Quanto custa implementar e certificar a ISO 27001?
Resposta direta
Implementar e certificar a ISO 27001 custa entre R$ 80 mil e R$ 600 mil, dependendo do porte da organização. Pequenas empresas (até 50 colaboradores) ficam na faixa de R$ 80 mil a R$ 180 mil; médias (50–500 colaboradores), entre R$ 180 mil e R$ 350 mil; e grandes organizações, acima de R$ 350 mil. O ciclo completo — do gap assessment à emissão do certificado — leva tipicamente de 6 a 12 meses.
Em resumo
- ›O custo total é composto por quatro grandes blocos: consultoria de implementação, ferramentas e controles técnicos, horas internas da equipe e auditoria de certificação por organismo acreditado.
- ›A ISO 27001:2022 revisou o Anexo A para 93 controles (eram 114 na edição de 2013), organizados em quatro temas: organizacionais, pessoais, físicos e tecnológicos.
- ›O gap assessment é a etapa inicial mais crítica: organizações sem um SGSI (Sistema de Gestão de Segurança da Informação) estruturado tendem a ter projetos 40–60% mais longos e caros.
- ›A manutenção anual e a recertificação a cada três anos representam custo recorrente relevante — em geral, de 20% a 35% do investimento inicial.
- ›Horas internas de colaboradores (líder do projeto, TI, jurídico, RH) costumam ser subestimadas e podem representar de 30% a 50% do esforço total medido em horas-homem.
- ›Escolher um organismo de certificação acreditado pelo INMETRO (no Brasil) ou por membros do IAF é requisito para que o certificado seja reconhecido internacionalmente.
O que compõe o custo da ISO 27001
A certificação ISO 27001 não é um produto de prateleira — é o resultado de um projeto de gestão que envolve diagnóstico, implementação de controles, documentação, treinamento e auditoria independente. Ignorar qualquer uma dessas camadas é a principal razão pela qual organizações chegam à auditoria de certificação despreparadas e precisam adiar o processo.
Os custos se distribuem em quatro grandes blocos: (1) consultoria especializada de implementação, que guia a organização desde o gap assessment até a auditoria; (2) ferramentas e controles técnicos, como plataformas de GRC, soluções de monitoramento, criptografia, backup e gestão de vulnerabilidades; (3) horas internas, o tempo que colaboradores das áreas de TI, jurídico, RH e liderança dedicam ao projeto; e (4) a própria auditoria de certificação, dividida em Estágio 1 (análise documental) e Estágio 2 (auditoria in loco), executada por um organismo acreditado.
Além do ciclo inicial, a norma exige auditorias de vigilância anuais e recertificação completa ao fim de três anos — custos que devem entrar no planejamento financeiro desde o início do projeto.
Tabela de itens de custo por porte de empresa
A tabela abaixo apresenta as faixas de mercado praticadas no Brasil em 2024–2025. Os valores são estimativas de referência com base em benchmarks públicos, projetos nacionais e cotações típicas de organismos certificadores. Cada projeto tem suas particularidades — escopo do SGSI, número de localidades, complexidade regulatória e maturidade prévia da organização.
| Item de custo | Pequena empresa (≤50 col.) | Média empresa (51–500 col.) | Grande empresa (>500 col.) | |---|---|---|---| | Gap assessment | R$ 8.000–18.000 | R$ 18.000–40.000 | R$ 40.000–90.000 | | Consultoria de implementação | R$ 30.000–80.000 | R$ 80.000–180.000 | R$ 180.000–400.000 | | Ferramentas e controles técnicos | R$ 10.000–30.000/ano | R$ 30.000–80.000/ano | R$ 80.000–200.000/ano | | Horas internas (estimativa custo oportunidade) | R$ 15.000–40.000 | R$ 40.000–90.000 | R$ 90.000–250.000 | | Auditoria de certificação (Estágios 1 e 2) | R$ 15.000–30.000 | R$ 30.000–60.000 | R$ 60.000–120.000 | | Manutenção anual (vigilância + recertificação) | R$ 12.000–25.000/ano | R$ 25.000–55.000/ano | R$ 55.000–130.000/ano | | **Total estimado (ciclo inicial)** | **R$ 80.000–180.000** | **R$ 180.000–350.000** | **R$ 350.000–600.000+** |
Valores em reais (BRL). Ferramentas open-source e reaproveitamento de controles já existentes podem reduzir significativamente os custos de tecnologia. Organizações com certificações anteriores (SOC 2, PCI DSS, ISO 9001) tendem a ter menor esforço de implementação.
Descubra exatamente onde sua empresa está em relação aos 93 controles da ISO 27001:2022 — faça agora um diagnóstico gratuito com os especialistas da Decripte.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
O que encarece o projeto de certificação
Vários fatores elevam o custo e o prazo além das faixas típicas. O principal é a ausência de maturidade prévia em gestão de segurança: organizações sem políticas documentadas, sem inventário de ativos e sem processos de gestão de riscos partem praticamente do zero, o que amplia o escopo de consultoria e as horas internas.
Múltiplas localidades ou unidades de negócio aumentam o escopo da auditoria de certificação — cada localização adicional implica em dias de auditoria adicionais cobrados pelo organismo certificador. O mesmo vale para ambientes de nuvem híbrida ou multicloud: os controles precisam ser mapeados e evidenciados em cada provedor.
Setores com obrigações regulatórias sobrepostas (financeiro com BACEN, saúde com LGPD e CFM, defesa) exigem atenção especial ao mapeamento de requisitos legais — item obrigatório da ISO 27001 —, o que estende o trabalho jurídico e de compliance. Rotatividade de pessoal durante o projeto é outro fator silencioso: trocar o líder do SGSI a meio caminho pode atrasar a certificação em meses.
Por fim, organismos certificadores internacionais com presença global (BSI, Bureau Veritas, DNV, SGS, TÜV) costumam cobrar mais do que certificadoras nacionais, mas oferecem reconhecimento mais amplo em cadeias de suprimentos globais.
A ISO 27001:2022 e o Anexo A revisado
A edição vigente da norma é a ISO/IEC 27001:2022, publicada em outubro de 2022 e adaptada pela ABNT como ABNT NBR ISO/IEC 27001:2023. Organizações certificadas na versão 2013 têm prazo até outubro de 2025 para migrar — projetos iniciados hoje devem necessariamente seguir a versão 2022.
A principal mudança está no Anexo A: os controles foram reorganizados de 14 cláusulas e 114 controles para 4 temas e 93 controles. Os quatro temas são: controles organizacionais (37), controles de pessoas (8), controles físicos (14) e controles tecnológicos (34). Onze controles são completamente novos na edição 2022, incluindo inteligência de ameaças, segurança em serviços de nuvem, continuidade de TIC, monitoramento de atividades físicas e gestão de configuração.
A estrutura de alto nível (Annex SL / Harmonized Structure) foi mantida, o que facilita a integração com outras normas ISO de gestão, como a ISO 9001 e a ISO 22301. Para efeitos de orçamento, a migração de 2013 para 2022 geralmente representa 20–40% do esforço do projeto original, dependendo do grau de atualização dos controles existentes.
Sem cartão, sem compromisso — entenda o seu risco real antes de investir.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Prazo típico e fases do projeto
O ciclo completo de implementação e certificação leva tipicamente de 6 a 12 meses para pequenas e médias empresas com suporte de consultoria dedicada. Grandes organizações ou ambientes de alta complexidade podem levar de 12 a 18 meses. Tentativas de comprimir o prazo abaixo de 6 meses costumam resultar em não conformidades identificadas na auditoria de Estágio 2.
O prazo é fortemente influenciado pelo ritmo de aprovação interna de políticas, pela disponibilidade dos gestores de área para entrevistas e pela velocidade de implementação de controles técnicos. Ter um líder de projeto dedicado — mesmo que parcialmente — é o fator individual com maior impacto positivo no prazo.
A auditoria de Estágio 1 pode ser conduzida de forma remota em muitos casos, o que reduz custos de deslocamento. O Estágio 2 normalmente exige presença do auditor nas instalações, salvo exceções acordadas com o organismo certificador.
Como reduzir custos sem comprometer a certificação
A primeira alavanca de economia é o gap assessment bem feito: conhecer exatamente onde a organização está em relação aos 93 controles do Anexo A permite priorizar esforços e evitar trabalho desnecessário. Organizações que pulam essa etapa para economizar invariavelmente descobrem lacunas críticas tarde demais, no pior momento.
A segunda alavanca é o reaproveitamento de controles existentes. Empresas com políticas de RH estruturadas, gestão de fornecedores documentada e processos de backup já em operação têm parte do trabalho feita. Um bom consultor mapeia essas evidências antes de propor novos documentos.
A terceira alavanca é a escolha criteriosa de ferramentas. Plataformas de GRC open-source (como Eramba ou ISMS.online em nível de entrada) podem substituir soluções Enterprise caras quando o escopo é limitado. Para controles técnicos, ferramentas já contratadas — como suítes Microsoft 365 com recursos de DLP e proteção de identidade — frequentemente cobrem dezenas de controles do Anexo A sem custo adicional.
Por fim, negociar o escopo do SGSI antes de começar é fundamental. A norma permite delimitar o escopo à unidade de negócio, ao produto ou ao processo que precisa ser certificado — não é obrigatório certificar toda a organização. Um escopo menor reduz custo de auditoria e complexidade de implementação, podendo ser expandido em ciclos subsequentes.
Termos-chave
- SGSI
- Sistema de Gestão de Segurança da Informação. Conjunto de políticas, processos, procedimentos, controles e recursos que uma organização estabelece para proteger suas informações. A ISO 27001 especifica os requisitos para implementar, manter e melhorar continuamente um SGSI.
- Gap Assessment
- Diagnóstico inicial que compara o estado atual da organização com os requisitos da ISO 27001. Identifica lacunas (gaps) entre o que existe e o que é necessário, gerando um plano de trabalho priorizado. É o ponto de partida de qualquer projeto de certificação.
- Organismo de Certificação Acreditado
- Entidade independente autorizada a auditar e emitir certificados ISO 27001. No Brasil, os organismos são acreditados pelo INMETRO (membro do IAF — International Accreditation Forum). Certificados emitidos por organismos não acreditados não têm reconhecimento internacional.
- Anexo A
- Parte normativa da ISO 27001 que lista os controles de segurança da informação que a organização deve considerar ao tratar riscos. Na versão 2022, contém 93 controles organizados em quatro temas: organizacionais, de pessoas, físicos e tecnológicos.
Como decidir e contratar bem
- Defina o escopo do SGSI. Determine quais unidades de negócio, processos, localidades e sistemas estarão dentro do SGSI. Um escopo bem definido evita expansão descontrolada do projeto e reduz o custo da auditoria de certificação.
- Realize o gap assessment. Contrate um consultor especializado ou utilize um questionário baseado nos 93 controles do Anexo A da ISO 27001:2022 para mapear o estado atual da organização. O resultado é uma lista priorizada de lacunas e um plano de projeto com estimativa de esforço e custo.
- Implemente os controles e a documentação. Execute o plano de trabalho: desenvolva políticas, procedimentos e planos exigidos pela norma; implemente controles técnicos; conduza treinamentos de conscientização; e estabeleça processos de gestão de riscos, gestão de ativos e resposta a incidentes.
- Conduza auditorias internas. Realize pelo menos um ciclo completo de auditoria interna antes da auditoria de certificação. O objetivo é identificar não conformidades e oportunidades de melhoria com tempo suficiente para corrigi-las. A norma exige evidências de auditorias internas conduzidas por pessoal competente e imparcial.
- Escolha o organismo certificador e agende a auditoria de Estágio 1. Solicite propostas de pelo menos dois organismos acreditados pelo INMETRO (ou membro IAF para reconhecimento internacional). O Estágio 1 é uma revisão documental — o auditor verifica se a documentação do SGSI está completa e se a organização está pronta para o Estágio 2.
- Passe pela auditoria de Estágio 2 (certificação). O auditor visita as instalações (ou conduz sessões remotas para parte do escopo) e verifica se os controles documentados estão efetivamente implementados e operando. Não conformidades maiores impedem a certificação; não conformidades menores devem ser tratadas dentro de um prazo acordado.
- Mantenha o ciclo de melhoria contínua. Após a emissão do certificado, o SGSI precisa ser mantido e melhorado continuamente. Auditorias de vigilância anuais verificam se o sistema está operando. Ao fim de três anos, uma auditoria de recertificação completa é necessária para renovar o certificado. Planeje esses custos no orçamento anual de segurança.
Perguntas frequentes
Quanto tempo leva para conseguir a certificação ISO 27001?
Para pequenas e médias empresas com apoio de consultoria, o prazo típico é de 6 a 12 meses a partir do início do projeto. Grandes organizações ou ambientes de alta complexidade podem levar de 12 a 18 meses. O principal fator de atraso é a demora na aprovação interna de políticas e na implementação de controles técnicos.
É obrigatório contratar consultoria externa para certificar a ISO 27001?
Não é obrigatório, mas é fortemente recomendado para a maioria das organizações. A consultoria externa traz experiência em projetos anteriores, conhecimento das exigências dos auditores e aceleração significativa do processo. Organizações com equipe interna muito experiente em SGSI podem conduzir o projeto internamente, mas ainda assim devem contratar auditores externos para as auditorias internas e de certificação.
O certificado ISO 27001 tem prazo de validade?
Sim. O certificado ISO 27001 é válido por três anos, sujeito a auditorias de vigilância anuais. Se as auditorias de vigilância identificarem não conformidades não resolvidas ou se a organização deixar o SGSI deteriorar, o certificado pode ser suspenso ou retirado antes do prazo de três anos.
Qual a diferença entre a ISO 27001:2013 e a ISO 27001:2022?
A principal diferença está no Anexo A: a versão 2022 reduz os controles de 114 para 93, os reorganiza em quatro temas (organizacionais, de pessoas, físicos e tecnológicos) e adiciona 11 controles novos relacionados a temas como inteligência de ameaças, segurança em nuvem e continuidade de TIC. A estrutura dos requisitos principais (cláusulas 4 a 10) também foi atualizada para a Harmonized Structure mais recente. Certificados emitidos sob a versão 2013 precisam migrar para a versão 2022 até outubro de 2025.
Posso certificar apenas uma parte da empresa e não toda a organização?
Sim. A ISO 27001 permite que a organização defina o escopo do SGSI de forma bastante flexível — pode ser um produto, um serviço, uma unidade de negócio ou um conjunto de processos. O certificado emitido deixará claro o escopo certificado. Isso é uma estratégia legítima e comum para reduzir custos e complexidade, especialmente em organizações grandes que querem certificar primeiro a área mais crítica.
Qual a diferença entre ISO 27001 e SOC 2?
A ISO 27001 é uma norma internacional (ISO/IEC) que resulta em um certificado emitido por organismo acreditado, com amplo reconhecimento global, especialmente em Europa e Ásia. O SOC 2 é um framework de auditoria desenvolvido pelo AICPA, muito exigido por empresas americanas e do mercado SaaS B2B. Ambos têm sobreposição significativa de controles, e muitas organizações buscam os dois. Para o mercado brasileiro e europeu, a ISO 27001 tende a ser mais valorizada.
Referências
- ›ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements — International Organization for Standardization (ISO)
- ›ABNT NBR ISO/IEC 27001:2023 — Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos — Associação Brasileira de Normas Técnicas (ABNT)
- ›ISO/IEC 27002:2022 — Information security controls — International Organization for Standardization (ISO)
- ›Programa Brasileiro de Avaliação da Conformidade em Segurança da Informação — Acreditação de Organismos Certificadores — Instituto Nacional de Metrologia, Qualidade e Tecnologia (INMETRO)
Como a Decripte resolve isso
Do diagnóstico gratuito ao serviço gerenciado — escolha o ponto de entrada certo.
Descubra exatamente onde sua empresa está em relação aos 93 controles da ISO 27001:2022 — faça agora um diagnóstico gratuito com os especialistas da Decripte.
Comece de graça com a Gestão de Ameaças e veja o que já está exposto. Evolua para os planos gerenciados quando fizer sentido — sem montar um time interno.
