whatsapp
Dédalo

13 de outubro de 2025

Como definir o escopo do SGSI?

Como definir o escopo do SGSI?

O escopo do Sistema de Gestão da Segurança da Informação (SGSI) é uma exigência da ISO 27001 e uma decisão estratégica que define o que a empresa realmente quer proteger, comunicar e destacar no mercado. 

Quando uma organização decide implementar a ISO/IEC 27001, um dos primeiros passos é definir o escopo do SGSI, e esse é um dos pontos mais críticos de todo o processo. 
O escopo vai além de uma descrição técnica e se torna a porta de entrada para o cliente compreender o que o sistema de gestão protege e, portanto, o que de fato está coberto pelo certificado. É o escopo que aparece no documento de certificação e é o que o cliente lê quando avalia se pode confiar nos seus serviços. 
Por isso, ele precisa fazer sentido para o negócio, refletindo as operações reais da empresa, suas prioridades estratégicas e os diferenciais que deseja evidenciar no mercado. 

Dessa forma, definir o escopo é determinar até onde o SGSI se aplica dentro da organização. Isso inclui identificar os ativos de informação que precisam ser protegidos, os processos críticos que dão suporte ao negócio e os serviços que devem estar em conformidade com a norma. Assim, a empresa estabelece os limites de atuação do sistema e garante que a gestão seja prática, objetiva e alinhada às necessidades reais. 

 

O que é SGSI?  

Baseado na norma ISO/IEC 27001, o Sistema de Gestão de Segurança da Informação consiste em políticas, processos e controles adotados por uma organização para administrar a segurança da informação. O SGSI garante os princípios de confidencialidade, integridade e disponibilidade das informações. 

 

O que é o escopo do SGSI? 

O escopo do SGSI deve responder, de forma clara e objetiva: “O que a empresa quer proteger e por quê?” 

Isso envolve: 

  • Identificar quais ativos de informação são críticos para a operação; 
  • Determinar quais processos e serviços estão dentro da gestão; 
  • Entender quem são as partes interessadas (clientes, parceiros, fornecedores, reguladores); 
  • E principalmente, alinhar o sistema às estratégias e objetivos do negócio.

Um escopo bem definido demonstra que a empresa não busca a certificação apenas para cumprir um requisito, mas para fortalecer a confiança de clientes e parceiros, reduzir riscos e gerar vantagem competitiva. 

 

O que diz a ISO 27001? 

A cláusula 4.3 – Determinação do Escopo do SGSI orienta que a organização deve determinar os limites e a aplicabilidade do seu SGSI. Para isso deve considerar: 

  • Quais fatores internos e externos impactam a segurança da informação; 
  • Quais as partes interessadas, suas necessidades e expectativas relevantes para o SGSI;
  • Quais as interfaces e dependências das atividades realizadas pela organização e aquelas que são desempenhadas por outras organizações. 

Ou seja, o escopo deve refletir o contexto estratégico da empresa e as interfaces com terceiros: fornecedores, provedores de nuvem, parceiros de desenvolvimento, entre outros. 

 

Qual é o propósito do escopo do SGSI? 

O principal propósito em estabelecer o escopo do SGSI é definir o que você deseja proteger. Empresas que o definem de forma inteligente, usam a ISO 27001 como diferencial de mercado. 

Um bom escopo comunica credibilidade, mostrando ao cliente que os serviços mais críticos estão sob um sistema de gestão auditado, controlado e certificado. Essa decisão cabe à própria organização. A partir do momento em que ele é definido, a organização assume a responsabilidade por garantir a proteção dessas informações, independentemente de onde estejam armazenadas, de que forma sejam utilizadas ou por quem sejam acessadas. O objetivo é assegurar que a proteção da informação esteja alinhada às prioridades estratégicas da empresa e que exista um compromisso formal de manter esses ativos seguros. 

Um escopo genérico, por outro lado, transmite insegurança e fragilidade, e muitas vezes reduz o valor percebido da certificação. São alguns exemplos disso:  

  • Genérico: “Serviços de tecnologia da informação” 
  • Específico: “Desenvolvimento, sustentação e suporte de plataformas SaaS voltadas à gestão de compliance” 

 

Como definir o escopo do SGSI na prática? 

Definir o escopo exige autoconhecimento organizacional. A norma orienta que a empresa considere tanto as questões internas quanto as externas que afetam a segurança da informação isso inclui: observar as expectativas de clientes, fornecedores, investidores e demais partes interessadas, assim como as interfaces, dependências criadas com terceiros que prestam serviços ou fornecem tecnologia, os requisitos legais e regulatórios aplicáveis precisam estar incorporados, e, por fim, o escopo deve refletir as necessidades reais do negócio, priorizando os ativos de informação mais relevantes para a continuidade das operações. 

De modo prático isso significa mapear: 

  • Questões internas: cultura organizacional, estrutura, processos, tecnologias em uso, nível de maturidade em segurança e governança. 
  • Questões externas: ambiente regulatório (como LGPD, PCI DSS, requisitos de clientes), cenário de ameaças, tendências de mercado e dependência de fornecedores. 

Uma boa forma de iniciar é realizar uma análise SWOT voltada à segurança da informação: 

  • Forças: o que já está bem estruturado (ex.: backups, políticas, governança). 
  • Fraquezas: onde há vulnerabilidades ou falta de processos. 
  • Oportunidades: diferenciais competitivos que a certificação pode gerar (ex.: novos mercados, aumento de credibilidade). 
  • Ameaças: riscos externos que podem impactar o negócio (ex.: ataques, mudanças legais, vazamentos). 

Essa análise ajuda a alinhar o SGSI ao posicionamento estratégico da empresa, garantindo que o escopo seja coerente com a realidade e as ambições do negócio. 

 

Toda empresa que busca a ISO 27001 tem uma motivação central e ela precisa estar clara para direcionar o escopo. 
Pergunte-se: 

  • Estamos buscando a certificação para atender exigências de mercado ou clientes? 
  • Queremos fortalecer a governança e reduzir riscos internos? 
  • Ou buscamos usar a norma como diferencial competitivo e posicionamento de marca? 

O motivo pelo qual a empresa precisa da ISO 27001 define o tom do escopo.  Por exemplo, se o objetivo é conquistar novos clientes corporativos, o escopo deve incluir os serviços ofertados externamente.  Já se o foco é maturidade interna, ele pode abranger processos de TI e gestão de riscos. 

Por fim, o escopo precisa ser validado pela alta direção e documentado oficialmente. Ele deve estar alinhado ao propósito do negócio e comunicado de forma clara. Ao finalizá-lo, pergunte-se: 

  • O escopo transmite credibilidade e clareza para o cliente? 
  • Está alinhado com a estratégia e diferenciais da empresa? 
  • Representa os serviços mais críticos e relevantes para o mercado? 

Se as respostas forem “sim”, o escopo cumpre seu papel e traduz a essência do negócio dentro da estrutura de gestão da segurança da informação. 

 

Ainda tem dúvidas de como definir o escopo ideal do SGSI para sua empresa? 

Entre em contato conosco da Dédalo Security e agende uma conversa com nossos especialistas. 
Vamos entender o contexto da sua empresa, esclarecer suas dúvidas e ajudar você a estruturar um escopo inteligente, estratégico e alinhado ao seu negócio. 

Veja também