ISO 27002 Lead Control Manager

Curso ISO 27002 Lead Control Manager capacita profissionais para desenhar, operacionalizar, evidenciar, medir, testar e melhorar controlos de segurança da informação com base na ISO/IEC 27002, garantindo consistência na execução, rastreabilidade de evidência e prontidão contínua para auditoria — incluindo suporte a um SGSI ISO/IEC 27001.

Inscrever-me
Empresas: pedir proposta

Acesso Rápido:   Introdução· Porque existe· O que permite· Frameworks e normas· Valor· Objectivos· Destinatários· Programa· Exame & Certificação· Outras informações· Benefícios· Logística· Inscrição

Próximas datas

Datas garantidas.
Formação síncrona, em tempo real. Interação com o formador e o grupo.

27-Abr
Live Online • próxima edição
14-Set
Live Online • preço base
Duração: 4 dias / 40h
Idioma: disponível em PT ou ENG
Formação: prática e com estudo de caso
Exame: 3h
Nível EXCELÊNCIA e LIDERANÇA – Autoridade técnica e liderança na governação.

Porque existe este curso

Para transformar controlos definidos em controlos operacionais, com evidência e eficácia comprováveis.

Muitas organizações têm políticas e controlos “no papel”, mas não dispõem de um modelo operacional: owners, rotinas, procedimentos, evidência mínima com critérios de aceitação, métricas, gestão de exceções, testes de eficácia e melhoria contínua. O resultado é execução inconsistente, evidência frágil, sobrecarga das equipas e não conformidades recorrentes.

Este curso desenvolve a competência crítica em falta: governar o ciclo de vida completo dos controlos, do desenho ao teste, com uma abordagem prática, sistemática e orientada a resultados.

O que este curso lhe permite fazer

Interpretar

Analisar a ISO/IEC 27002 com método: estrutura, lógica de aplicação dos controlos e uso prático dos atributos, incluindo a relação com a ISO/IEC 27001 e a Statement of Applicability (SoA).

Operacionalizar

Converter controlos em Control Profiles e definir o Operating Model: owners, rotinas/runbooks, RACI, integração com ITSM, IAM, SDLC/DevOps, cloud e logging/monitorização.

Evidenciar

Construir um Evidence Map robusto: fontes, critérios de aceitação, validação, rastreabilidade, retenção e evidência contínua, reduzindo esforço pré-auditoria.

Testar e melhorar

Definir e aplicar Control Test Plan e métricas (KPIs/KRIs e maturidade), avaliando design vs operating effectiveness e governando melhoria contínua com backlog e ações corretivas.

Frameworks, normas e melhores práticas trabalhadas ao longo do curso

ISO/IEC 27002 (93 controlos + atributos)
ISO/IEC 27001 (requisitos + SoA)
ISO/IEC 27004 (métricas)
ISO/IEC 27005 (risco)
ISO/IEC TS 27008 (avaliação técnica de controlos)
NIST SP 800-53 / 800-53A (referência, quando aplicável)
NIST CSF / CIS Controls / SOC 2 / PCI DSS (articulação, quando aplicável

Valor para a organização

  • Controlos executáveis: menos “documento”, mais operação real — owners, rotinas e evidência definida.
  • Evidência sustentável: critérios de aceitação e Evidence Map reduzem retrabalho e evidência frágil (ex.: prints sem valor probatório).
  • Prontidão contínua para auditoria: evidência e testes estruturados ao longo do tempo, evitando “corridas” pré-auditoria.
  • Medição e melhoria contínua: KPIs/KRIs, maturidade, eficácia testada e backlog de melhoria — os controlos não “morrem” após implementação.
  • Aceleração do SGSI / ISO 27001: reforça diretamente a SoA, o tratamento de risco e a revisão pela gestão, melhorando resultados em auditorias internas e externas.
  • Capacidade transversal: aplicável a Segurança, IT, DevOps, Operações e Fornecedores — onde a execução dos controlos acontece de facto.

Introdução

A maioria das organizações não falha por falta de políticas. Falha porque os controlos existem no papel, mas não existem na operação.

O curso ISO 27002 Lead Control Manager foi desenhado para desenvolver competência prática na gestão de controlos de segurança da informação com base na ISO/IEC 27002, cobrindo estrutura, lógica de aplicação e operacionalização em ambiente real. Ensina a transformar controlos em execução consistente, com responsáveis, rotinas, evidência, métricas, testes de eficácia e melhoria contínua.

O participante aprende a desenhar e gerir um portefólio de controlos (93 controlos) com um modelo operacional aplicável em qualquer organização, articulando com a ISO/IEC 27001 (SoA, objetivos de controlo e tratamento de risco) e reforçando avaliação e teste de controlos através de boas práticas de control assurance (ISO/IEC TS 27008 e NIST SP 800-53/800-53A, quando aplicável).

Resultado prático esperado: controlos executáveis, evidência robusta, eficácia testada e melhoria contínua, reduzindo esforço pré-auditoria e dependência de conhecimento tácito.

Este Plano de Formação e todos os documentos associados estão protegidos por Direitos de Autor e registados como obra literária no IGAC.

Objectivos Gerais

No final deste curso os participantes serão capazes de:

  • Interpretar a ISO/IEC 27002 e aplicar a sua estrutura (93 controlos) em contexto organizacional.
  • Desenhar Control Profiles completos (objetivo, âmbito, owners, rotinas/atividades, evidência, frequência, critérios de aceitação, métricas, tooling e exceções).
  • Definir e aplicar um Operating Model para governar controlos ao longo do tempo (responsabilidades, rotinas, reporting e revisão).
  • Construir um Evidence Map robusto e sustentável, com critérios de aceitação, validação, retenção e rastreabilidade de evidência.
  • Definir métricas (KPIs/KRIs), objetivos de controlo e modelos simples de maturidade/performance, alinhados com risco e prioridade.
  • Definir e aplicar um Control Test Plan, distinguindo eficácia de desenho e eficácia operacional (design vs operating effectiveness).
  • Integrar controlos com a operação (ITSM, IAM, SDLC/DevOps, logging/monitorização e gestão de fornecedores).
  • Gerir exceções e compensating controls com método (aprovação, validade, revalidação), bem como desvios, ações corretivas e melhoria contínua do portefólio de controlos.
  • Preparar-se para realizar com sucesso o exame de certificação aplicável.

Destinatários

  • Profissionais de Segurança da Informação (GRC, SecOps, AppSec, CISO Office) que necessitam de controlos operacionais, evidenciáveis e testáveis.
  • Responsáveis/owners de controlos (IT Ops, IAM, Infra, Redes, Cloud, DevOps, Service Management, Data) — onde a execução dos controlos acontece de facto.
  • Consultores, gestores de projeto e equipas de conformidade envolvidos em programas de controlos e/ou SGSI, que precisam de transformar requisitos em execução e evidência.
  • Equipas de compliance e assurance (incluindo auditoria interna) que pretendam elevar a avaliação de controlos para um modelo baseado em evidência e eficácia testada.
  • Profissionais que já concluíram ISO 27001 (LI/LA) e pretendam dominar a “zona crítica” entre norma e execução, ou trabalhar ISO/IEC 27002 de forma independente.
  • Profissionais de qualquer área com conhecimentos base em IT, cibersegurança ou segurança da informação, que pretendam adquirir competência práticas.

Pré-requisitos

Não existem pré-requisitos formais obrigatórios. No entanto, recomenda-se familiaridade com conceitos básicos de segurança da informação e com operação de TI, incluindo exposição a contextos organizacionais onde existam controlos, processos e evidência ou recomenda-se previamente o curso ISO 27001 Foundation.

 Ainda, outros requisitos específicos poderão aplicar-se em função da cotação/proposta apresentada (consulte a proposta).

Programa

Fundamentos e Control Engineering
  • Estrutura e lógica de aplicação da ISO/IEC 27002 (93 controlos, 4 temas e atributos) e uso prático dos atributos.
  • Articulação com a ISO/IEC 27001: SoA, objetivos de controlo e tratamento de risco (seleção/justificação de controlos).
  • Control Lifecycle: definir → desenhar → operar → evidenciar → testar → melhorar.
  • Princípios de normalização: baseline vs variação controlada e definição de owners/responsabilidades.
Control Profiles e Operating Model
  • Control Profiles completos: objetivo, âmbito, boundaries, critérios de aceitação, owners e responsabilidades (RACI).
  • Modelo de operação: periodicidade, rotinas/runbooks e integração com processos (mudança, incidentes, acessos, SDLC).
  • Integração operacional: ITSM, IAM, cloud, logging/monitorização e fornecedores.
  • Normalização e gestão de exceções: baseline vs variância controlada e critérios para exceções/compensating controls.
Evidence Engineering: Evidence Map e rastreabilidade
  • Evidência: critérios mínimos de qualidade e critérios de aceitação (“o que prova o quê”).
  • Fontes e gestão de evidência: logs, tickets, registos, repositórios e ferramentas (responsáveis, periodicidade e validação).
  • Rastreabilidade e retenção: integridade, retenção e evidência contínua (redução do esforço pré-auditoria).
  • ISO/IEC TS 27008: abordagem de avaliação técnica aplicada à qualidade e suficiência de evidência (quando aplicável).
Métricas, eficácia e testes de controlo
  • Medição de controlos: KPIs/KRIs, maturidade, thresholds e tolerâncias (objetivos e reporte).
  • Eficácia de controlo: design vs operating effectiveness (o que testar e como testar).
  • Control Test Plan: abordagem, amostragem, periodicidade, evidência mínima e reporte.
  • Boas práticas de assessment/teste para suportar medição e validação de eficácia de controlos.
Integração, exceções e melhoria contínua
  • Integração com SGSI (quando aplicável): SoA, plano de tratamento e revisão pela gestão.
  • Gestão de exceções: critérios, aprovações, compensating controls, validade e revalidação.
  • Findings, não conformidades, ações corretivas e backlog de melhoria de controlos (ciclos de revisão).
  • Preparação de exame e consolidação final.

Exame(s) e Certificação

Exame “Certified Information Security ISO 27002 Lead Control Manager”

O exame cobre os seguintes domínios de competência:

  • Domínio 1: Fundamentos ISO/IEC 27002 e articulação com ISO/IEC 27001/SoA
  • Domínio 2: Desenho e normalização de controlos (Control Profiles)
  • Domínio 3: Operação e evidência (Evidence Map e critérios)
  • Domínio 4: Medição e teste de eficácia (KPIs/KRIs e Control Test Plan)
  • Domínio 5: Exceções, ações corretivas e melhoria contínua do portefólio de controlos

 

Idioma(s): Português e Inglês (consulte a BEHAVIOUR para a disponibilidade em outros idiomas).
Duração: 3 horas.
Formato: Questões de desenvolvimento, incluindo estudo de caso, orientadas a desenho, operacionalização, evidência, medição e teste de controlos.
Nota de aprovação: 700/1000 pontos.
Resultados: “Pass or Fail”.
Entidade emissora: Behaviour (entidade legal), através do seu serviço de certificação Behaviour Certification Services.
Retake: 1 retake gratuito dentro de um período máximo de 2 meses após a data de disponibilização do resultado do exame.

Certificação (níveis e requisitos)

Após completar com sucesso o exame e aceitar/assinar o acordo e o Código de Ética aplicáveis, o candidato pode candidatar-se a um dos três níveis, de acordo com a experiência:

  • Certified Information Security ISO 27002 Associate Control Manager: não é necessária experiência anterior obrigatória
  • Certified Information Security ISO 27002 Control Manager: 2 aqnos de experiência profissional relevante
  • Certified Information Security ISO 27002 Lead Control Manager: 5 anos experiência avançada e funções de liderança/coordenação

 

Serão emitidos um Certificado e uma Insígnia digital de Certificação (i.e., “badge”) aos participantes que, com sucesso, concluam o exame de certificação e satisfaçam todos os requisitos da certificação a que se candidatam. A certificação é emitida pela Behaviour (entidade legal), através do seu serviço de certificação Behaviour Certification Services.

Certificação profissional Behaviour® (esquema próprio), com reconhecimento internacional no mercado. O esquema é concebido e operado com base em boas práticas de certificação de pessoas, princípios de imparcialidade e qualidade de exame, e referenciais internacionais aplicáveis (incluindo os princípios da ISO/IEC 17024).

Os programas de certificação são válidos apenas para pessoas (não empresas) e a atribuição e manutenção da certificação dependem do resultado do exame, da experiência profissional e do cumprimento do contrato/Código de Ética aplicáveis.

Caso o profissional não cumpra o contrato/Código de Ética, a certificação não é atribuída ou é revogada.

Outras Informações

Informações Gerais
  • Formação na língua portuguesa ou inglesa
  • Recursos materiais da formação online em Português ou Inglês, com acesso online, e de acordo com as condições adjudicadas
  • Metodologia prática orientada a entregáveis operacionais (Control Profiles, Evidence Map, métricas e Test Plan)
  • Certificado digital de Frequência de Formação Behaviour com 40 créditos CPD/CPE
  • Exame de Certificação online, em Português ou Inglês. O exame pode ser realizado até 2 meses, a contar da data de início do curso
  • Se o candidato não for aprovado no exame, tem o direito a uma nova tentativa gratuita dentro de um período máximo de 2 meses, a contar da data de lançamento da nota do exame inicial
  • Diploma digital de Certificação e Insígnia digital de Certificação, após passagem com sucesso no exame e conclusão do processo de candidatura. Este processo não tem qualquer custo associado
Formador(es)
Equipa de consultores e auditores sénior, com experiência comprovada na implementação, operacionalização e avaliação de controlos de segurança da informação, em contexto de SGSI ISO/IEC 27001/27002 e boas práticas relacionadas.

Benefícios

Ver benefícios
  • Transforma a ISO/IEC 27002 em execução consistente: owners, rotinas e evidência sustentável.
  • Reduz retrabalho e esforço pré-auditoria através de critérios de aceitação e evidência contínua.
  • Reforça consistência e maturidade na gestão de controlos, com métricas e testes de eficácia (design vs operação).
  • Desenvolve capacidade interna para governar exceções, compensating controls e melhoria contínua do portefólio de controlos.
  • Suporta diretamente um SGSI ISO/IEC 27001 (incluindo SoA e prontidão para auditoria) e pode ser aplicado como disciplina autónoma de controlo.
  • O exame de certificação é monitorizado por um administrador oficial da BEHAVIOUR.
  • O exame de certificação é realizado após o curso e incide em questões de desenvolvimento, baseadas num estudo de caso.

Logística

Informações úteis
  • Live Online (tempo síncrono): 9:30–17:30 (Lisboa, GMT 0), com pausa de almoço e intervalos curtos
  • Presencial (tempo síncrono): 9:30–17:30 (Lisboa, GMT 0), com pausa de almoço e intervalos curtos
  • 35h formação síncrona distribuída por 5 dias consecutivos
  • 5 horas estimadas de trabalho autónomo orientado, destinadas à consolidação de conteúdos e produção/finalização de entregáveis
  • Requisitos: computador com internet estável, browser, leitor PDF, áudio/vídeo
Hotéis Lisboa
Saiba onde pode ficar em Lisboa, perto da Behaviour, nas formações presenciais.

Perguntas Frequentes

Respostas objetivas às dúvidas mais comuns sobre o curso ISO 27002 Lead Control Manager

Qual é a diferença entre ISO/IEC 27001 e ISO/IEC 27002?
A ISO/IEC 27001 define requisitos para um Sistema de Gestão de Segurança da Informação (SGSI) e como o gerir (governação, planeamento, operação, avaliação e melhoria). A ISO/IEC 27002 descreve e orienta a implementação de controlos (o “como” operacional), funcionando como catálogo e guia prático para executar segurança no dia-a-dia.

A ISO/IEC 27002 “aplica-se” mesmo sem SGSI ISO/IEC 27001?
Sim. Pode ser aplicada como disciplina autónoma de controlos, por exemplo para elevar maturidade de segurança, responder a exigências de clientes, preparar auditorias internas, reforçar due diligence de fornecedores ou estruturar um programa de controlos mesmo sem um SGSI formal.

Os 93 controlos têm de ser implementados todos?
Não. A ISO/IEC 27002 não pressupõe implementação total e indiferenciada. A seleção deve ser orientada por contexto, risco, dependências técnicas e prioridades do negócio. O foco é adequação e eficácia — e não “compliance por checklist”.

Como a ISO/IEC 27002 se articula com cloud e SaaS (M365, AWS, Azure, Google Cloud)?
A norma aplica-se, mas a implementação muda: muitos controlos tornam-se “partilhados” (shared responsibility) entre organização e fornecedor. O ponto crítico é traduzir controlos para responsabilidades concretas (configuração, logging, gestão de identidades, hardening, retenção, backup, monitorização, gestão de mudanças) e assegurar evidência consistente em ambientes híbridos e multi-cloud.

Como é que a ISO/IEC 27002 se aplica na vida real, no dia-a-dia?

Aplica-se como um sistema operacional de controlo, não como documentação. Na prática, cada controlo é traduzido para: (1) owner responsável, (2) rotina executável (o que se faz, quando, com que ferramenta), (3) evidência mínima com critérios de aceitação (o que prova que foi feito e que funciona), e (4) métrica/alerta para detetar degradação.

Exemplo típico: “gestão de acessos” deixa de ser uma política e passa a ser um conjunto de rotinas (JML, MFA, revisões periódicas, registos de aprovações, logs e exceções), com evidência consistente e revisão regular — permitindo demonstrar controlo “a funcionar” sem corridas pré-auditoria.

Para dúvidas gerais sobre inscrição, modalidades, exames, certificação e recertificação, consulte as FAQs BEHAVIOUR®.

Inscrição

Preencha o formulário para se inscrever na edição pretendida. Verifique as próximas datas.


Nome pessoa contacto
=

Formação assegurada por entidade formadora certificada pela DGERT (processos e qualidade). Ver enquadramento DGERT.

Pedir mais informações

Se pretende enquadramento do curso no seu contexto (profissional ou organizacional), contacte-nos e indicaremos o percurso adequado.
Pedir Informações

Empresas: pedir proposta

Para inscrições de equipa, indicamos condições de volume e proposta ajustada à necessidade organizacional.
Pedir Proposta