envolvem 37 controles, que se relacionam a medidas como:

  • Gestão de riscos alinhada aos objetivos da empresa;
  • Regras para classificação e tratamento da informação;
  • Planejamento para resposta a incidentes de segurança;
  • Definição de políticas claras de segurança da informação.

Para conferir em detalhes os 93 controles e a norma completa é preciso adquiri-la por meio de órgãos oficiais, como a ISO

Em que ano a norma ISO 27002 foi atualizada?

A ISO 27002 foi atualizada em 2022, substituindo a versão anterior de 2013. A principal mudança foi em relação ao número de controles apresentados, que foram reduzidos de 114 para 93.

Outro ajuste importante foi a divisão dos controles em domínios, como explicamos anteriormente — agora são divididos em controles organizacionais, de pessoas, físicos e tecnológicos.

O foco da mudança foi tornar o guia mais claro para a implementação da ISO 27001, assim como trazer controles mais modernos. 

Por isso, a versão atual inclui diretrizes voltadas a temáticas como segurança em nuvem, proteção de dados pessoais sensíveis e prevenção contra ameaças cibernéticas.

Quais os benefícios de implementar a ISO 27002?

Ao adotar as boas práticas definidas pela norma ISO/IEC 27002, você fortalece a estrutura de segurança da informação na empresa, aumenta a cibersegurança e previne riscos digitais.

Para entender a importância disso, basta avaliar o cenário de ameaças cibernéticas no Brasil.

Segundo pesquisa do INCC (Instituto Nacional de Combate ao Cibercrime), publicada pelo Ministério Público do Estado do Mato Grosso, ataques cibernéticos causaram prejuízos de R$ 2,3 trilhões no país em 2024.

O valor equivale a cerca de 18% do PIB nacional.

Outro estudo, divulgado pela CNN, mostra que 48% das empresas devem sofrer um ataque de alto impacto por hackers até 2028. 

Esses dados reforçam que, mais do que nunca, é preciso investir em segurança da informação.

Com a implementação das diretrizes da norma ISO 27002, é possível observar benefícios além da redução de riscos cibernéticos, como:

  • Redução de vulnerabilidades;
  • Melhoria da confiança junto a clientes e parceiros;
  • Conformidade com legislações e normas de mercado;
  • Maior proteção a dados sensíveis e informações críticas;
  • Apoio à continuidade dos negócios mesmo em cenários de crise.

ISO 27002 e LGPD: qual a relação?

É impossível falar em segurança da informação e proteção de dados sem falar sobre a LGPD (Lei Geral de Proteção de Dados). Por isso, a ISO/IEC 27002 se relaciona diretamente com ela.

A LGPD estabelece princípios e requisitos legais para o tratamento adequado de informações pessoais, enquanto a ISO 27002 apresenta um conjunto de boas práticas que ajudam as empresas a cumprir essas regras na prática

Ou seja, a norma da ISO traz um guia para a implementação de processos seguros, garantindo a conformidade com a LGPD. 

Para entender mais sobre essa relação, vale a pena conferir o nosso vídeo sobre segurança de dados e LGPD:

Como implementar a ISO 27002 na sua empresa?

O processo de implementação da ISO/IEC 27002 não se limita a adotar todos os controles descritos na norma. É preciso integrar esses controles à realidade da empresa, entendendo como eles se encaixam da melhor maneira possível na operação.

Vale destacar que a função da norma é orientar, mas você pode (e deve) adaptar os controles conforme o tamanho, o segmento de atuação e as necessidades específicas do seu negócio. 

Para facilitar a aplicação dos controles, confira as dicas abaixo.

Identifique os ativos e analise riscos

O primeiro passo é mapear os ativos de informação da organização, incluindo dados, sistemas, redes, equipamentos e documentos. 

A partir dessa identificação, faça uma análise dos riscos de cada ativo. Essa análise deve considerar tanto riscos internos, como gargalos em processos e falhas humanas, quanto riscos externos, como violação de dados e ataques cibernéticos.

Essas informações servirão como base para a escolha dos controles mais adequados para a sua empresa. Portanto, quanto mais detalhada a análise, melhor. 

Adapte os controles ao contexto da empresa

Como vimos, a norma técnica traz 93 controles de segurança, mas isso não significa que você precisa adotar todos eles de forma padronizada.

O ideal é que você avalie e escolha os melhores conforme o contexto do seu negócio, considerando fatores como riscos, porte e setor de atuação. 

Dessa forma, é possível criar um sistema de segurança personalizado, capaz de atender as reais demandas da sua operação.

Defina políticas e procedimentos internos

Com a definição dos controles, é importante criar uma política de segurança da informação da ISO 27002.

Nela, é necessário descrever as diretrizes sobre como os colaboradores devem lidar com dados, acessos, dispositivos e incidentes.

Isso facilita a implementação dos controles, transformando o plano em ações práticas no dia a dia da empresa. 

Capacite e engaje a equipe

Para que os controles técnicos sejam eficientes, é preciso conscientizar e preparar a equipe. Todos devem entender a importância da proteção de dados e saber como aplicar as ações para promovê-la na prática. 

Treinar os colaboradores sobre boas práticas de segurança, riscos comuns e responsabilidades individuais é essencial nesse processo. 

Monitore os controles implementados

Durante a implementação, defina indicadores para acompanhar de perto a evolução e o desempenho dos controles. 

Além dos indicadores, faça auditorias internas e revisões periódicas para avaliar os resultados das ações implementadas.

Isso permite identificar vulnerabilidades rapidamente, corrigir falhas e manter o sistema de gestão da segurança sempre atualizado. 

Como o TOTVS Assinatura Eletrônica contribui para a conformidade com as normas técnicas?

Entre os controles previstos na ISO 27002, a gestão de documentos e a garantia de autenticidade das informações são aspectos centrais. 

Nesse cenário, o sistema TOTVS Assinatura Eletrônica entra em ação para facilitar a rotina de assinatura e garantir maior segurança da informação na sua empresa.

A solução permite assinar contratos e registros digitais de forma segura, com validade jurídica e rastreabilidade completa, o que reduz riscos de fraude e garante a integridade dos dados. 

Além de simplificar processos burocráticos, o sistema fortalece a governança da informação — elemento fundamental para a gestão de uma boa política de segurança. 

Conheça os benefícios do sistema e descubra como o TOTVS Assinatura Eletrônica pode elevar o nível de conformidade da sua empresa. 

Conclusão

A ISO 27002 serve como um guia técnico para proteger seus ativos, reduzir riscos e construir um sistema de gestão de segurança da informação eficiente.

Como vimos, a norma traz diferentes controles que podem ser aplicados no dia a dia da sua operação para colocar em prática as diretrizes previstas no ISO 27001— norma responsável por monitorar a gestão de segurança da informação.

Ao implementar os controles previstos pela norma, sobre os quais falamos ao longo deste conteúdo, o seu negócio fortalece a governança da informação, melhora processos internos e mantém a conformidade com exigências legais, como a LGPD.

Esse é um passo essencial, especialmente diante de um contexto em que ataques cibernéticos são comuns e geram altos prejuízos às empresas brasileiras.

Aproveite para saber mais sobre o assunto com o nosso conteúdo sobre governança de dados.

Artigos Relacionados

Plataformas de assinatura digital: as melhores opções do mercado
Continue Lendo
Quais são os principais fatores internos e externos de uma empresa e como eles afetam seu negócio?
Continue Lendo
Marketing escolar: estratégias para atrair e fidelizar alunos na sua instituição
Continue Lendo
Tecnologia no agronegócio: o que é e como aplicar na sua fazenda
Continue Lendo
Otimização de rotas: como funciona, benefícios e tecnologias para o setor logístico
Continue Lendo
Registro ANP: o que é, para que serve e como manter seu posto em conformidade
Continue Lendo

Deixe aqui seu comentário

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


X

Usamos cookies para fornecer os recursos e serviços oferecidos em nosso site para melhorar a experência do usuário. Ao continuar navegando neste site, você concorda com o uso destes cookies. Leia nossa Política de Cookies para saber mais.