O registro de ativos ISO 27001: o que os auditores realmente querem
O controle 5.9 do Anexo A da ISO 27001:2022 exige um inventário mantido de informações e ativos associados. Esta é a interpretação prática: quais campos você precisa, o esquema de classificação que resiste ao escrutínio e o pacote de evidências que o organismo certificador vai solicitar.
Se você está trabalhando na certificação ou recertificação da ISO 27001, o registro de ativos é um dos artefatos fundamentais. Quase todos os outros controles — controle de acesso (5.15), classificação (5.12), backup (8.13), descarte seguro (7.14), gestão de fornecedores (5.20) — fazem referência a ele. Acerte-o e o restante é burocracia; erre e você verá constatações ao longo de toda a auditoria.
O que a ISO 27001:2022 realmente diz
Controle 5.9 (Inventário de informações e outros ativos associados):
Um inventário de informações e outros ativos associados, incluindo responsáveis, deve ser desenvolvido e mantido.
A orientação de implementação da ISO 27002:2022 expande isso. O registro deve:
- Cobrir ativos de informação, software, hardware, serviços e pessoal que detém ou processa informações.
- Ser regularmente revisado e atualizado.
- Identificar um responsável nomeado por ativo.
- Refletir mudanças ao longo do ciclo de vida do ativo (aquisição, modificação, descarte).
- Ser referenciado por outros controles — avaliação de risco, classificação, gestão de acesso.
Os campos mínimos por ativo
| Campo | Por que importa |
|---|---|
| ID do ativo | Identificador estável referenciado pelo tratamento de risco e outros controles |
| Nome / descrição do ativo | Legível por humanos, sem ambiguidade |
| Tipo de ativo | Informação, software, hardware, serviço, pessoal |
| Responsável | Pessoa nomeada, não caixa de entrada compartilhada ou "TI" |
| Custodiante | Quem opera no dia a dia (pode diferir do responsável) |
| Classificação | Público / Interno / Confidencial / Restrito (ou seu esquema) |
| Localização | Física ou lógica (região, datacenter, fornecedor) |
| Estágio do ciclo de vida | Aquisição / Em uso / Em desativação / Aposentado |
| Riscos vinculados | Referência a entradas no registro de riscos |
| Última revisão | Data e revisor |
O esquema de classificação
Você não precisa usar o nosso, mas escolha algo explícito. Um esquema defensável de quatro níveis:
| Classe | Definição | Exemplos |
|---|---|---|
| Público | Disponível externamente sem dano | Materiais de marketing, conteúdo do site público |
| Interno | Apenas para funcionários e contratados | Documentos internos, planos de projeto, organograma |
| Confidencial | Sensível; restrito a quem precisa saber | Dados de clientes, registros financeiros, dados de funcionários |
| Restrito | Máxima sensibilidade; poucas partes autorizadas | Código-fonte com segredos, documentos de M&A, privilegiados legalmente |
Cada nível de classificação deve mapear para regras de tratamento: como pode ser transmitido, armazenado, compartilhado, retido e destruído. O documento de esquema de classificação é em si uma evidência de auditoria.
Categorias de ativos que você precisa capturar
Ativos de informação
Bancos de dados de clientes, registros de funcionários, dados financeiros, propriedade intelectual, código-fonte, documentação. Vinculados a onde residem (bucket S3, banco de dados Postgres, instância Salesforce).
Ativos de software
Assinaturas SaaS, software licenciado, aplicações desenvolvidas internamente, bibliotecas, sistemas operacionais. Cada um com versão, licença, responsável.
Ativos de hardware
Notebooks, servidores, dispositivos móveis, equipamentos de rede. Referência cruzada com o registro de ativos de TI que já existe para fins financeiros / de ciclo de vida — os mesmos dados, público diferente.
Ativos de serviço
Serviços de Cloud, processadores de terceiros, processadores de pagamento, provedores de e-mail. Muitos se sobreporão com ativos de software, mas a lente é diferente (disponibilidade do serviço, risco de fornecedor).
Ativos de pessoal
Funções com acesso privilegiado, detentores de conhecimento crítico, custodiantes de dados sensíveis. Não lista todos os funcionários — apenas aqueles cuja função é em si um ponto de controle.
O pacote de evidências que os auditores pedem
- O próprio registro de ativos, com os campos acima preenchidos e datas de última revisão dentro da política.
- O documento de política de classificação.
- Amostra de entradas do registro de riscos que referenciam IDs de ativo do registro.
- Evidência de revisão periódica — e-mails, atas de reuniões, controle de versão mostrando que o registro foi atualizado.
- Evidência de entrada/movimentação/saída vinculando mudanças de pessoal a atualizações de registros de ativos.
- Evidência de descarte — para qualquer ativo aposentado no período, o certificado de descarte e a atualização correspondente do registro.
- Confirmação de responsabilidade pelo ativo — e-mails ou registros do sistema mostrando que cada responsável aceitou a responsabilização.
De onde vêm as constatações
As constatações mais comuns da ISO 27001 contra o controle 5.9 são: (a) o registro existe mas não é revisado; (b) a responsabilidade é genérica ("departamento de TI" em vez de uma pessoa nomeada); (c) o registro existe mas não é referenciado pelo registro de riscos ou outros controles. Corrija esses três e você fechará a maioria das observações.
Dicas práticas
- Um registro, múltiplas visões. Não mantenha um "registro ISO" separado e um "registro de TI". Use o mesmo modelo de dados com visões filtradas por público.
- Cadência de revisão: mínimo trimestral. Algumas empresas fazem mensal; menos frequente é aceitável se as mudanças são infrequentes. Documente a política e siga-a.
- Automatize gatilhos de entrada/saída. Atualizações manuais ficam desatualizadas. O registro que sobrevive é o atualizado como efeito colateral das operações normais — mudanças no IdP, eventos de aquisição, entregas de hardware.
- Mantenha a responsabilidade atual. Cada reorganização quebra as responsabilidades. Construa uma verificação de 90 dias que sinalize qualquer responsável cuja função tenha mudado.
- Não complique demais o esquema de classificação. Quatro níveis são suficientes. Empresas com esquemas de oito níveis descobrem que ninguém consegue se lembrar deles e os ativos são classificados inconsistentemente.
Como a InventorIA ajuda
O modelo de dados da InventorIA mapeia diretamente para os requisitos de registro de ativos da ISO 27001. Os responsáveis estão vinculados a registros de identidade (então são pessoas reais, não caixas de entrada). Os campos de classificação são configuráveis. Os estágios do ciclo de vida são rastreados. Cada mudança escreve em um log de auditoria. A exportação para o organismo certificador é um download com um clique, com todos os vínculos de risco e responsabilidade que o auditor vai pedir.
Um registro de ativos pronto para ISO 27001, no dia um
O modelo de dados da InventorIA mapeia diretamente para o controle 5.9. Grátis para 10 usuários.
Comece grátis →