A maioria das organizações não falha em projetos ISO por causa de controlos ou documentação. Falham porque não compreendem a relação entre as normas.
ISO 27001, 27002, 27005, 31000 e agora 42001 parecem todas relacionadas; mas cada uma desempenha um papel diferente. Confundi-las destrói a governação. Mapeá-las corretamente simplifica tudo.
Aqui está o mapa rigoroso e testado em campo da selva ISO.
As normas ISO não são livros concorrentes. Formam um sistema de governação, cada uma cobrindo uma camada diferente:
- 27001 → os requisitos
- 27002 → o guia de implementação
- 27005 → a metodologia de risco
- 31000 → a filosofia de risco empresarial
- 42001 → requisitos de governação de IA
Assim que se compreende esta hierarquia, a ISO deixa de ser burocracia e torna-se um modelo para a segurança, o risco e a governação de IA.
1. ISO 27001: Os Requisitos Centrais (O "O Quê")
ISO 27001 é a sua âncora. Define o que o seu Sistema de Gestão de Segurança da Informação (SGSI) deve alcançar.
Fornece:
- Cláusulas (4–10) = requisitos de governação
- Anexo A = conjunto de controlos de referência
- Critérios de certificação
- A estrutura obrigatória do sistema de gestão
O que NÃO fornece:
- Como implementar os controlos
- A profundidade de cada controlo
- Uma metodologia de risco
- Orientação técnica
É por isso que existem outras normas em torno dela.
Pense na 27001 como o esqueleto.
2. ISO 27002: O Manual de Implementação (O "Como")
ISO 27002 não é uma norma de certificação. É a orientação detalhada de controlos que suporta o Anexo A da 27001.
Cada controlo da 27001 → explicado na 27002.
O que a 27002 fornece:
- Objetivos de controlo
- Orientação de implementação
- Expectativas de maturidade
- Exemplos
- Alinhamento com outros referenciais (NIST, CIS, cloud, SaaS)
O que a 27002 NÃO fornece:
- Requisitos de governação
- Metodologia de risco
- Critérios de conformidade
A 27002 é a sua caixa de ferramentas.A 27001 é o seu regulamento.
3. ISO 27005: O Motor de Risco (O "Como Pensar Sobre o Risco")
ISO 27001 exige que realize avaliações de risco; mas não diz como.
ISO 27005 preenche essa lacuna.
A 27005 fornece:
- Uma metodologia completa de gestão de risco
- Etapas para identificação de riscos
- Modelos de impacto/probabilidade
- Opções de tratamento
- Monitorização contínua do risco
- Alinhamento com a Cláusula 6 e a Cláusula 8 da 27001
Porque é relevante na prática:
Se a avaliação de risco for fraca, todo o SGSI colapsa em auditoria.
27005 = o cérebro do SGSI.
4. ISO 31000: A Filosofia de Governação do Risco (O "Porquê")
ISO 31000 não é específica para a cibersegurança. É a norma global para a gestão de risco empresarial.
As organizações utilizam a 31000 para:
- alinhar o risco cibernético com o risco empresarial
- construir uma taxonomia de risco consistente
- normalizar a governação
- definir apetite e tolerância ao risco
- ligar risco de negócio → risco TIC → risco operacional
Em termos simples:
27005 = método de risco operacional 31000 = cultura de risco empresarial
A 27005 é o seu método. A 31000 é a sua mentalidade.
5. ISO 42001: O Novo Sistema de Governação de IA (O "SGSI de IA")
ISO 42001 é a primeira norma global de sistema de gestão de IA. Funciona como a ISO 27001, mas para a governação de IA.
O que a 42001 introduz:
- Métodos de avaliação de risco de IA
- Governação de dados e qualidade de conjuntos de dados
- Controlos do ciclo de vida dos modelos
- Requisitos de supervisão humana
- Monitorização de viés e desvio
- Governação de fornecedores de IA
- Gestão de incidentes em falhas de IA
- Documentação para explicabilidade
- Alinhamento com o AI Act da UE
A 42001 é a ponte entre o GRC e o desenvolvimento de IA.
Como a 42001 se insere na selva ISO:
- 27001 → segurança da informação
- 42001 → governação da inteligência
Em conjunto: a organização torna-se segura, resiliente E responsável pela IA.
6. O Mapa Real: Como Cada Norma Interage
Aqui está o modelo mental claro utilizado pelos melhores líderes de GRC:
Camada 1: Referencial de Governação
ISO 27001 → Segurança da Informação ISO 42001 → Governação de IA
Estas definem os requisitos e formam a espinha dorsal certificável.
Camada 2: Orientação de Implementação
ISO 27002 → Como implementar os controlos do Anexo A (segurança) Anexos da ISO 42001 → Como operar a governação de IA
Estes são os manuais.
Camada 3: Metodologia de Risco
ISO 27005 → Método de risco operacional para segurança ISO 31000 → Princípios de risco transversais à empresa
Estes são os motores de risco.
Camada 4: Controlos, Evidências e Garantia
Todas as normas alimentam:
- políticas
- procedimentos
- evidências
- registos de risco
- trilhos de auditoria
- monitorização contínua
Este é o sistema em funcionamento.
7. A Conclusão Prática: O Que Aplicar de Facto
Eis como as equipas de GRC devem utilizar as normas no dia a dia:
- Utilize a 27001 como modelo de governação
- Utilize a 27002 para definir os seus controlos
- Utilize a 27005 para conduzir as avaliações de risco
- Utilize a 31000 para alinhar o risco cibernético com o risco empresarial
- Utilize a 42001 para preparar as obrigações do AI Act
Isto proporciona um modelo de governação unificado que funciona para auditorias ISO, NIS2, DORA, GDPR e AI Act.
Consideração Final
A selva ISO parece complicada até se compreender uma verdade:
A 27001 e a 42001 dizem-lhe o que construir.A 27002 e a 27005 dizem-lhe como construí-lo.A 31000 diz-lhe porque é que isso importa.
Domine este mapa e a ISO deixa de ser um labirinto; torna-se um motor de governação que escala com o seu negócio, os seus riscos e as suas ambições em IA.
Se pretende dominar ISO 27001, 27002, 27005, 31000 e 42001 e construir um sistema de governação unificado, preparado para NIS2, DORA, GDPR e AI Act, é exatamente isso que ensinamos nos programas de certificação PECB da Cyber Academy.