Teach on Udemy

Turn what you know into an opportunity and reach millions around the world.

Learn More

Your cart is empty.

Keep shopping

ISO 27001:2022 — 93 Controles na Prática com Método A1

Segurança da informação, cibersegurança e proteção da privacidade — diagnóstico ISO 27001 com planilha e caso real

New

Created byProf Ronaldo Veloso

Last updated 4/2026

Portuguese

What you'll learn

Aplicar o raciocínio de análise do estudo de caso VitalSeg em diagnósticos reais de qualquer empresa
Identificar cada um dos 93 controles do Anexo A da ISO 27001:2022 nas 4 categorias: organizacionais, pessoas, físicos e tecnológicos (134 caracteres)
Desenvolver o raciocínio prático de auditor interno ou consultor ISO 27001 sem precisar de experiência técnica prévia
Reconhecer os controles novos da versão 2022 pela marcação ★ NOVO — incluindo nuvem, trabalho remoto, DLP e proteção da privacidade
Usar a planilha de diagnóstico profissional para construir o baseline de segurança da informação e estruturar um plano de ação
Registrar evidências de conformidade e não conformidade com a linguagem de auditoria — sem improvisação e sem achismo
Compreender por que cada controle de cibersegurança é exigido — e o que o auditor espera ver como evidência em cada situação
Identificar gaps de segurança da informação, definir prioridades de tratamento e iniciar um plano de ação estruturado

Course content

6 sections • 26 lectures • 3h 58m total length

Alinhamento de Expectativas9:18
Nesta aula eu te apresento a VitalSeg — a empresa que vai ser o fio condutor de todo o curso — e te mostro como o Método A1 funciona na prática. Você vai ver o mapa completo das 26 aulas, entender o que esperar de cada módulo e descobrir como a planilha de diagnóstico se encaixa em tudo isso. É uma aula curta, mas importante. Quem pula a introdução costuma se perder no meio do caminho.
O que é segurança da informação na prática7:07
Nesta aula eu te mostro o que segurança da informação realmente significa quando sai do papel e entra em uma empresa de verdade. Você vai ver os três pilares que sustentam qualquer programa de segurança — confidencialidade, integridade e disponibilidade — explicados com exemplos do dia a dia da VitalSeg. Sem teoria solta. Sem jargão desnecessário. Só o que você precisa saber para entender tudo que vem depois.
O que é a ISO 27001:2022 e para que serve9:17
Nesta aula eu te explico o que é a ISO 27001:2022 em linguagem direta — o que ela exige, por que as empresas estão sendo obrigadas a implementá-la e o que mudou da versão 2013 para a versão atual. Você também vai ver como a VitalSeg chegou a este projeto: um e-mail do convênio, um prazo de 12 meses e a ameaça de perder 40% do faturamento. Spoiler: a situação era mais grave do que o Dr. Carlos imaginava.
Os 93 controles: estrutura e as 4 categorias13:11
Nesta aula eu abro o Anexo A com você pela primeira vez. Você vai ver como os 93 controles estão organizados nas 4 categorias da norma — organizacionais, pessoas, físicos e tecnológicos — e onde cada grupo aparece na planilha de diagnóstico. Também vou te mostrar como identificar os 11 controles novos da versão 2022 pela marcação ★ NOVO. No final desta aula você vai ter uma visão clara de tudo que vamos diagnosticar juntos.
Tutorial: como usar a planilha de diagnóstico7:31
Nesta aula eu abro a planilha na tela e te mostro tudo: cada aba, cada coluna, como registrar uma evidência, como o painel de conformidade se atualiza automaticamente e como usar a marcação ★ NOVO para identificar os controles da versão 2022. Você vai acompanhar o preenchimento dos primeiros cinco controles da VitalSeg ao vivo — e já vai entender como a ferramenta funciona antes de começar o diagnóstico de verdade. Abra a sua planilha e acompanhe comigo.

Políticas, papéis e segregação de funções8:43
Nesta aula você vai ver a Ana Lima descobrir que a política de segurança da VitalSeg existia — mas estava na gaveta há dois anos. Ninguém sabia quem era o responsável formal por segurança da informação. E a mesma pessoa que criava os acessos também os aprovava. Vou te mostrar como os controles A5.1, A5.2 e A5.3 resolvem cada um desses problemas — e o que o auditor vai pedir para ver como evidência de cada um deles.
Direção, autoridades e grupos de interesse10:56
Nesta aula você vai ver como o Dr. Carlos — que nunca havia participado de uma reunião de segurança da informação em 22 anos de clínica — se tornou o patrocinador mais engajado do projeto. Vou te mostrar o que os controles A5.4, A5.5 e A5.6 exigem da liderança, como estabelecer contato com autoridades como a ANPD e o CERT.br — e por que isso precisa acontecer antes de qualquer incidente, não depois.
Inteligência de ameaças e segurança em projetos8:55
Nesta aula você vai descobrir que o ransomware que atacou a VitalSeg já estava em circulação há três semanas — e havia alertas públicos sobre ele. Ninguém na clínica monitorava essas informações. Vou te mostrar como o controle A5.7★ — novo na versão 2022 — funciona na prática, como o A5.8 trata segurança em projetos e por que o app de telemedicina quase foi contratado sem nenhuma avaliação de segurança.
Inventário, uso aceitável e devolução de ativos10:46
Nesta aula você vai ver o Prof. Ronaldo pedir a lista de ativos da VitalSeg e descobrir três computadores sem dono, pen drives pessoais conectados à rede interna e doze ex-funcionários com acesso ativo nos sistemas. Vou te mostrar como os controles A5.9, A5.10 e A5.11 tratam cada um desses problemas — e o que fazer quando uma empresa nunca teve um inventário formal de ativos.
Classificação, rotulagem e transferência de informações8:29
Nesta aula você vai entender por que a Fernanda enviou o laudo do paciente pelo WhatsApp errado — e por que isso não foi culpa dela. A VitalSeg nunca havia definido quais dados eram sensíveis, como rotulá-los ou por qual canal cada tipo de informação podia ser transmitido. Vou te mostrar como os controles A5.12, A5.13 e A5.14 resolvem isso — com uma política que cabe em uma página e custa zero para implementar.
Controle de acesso, identidade e autenticação11:45
Nesta aula você vai ver que na VitalSeg todo mundo acessava tudo. O login era genérico — o mesmo para 120 funcionários. A senha padrão era a mesma desde 2019 e nunca havia sido trocada. Vou te mostrar como os controles A5.15 a A5.18 tratam acesso, identidade, autenticação e revisão de direitos — e por que o MFA gratuito é o controle com melhor custo-benefício de todo o Anexo A.
Diagnóstico ao vivo: A5.1 a A5.18 na planilha4:01
Nesta aula eu paro de explicar e começo a fazer — e você faz junto. Vou abrir a planilha e preencher ao vivo os primeiros 18 controles da VitalSeg, registrando o status e a evidência de cada um. Você vai ver o painel de conformidade se atualizar em tempo real e entender como o diagnóstico ganha forma na prática. Enquanto eu preencho a VitalSeg, você preenche a sua empresa. Essa aula vale ouro.
Fornecedores, cadeia TIC e nuvem13:56
Nesta aula você vai descobrir que a empresa de manutenção dos servidores da VitalSeg tinha acesso remoto irrestrito — sem nenhuma cláusula de segurança no contrato. E que o prontuário eletrônico estava hospedado em nuvem sem que ninguém soubesse onde os dados ficavam armazenados. Vou te mostrar como os controles A5.19 a A5.23★ — incluindo o novo controle de serviços em nuvem — protegem a empresa do risco que vem de fora.
Gestão de incidentes: do ransomware ao processo14:17
Nesta aula você vai acompanhar os 22 minutos que o ransomware ficou ativo na VitalSeg antes de ser contido — e entender o que a Ana Lima fez certo, o que ela fez por intuição e o que teria sido diferente se existisse um plano formal. Vou te mostrar como os controles A5.24 a A5.28 transformam uma resposta improvisada em processo documentado — da detecção à coleta de evidências.
Continuidade, prontidão de TIC e requisitos legais11:46
Nesta aula você vai ver o Prof. Ronaldo perguntar ao Dr. Carlos quanto tempo a clínica aguentava sem acessar os prontuários — e o diretor não saber responder. Vou te mostrar o que são RTO e RPO em linguagem simples, como os controles A5.29, A5.30★ e A5.31 tratam continuidade e prontidão de TIC — e por que mapear os requisitos legais como LGPD, CFM e ANS é obrigação, não opcional.
LGPD, registros, compliance e auditoria13:23
Nesta aula você vai ver o Prof. Ronaldo perguntar se a VitalSeg tinha um DPO — e o Dr. Carlos responder com uma pergunta: "o que é isso?". A clínica estava em não conformidade com a LGPD desde 2020, sem saber. Vou te mostrar como os controles A5.32 a A5.37 tratam propriedade intelectual, proteção de registros, privacidade, auditoria e procedimentos operacionais — e o que o auditor vai verificar em cada um.
Diagnóstico ao vivo: A5.19 a A5.37 na planilha3:30
Nesta aula eu fecho o diagnóstico completo dos 37 controles organizacionais da VitalSeg ao vivo na planilha. Você vai ver o resultado final do A5 — quantos SIM, quantos PARCIALMENTE e quantos NÃO — e entender como o painel de conformidade reflete esse resultado automaticamente. Enquanto eu preencho a VitalSeg, você fecha o diagnóstico da sua empresa. Ao sair desta aula, o bloco mais denso da norma vai estar completo.

A6 Pessoas: do recrutamento ao desligamento13:01
Nesta aula você vai acompanhar a conversa entre o Prof. Ronaldo e o Roberto Alves — o gerente de RH que chegou resistente e saiu como aliado. Vou te mostrar os 8 controles do A6 — triagem na admissão, cláusulas contratuais, treinamento, processo disciplinar, responsabilidades pós-desligamento, NDA, trabalho remoto e canal de reporte de eventos. Você vai entender por que o Dr. Marcos clicou no phishing, por que a Fernanda não reportou o problema que ela sabia que existia — e como cada um desses controles teria mudado o desfecho.

A7 Físicos: instalações, equipamentos e descarte9:06
Nesta aula você vai acompanhar a visita técnica do Prof. Ronaldo às unidades da VitalSeg. O servidor estava na copa. A chave da copa era a mesma do almoxarifado. As câmeras estavam quebradas desde novembro — e ninguém havia consertado porque o orçamento foi adiado. Um HD com dados de dois mil pacientes estava no lixo comum, sem sobrescrita. Vou te mostrar os 14 controles do A7 e o que fazer quando os problemas físicos são óbvios, baratos de corrigir e ninguém corrigiu.
Diagnóstico ao vivo: A6 e A7 na planilha3:26
Nesta aula eu preencho ao vivo os controles de pessoas e físicos na planilha da VitalSeg — e você vai ver o painel acumulado se atualizar com os resultados reais de A5, A6 e A7 juntos. É aqui que o diagnóstico começa a mostrar o panorama completo da empresa. Acompanhe com a sua planilha aberta — e veja onde a sua empresa está em relação à VitalSeg depois de três módulos.

Endpoints, malware e vulnerabilidades7:58
Nesta aula você vai descobrir que a VitalSeg tinha 47 computadores — 38 sem atualização há 14 meses, 2 sem antivírus e 1 completamente fora do inventário, sendo usado por uma estagiária que ninguém sabia que existia. Vou te mostrar como os controles A8.1 a A8.8 tratam endpoints, acesso privilegiado, proteção contra malware e gestão de vulnerabilidades — e por que desabilitar a atualização automática "temporariamente" em 2022 foi o que abriu a porta para o ransomware de 2024.
Configuração, DLP, backup e monitoramento6:35
Nesta aula você vai entender por que o backup da VitalSeg sobreviveu ao ransomware por pura sorte — e por que sorte não é controle. Vou te mostrar os 4 controles novos da versão 2022 — gestão de configuração, exclusão segura, mascaramento de dados e DLP — e te ensinar a regra 3-2-1 do backup de um jeito que você nunca mais vai esquecer. Também vou te mostrar o acesso suspeito que apareceu nos logs às 2h17 da manhã — que ninguém havia percebido até o Prof. Ronaldo ativar o monitoramento.
Diagnóstico ao vivo: A8.1 a A8.19 na planilha8:52
Nesta aula eu preencho ao vivo os primeiros 19 controles tecnológicos da VitalSeg na planilha — e você vai ver algo que não aconteceu nos módulos anteriores: nenhum SIM nos primeiros controles do A8. Zero. Vou te mostrar como registrar esse resultado corretamente, o que ele significa na prática e como o painel de conformidade geral reage quando um bloco inteiro está em vermelho. Acompanhe com a sua planilha aberta.
Redes, criptografia e filtragem web9:16
Nesta aula você vai descobrir que o Wi-Fi dos pacientes da VitalSeg estava na mesma rede do servidor de prontuários — e que qualquer pessoa na sala de espera poderia tentar acessar a rede interna. Também vai ver como o HD descartado no lixo tinha dados de dois mil pacientes completamente legíveis, sem nenhuma criptografia. Vou te mostrar os controles A8.18 a A8.24★ — incluindo segregação de redes, criptografia de disco e filtragem web — e provar que a maioria das soluções é gratuita.

Desenvolvimento seguro e o código que vazou6:50
Nesta aula você vai descobrir que a senha do banco de dados da VitalSeg estava no código-fonte do aplicativo de agendamento — em um repositório público no GitHub — por oito meses. Qualquer pessoa com acesso à internet podia ler. Vou te mostrar os controles A8.25 a A8.34★, incluindo ciclo de vida de desenvolvimento seguro, codificação sem vulnerabilidades, testes de segurança e separação de ambientes. E vou te mostrar como evitar o erro mais comum de desenvolvimento — a senha hardcoded — de um jeito simples e definitivo.
Diagnóstico final, plano de ação e próximos passos6:50
Esta é a aula que fecha tudo. Você vai ver o resultado final do diagnóstico completo da VitalSeg — 67 SIM, 18 PARCIALMENTE e 8 NÃO — depois de uma jornada que começou com zero controles formais e terminou com a certificação emitida 73 dias após a auditoria. Vou te mostrar como estruturar o seu próprio plano de ação com prioridades claras, responsáveis definidos e prazos realistas. Você vai sair desta aula sabendo exatamente o que fazer a seguir — na sua empresa, com o seu cliente ou no seu próximo diagnóstico. A jornada da VitalSeg termina aqui. A sua começa agora.

Requirements

Nenhum conhecimento técnico ou experiência prévia em segurança da informação é necessário. Se você já ouviu falar em ISO 27001, LGPD ou cibersegurança — mesmo que superficialmente — está mais do que pronto para começar.
Ter acesso ao Microsoft Excel ou a qualquer software compatível com arquivos .xlsx para abrir e preencher a planilha de diagnóstico que acompanha o curso.
Ter disponibilidade para praticar 10 minutos por aula. O Método A1 funciona quando você faz os exercícios — não só quando assiste. A transformação acontece na prática, não na teoria.
Ter interesse genuíno em entender como os 93 controles do Anexo A da ISO 27001:2022 se aplicam em situações reais — seja para usar na sua empresa, em diagnósticos de clientes ou para crescer como profissional de TI, auditor interno ou consultor.
Isso é tudo. Sem formação técnica obrigatória, sem certificações anteriores, sem experiência mínima em auditoria. O curso foi desenhado para levar você do ponto em que está até o ponto onde consegue trabalhar com os controles na prática — independentemente de onde você começa.

Description

Há mais de 10 anos trabalho especificamente com ISO 27001 — auditei cerca de 50 empresas e formei quase 6.000 alunos aqui na Udemy. Nesse tempo, aprendi o que realmente trava a maioria dos profissionais que se aproximam desta norma: não é falta de esforço. É não saber identificar, na prática, qual dos 93 controles do Anexo A se aplica à situação concreta que está na frente deles.

Este curso foi criado para resolver exatamente isso — com método, com caso real e com a mesma ferramenta que uso em consultorias profissionais há mais de uma década.

O que você vai conseguir fazer

Ao longo de 26 aulas, você acompanha uma auditoria simulada completa na VitalSeg, uma operadora de saúde fictícia com problemas muito reais de segurança da informação e cibersegurança. Cada aula apresenta uma situação concreta — uma política que existe só no papel, um fornecedor com acesso remoto ao servidor sem nenhuma cláusula contratual, uma câmera de segurança quebrada desde novembro que ninguém consertou — e você aprende a identificar o controle da norma, entender por que ele é exigido e registrar a evidência corretamente.

Quando terminar, você vai ser capaz de:

• Identificar cada um dos 93 controles do Anexo A nas 4 categorias da norma — organizacionais, pessoas, físicos e tecnológicos — em situações reais de qualquer empresa

• Reconhecer os controles novos da versão 2022 pela marcação ★ NOVO, incluindo serviços em nuvem, trabalho remoto, prevenção de vazamento de dados (DLP) e proteção da privacidade

• Registrar evidências de conformidade e não conformidade com a mesma linguagem que um auditor usa — sem improvisação e sem achismo

• Usar a planilha de diagnóstico para construir o baseline de segurança da informação da sua organização e estruturar um plano de ação com prioridades claras

• Aplicar o raciocínio de análise do estudo de caso em diagnósticos reais — como profissional de TI, auditor interno ou consultor em formação

O Método A1 — 1 Aula · 1 Ação · 10 Minutos

Cada aula segue a mesma estrutura: você assiste, identifica o controle no contexto da VitalSeg e pratica por 10 minutos com um exercício direcionado. Sem enrolação, sem teoria solta no ar. O Método A1 foi desenvolvido especificamente para este curso com um objetivo claro: transformar cada aula em uma competência aplicável — não em mais uma informação para esquecer no dia seguinte.

A planilha que você recebe

Esta não é uma planilha criada para o curso. É a mesma ferramenta que uso em diagnósticos profissionais com clientes reais, desenvolvida ao longo de uma década auditando empresas em sistemas de gestão de segurança da informação. Com ela você vai:

• Registrar evidências dos 93 controles de conformidade e não conformidade

• Identificar visualmente os controles novos com a marcação ★ NOVO 2022

• Definir prioridades de tratamento de riscos com base no diagnóstico

• Construir o baseline de segurança da informação da sua organização

• Estruturar um plano de ação para apresentar à liderança ou a um auditor externo

Você recebe o arquivo Excel editável e aprende a usá-lo dentro do estudo de caso — para depois aplicar na sua empresa ou como base estruturada em diagnósticos de clientes.

Estrutura completa do curso

• Módulo 1 — Fundamentos de cibersegurança e diagnóstico ISO 27001 5 aulas — o que é a norma, como funciona o Anexo A, como usar a planilha do zero

• Módulo 2 — Controles organizacionais A5: todos os 37 controles na prática 12 aulas — políticas de segurança da informação, papéis, fornecedores, incidentes, continuidade, LGPD e proteção da privacidade

• Módulo 3 — Controles de pessoas A6: do recrutamento ao desligamento seguro 3 aulas — triagem, treinamento em segurança da informação, responsabilidades pós-contrato

• Módulo 4 — Controles físicos A7: perímetros, equipamentos e descarte 2 aulas — acesso físico, mídias de armazenamento, descarte seguro de ativos

• Módulo 5 — Controles tecnológicos A8 parte 1: endpoints, redes e criptografia 2 aulas — proteção de endpoints, backup, DLP, criptografia e segregação de redes

• Módulo 6 — Controles tecnológicos A8 parte 2 e síntese final 2 aulas — desenvolvimento seguro, plano de ação e próximos passos para a certificação

ESTE CURSO PODE NÃO SER O MAIS INDICADO PARA VOCÊ — LEIA COM ATENÇÃO ANTES DE SE INSCREVER

Respeito demais o seu tempo e o seu dinheiro para não ser completamente transparente sobre o que este curso é — e o que ele não é.

Por favor, leia este bloco com cuidado antes de se inscrever. Ele existe para garantir que você faça a escolha certa.

• Se o seu objetivo é configurar tecnicamente ferramentas de cibersegurança — como firewalls, SIEM, DLP ou outras soluções de infraestrutura — este curso não vai atender essa necessidade. Aqui você vai aprender a identificar e compreender os controles do Anexo A, não a executar configurações técnicas em sistemas. Existe um curso mais adequado para esse objetivo e recomendo que você o busque.

• Se você precisa implantar o sistema de gestão completo da ISO 27001, incluindo os requisitos 4 a 10 da norma — contexto da organização, liderança, planejamento, avaliação de desempenho e melhoria contínua — este curso não cobre essa estrutura. O foco aqui é exclusivamente o Anexo A com os 93 controles.

• Se você busca uma certificação formal de auditor líder com validade reconhecida por organismos de certificação — este curso prepara você para identificar e compreender os controles com profundidade real, mas não é um curso preparatório para provas de certificação de auditor. São objetivos diferentes.

• Se você está buscando um curso introdutório de sensibilização geral em segurança — este curso tem profundidade e exige comprometimento com os exercícios práticos. Não é um panorama superficial. Se quiser algo mais leve para uma primeira familiarização, talvez exista uma opção mais adequada ao seu momento.

Se depois de ler este bloco você se identificou com o público certo — profissional de TI, auditor interno, consultor, analista de compliance ou gestor que precisa entender e aplicar os 93 controles do Anexo A na prática — então este curso foi feito para você e fico feliz em ter você aqui.

Materiais incluídos

• Planilha Excel editável — a mesma usada em consultorias reais, com marcação ★ NOVO 2022 para os controles da versão atual da norma

• Slides das 26 aulas em PDF — para consulta e estudo posterior

• Estudo de caso VitalSeg em Word — narrativa completa com todos os cenários das aulas

• Caderno de exercícios — as atividades práticas do Método A1 organizadas por aula

• Certificado Udemy de conclusão

Sobre o instrutor

Sou consultor, instrutor e auditor de ISO 27001 com mais de 10 anos dedicados especificamente a esta norma. Trabalhei com cerca de 50 empresas em diagnósticos e implementações reais de sistemas de gestão de segurança da informação. Tenho mais de 30 anos atuando com normas ISO e quase 6.000 alunos formados aqui na Udemy. Criei a metodologia Doutor Gestão e o Método A1 com um objetivo claro: tornar a segurança da informação acessível para profissionais que precisam aplicar — não apenas entender teoricamente.

Ao concluir este curso, você terá

• Preenchido o diagnóstico completo da VitalSeg com todos os 93 controles do Anexo A

• Identificado cada controle nas 4 categorias da norma — organizacionais, pessoas, físicos e tecnológicos — em contextos práticos reais

• Reconhecido os controles novos da versão 2022 e compreendido por que foram incluídos — incluindo cibersegurança, proteção da privacidade e gestão de serviços em nuvem

• Desenvolvido o raciocínio de análise para contribuir em diagnósticos de segurança da informação como profissional de TI, auditor interno ou consultor em formação

• Uma ferramenta profissional — a planilha de diagnóstico — pronta para usar no mundo real, não só dentro do curso

“A VitalSeg partiu do zero. Com método e consistência, chegou lá. Você também consegue.”

Who this course is for:

Profissionais de TI e cibersegurança que precisam entender os 93 controles do Anexo A da ISO 27001:2022 na prática — e não querem perder tempo com teoria que não se conecta ao mundo real.
Analistas e gestores de compliance, qualidade e governança que precisam contribuir em diagnósticos de segurança da informação mas ainda não têm domínio sobre o que a norma realmente exige em cada controle.
Auditores internos em formação que querem desenvolver o raciocínio prático de identificação de evidências e não conformidades — com a linguagem e a profundidade que uma auditoria real exige.
Consultores júnior e profissionais em transição de carreira que querem entrar na área de segurança da informação ou ISO 27001 com uma base estruturada, uma ferramenta profissional na mão e um método que funciona em diagnósticos reais.
Gestores e líderes de empresas que receberam uma exigência de certificação ISO 27001 de clientes, convênios ou reguladores — e precisam entender o que está sendo cobrado antes de contratar um consultor ou montar uma equipe.
Profissionais que já leram a norma e não conseguiram aplicar. Se você estudou o Anexo A e ainda sente que falta a ponte entre o texto da norma e a realidade da empresa, este curso foi feito exatamente para esse momento.

ISO 27001:2022 — 93 Controles na Prática com Método A1

What you'll learn

Explore related topics

Course content

Fundamentos de Cibersegurança e Diagnóstico ISO 270015 lectures • 46min

Controles Organizacionais A5: 37 Controles na Prática12 lectures • 2hr

Controles de Pessoas A6: do Recrutamento ao Desligamento1 lecture • 13min

Controles Físicos A7: Instalações, Equipamentos e Descarte2 lectures • 13min

Controles Tecnológicos A8 Parte 1: Endpoints, Redes e Criptografia4 lectures • 33min

Controles Tecnológicos A8 Parte 2 e Síntese Final2 lectures • 14min

Requirements

Description

Who this course is for: