Home
IndústriaArtigosQuem SomosCases
Fale Conosco
Conformidade

ISO 27001: o Controle A.5.9 — Inventário de Ativos na Prática e o que o Auditor Vai Pedir

O controle A.5.9 do Anexo A da ISO/IEC 27001:2022 exige que a organização desenvolva e mantenha um inventário de informações e outros ativos associados, com responsáveis (owners) definidos. Na auditoria de certificação, é um dos controles mais cobrados — e mais reprovados: o auditor seleciona ativos da lista e pede para vê-los fisicamente, e seleciona ativos da sala e pede para encontrá-los na lista. Este guia explica o que a norma exige, como montar e manter o inventário, por que o discovery lógico sozinho não passa e o que preparar antes da auditoria.

WJ
Equipe CPCON, Consultoria Patrimonial10 de Junho, 202612 min de leitura
Falar com Especialista Ver Inventário de Ativos de TI
ISO 27001: o Controle A.5.9 (Inventário de Ativos) na Prática

RESPOSTA RÁPIDA: o controle A.5.9 da ISO/IEC 27001:2022 ("Inventory of information and other associated assets") exige que a organização desenvolva e MANTENHA um inventário de informações e dos ativos associados a elas — hardware, software, serviços, instalações e pessoas-chave — com um responsável (owner) atribuído a cada ativo ou grupo de ativos. O auditor de certificação testa o controle por amostragem dupla: escolhe itens do inventário e pede para vê-los no mundo real, e escolhe equipamentos do mundo real e pede para localizá-los no inventário. Inventário desatualizado, sem owner ou sem processo de atualização é uma das não conformidades mais comuns em auditorias de SGSI.

A ISO/IEC 27001 é a norma internacional de sistemas de gestão de segurança da informação (SGSI). Quem busca o certificado — por exigência de clientes, editais ou estratégia de mercado — precisa implementar os controles aplicáveis do Anexo A e provar, com evidência objetiva, que eles operam. E há um controle que sustenta quase todos os outros: o A.5.9, inventário de informações e outros ativos associados. A lógica do auditor é simples e implacável: não dá para proteger, classificar, controlar acesso, aplicar patch ou descartar com segurança aquilo que a organização nem sabe que possui. Por isso a preparação séria para a ISO 27001 começa por um inventário de ativos de TI completo e auditável.

Um esclarecimento importante antes de começar: quem certifica na ISO 27001 é o organismo de certificação acreditado, após auditoria independente. A CPCON não emite certificados nem audita SGSI — o nosso papel, há 30 anos e em mais de 4.500 projetos, é executar o inventário físico e a conciliação que geram a evidência de campo que o seu auditor vai pedir. Este artigo descreve exatamente o que essa evidência precisa conter.

O que o controle A.5.9 exige (texto e contexto da norma)

Na revisão 2022 da ISO/IEC 27001, o Anexo A foi reorganizado em 93 controles distribuídos em 4 temas (organizacionais, pessoas, físicos e tecnológicos). O A.5.9 é um controle organizacional e consolidou dois controles da versão 2013 — o antigo A.8.1.1 (inventário de ativos) e o A.8.1.2 (proprietário dos ativos). O enunciado é direto: um inventário de informações e outros ativos associados, incluindo os respectivos proprietários (owners), deve ser desenvolvido e mantido. A orientação de implementação detalhada está na norma companheira ISO/IEC 27002:2022.

Três verbos do enunciado definem o que o auditor testa. "Desenvolver" significa que o inventário existe e cobre o escopo do SGSI — não só servidores, mas notebooks, desktops, equipamentos de rede, mídias removíveis, softwares, serviços em nuvem e as informações em si. "Manter" significa que existe um processo vivo de atualização: aquisição, transferência, devolução e baixa alimentam o inventário, e contagens periódicas validam que ele continua refletindo a realidade. "Incluindo owners" significa que cada ativo (ou grupo de ativos) tem um responsável formalmente designado, que responde pela classificação, pelo uso aceitável e pelo ciclo de vida daquele item.

  • O A.5.9 não trabalha sozinho — ele alimenta diretamente o A.5.10 (uso aceitável de informações e ativos), o A.5.11 (devolução de ativos no desligamento), o A.5.12/A.5.13 (classificação e rotulagem da informação), o A.7.9 (segurança de ativos fora das instalações), o A.7.10 (mídias de armazenamento) e o A.7.14 (descarte ou reutilização segura de equipamentos).
  • A profundidade é proporcional ao risco: a norma não impõe um formato único de inventário, mas exige consistência com o escopo do SGSI e com a avaliação de riscos.
  • Desde a transição obrigatória concluída em outubro de 2025, todos os certificados vigentes referenciam o Anexo A de 2022 — auditorias atuais cobram o A.5.9, não mais o A.8.1.1/A.8.1.2.

O que o auditor de certificação pede de evidência

A auditoria de certificação ocorre em dois estágios (análise de documentação e auditoria de implementação), seguidos de auditorias de manutenção anuais e recertificação a cada três anos. Para o A.5.9, o auditor tipicamente solicita:

  • O inventário em si — planilha, CMDB ou sistema de gestão de ativos, com data da última atualização e histórico de mudanças (quem alterou, quando, por quê).
  • Owner por ativo ou grupo de ativos — nome ou papel formalmente designado, e evidência de que o owner sabe que é owner (aceite, política comunicada, treinamento).
  • Classificação da informação associada — qual o nível de sensibilidade do que cada ativo armazena ou processa, coerente com a política de classificação.
  • Processo de atualização — procedimento documentado de inclusão (aquisição), movimentação (transferência entre áreas), devolução (desligamento de colaborador) e baixa (descarte com sanitização).
  • Evidência de verificação periódica — relatório do último inventário físico ou contagem cíclica, com divergências encontradas e tratadas.
  • Teste de amostragem dupla ao vivo — o auditor aponta itens da lista e pede para vê-los ("cadê este notebook?") e aponta equipamentos do ambiente e pede para encontrá-los na lista ("este switch está inventariado? Quem é o owner?").

É no teste de amostragem que inventários "de papel" caem. Uma lista exportada do ERP ou do Active Directory na véspera da auditoria não sustenta as perguntas de rastreabilidade: etiqueta inexistente, ativo que mudou de andar há oito meses, notebook de ex-colaborador ainda atribuído a ele, servidor desativado que continua na lista como ativo em produção.

Como montar e manter o inventário: owners, classificação e ciclo

Um inventário que passa em auditoria tem três componentes: um registro com campos mínimos consistentes, uma cadeia de responsabilidade clara e um ciclo de manutenção com frequência definida. A tabela abaixo resume os campos mínimos recomendados por classe de ativo.

CampoPor que o auditor cobraExemplo
Identificador único (etiqueta física + ID lógico)Permite a amostragem dupla lista ↔ ativo realPlaca patrimonial/etiqueta RFID + hostname
Descrição e categoriaDefine quais controles se aplicam ao ativoNotebook, servidor, switch, mídia, software, serviço SaaS
Owner (responsável)Exigência literal do A.5.9Gestor da área ou função (ex.: Coordenador de Infraestrutura)
Usuário/custodiante atualSustenta A.5.11 (devolução) e controle de acessoColaborador com termo de responsabilidade assinado
Localização físicaSustenta A.7.9 (ativos fora das instalações) e a contagemSite, andar, sala, rack ou "remoto — home office"
Classificação da informaçãoConecta o ativo à política de classificação (A.5.12)Pública / interna / confidencial / restrita
Estado no ciclo de vidaEvita fantasmas: em uso, em estoque, em manutenção, baixadoStatus com data e evidência da última mudança
Data e método da última verificação físicaProva o "manter" do enunciadoInventário físico anual + contagem cíclica trimestral

Quanto ao ciclo: a prática que sustenta certificação combina inventário físico completo (anual ou na implantação do SGSI, como linha de base) com contagens cíclicas por amostra ou por área ao longo do ano, além de gatilhos por evento (compra, desligamento, mudança de site). Os métodos e a frequência de cada tipo de contagem estão detalhados no nosso guia de tipos de inventário.

Por que o discovery lógico sozinho não basta

A objeção mais comum é: "já temos ferramenta de discovery/agente de rede, o inventário sai dali". O discovery lógico é necessário — e insuficiente. Ele enxerga o que está ligado, conectado e com agente instalado no momento da varredura. Fica cego para o notebook desligado na gaveta, o servidor em estoque aguardando ativação, o equipamento sem IP (monitores, mídias, periféricos), a impressora com disco rígido cheio de documentos digitalizados e tudo o que entrou na empresa sem passar pela TI — o shadow IT e os dispositivos BYOD, que estimativas da Gartner situam em 30% a 40% do gasto de TI de grandes empresas.

O auditor sabe disso. Por isso o teste é físico: ele anda pelo ambiente e aponta equipamentos. A resposta que sustenta o controle é a conciliação de três bases — o que a rede enxerga (discovery), o que existe de verdade (inventário físico in loco, item a item, com etiqueta) e o que está registrado (CMDB e imobilizado contábil). É exatamente esse triângulo que um serviço profissional de auditoria de ativos de TI fecha: descoberta física, etiquetagem (barcode ou RFID) e conciliação física × lógica × contábil, com relatório de divergências. A mesma base conciliada serve, sem retrabalho, a quem também enfrenta um exame SOC 2 — cujos critérios CC6 pedem evidências equivalentes sobre os ativos — e revela, de quebra, os ativos fantasmas e bens não registrados que distorcem o imobilizado.

Checklist de preparação para a auditoria (controle A.5.9)

Antes do estágio 2 da auditoria, confirme:

  1. 1O inventário cobre TODO o escopo do SGSI — hardware, software, serviços em nuvem, mídias, informações — e não apenas servidores de produção.
  2. 2Cada ativo ou grupo tem owner designado e comunicado, e os owners sabem responder pelo ciclo de vida dos seus ativos.
  3. 3Existe identificador físico (etiqueta) amarrado ao registro — o auditor consegue ir do registro ao ativo e do ativo ao registro em segundos.
  4. 4A classificação da informação está atribuída e é coerente com a política (A.5.12) — sem campos "a definir".
  5. 5O processo de atualização está documentado e tem evidência de execução: últimas aquisições, transferências, devoluções e baixas refletidas no inventário.
  6. 6Há registro de verificação física recente (inventário completo ou contagem cíclica) com divergências tratadas — não apenas encontradas.
  7. 7Baixas têm trilha completa: autorização, sanitização de mídia (A.7.14) e destino final documentado.
  8. 8Uma amostragem interna de 20-30 itens (lista→físico e físico→lista) foi executada como ensaio, com taxa de acerto registrada.

Prepare a evidência de campo antes do auditor chegar

A CPCON executa o inventário físico in loco, a etiquetagem e a conciliação física × discovery × contábil do seu parque de TI — a evidência objetiva que a auditoria do A.5.9 examina. Quem certifica é o organismo auditor; nós entregamos a evidência de campo, com a credibilidade de 30 anos e mais de 4.500 projetos de inventário e auditoria de ativos.

Solicitar Diagnóstico do Parque de TI

Descoberta física in loco · Etiquetagem barcode/RFID · Relatório de conciliação auditável

Perguntas Frequentes

O que é o controle A.5.9 da ISO 27001?
O A.5.9 ("Inventory of information and other associated assets") é o controle do Anexo A da ISO/IEC 27001:2022 que exige o desenvolvimento e a manutenção de um inventário das informações e dos ativos associados a elas — hardware, software, serviços, instalações — com um responsável (owner) atribuído a cada ativo ou grupo. Ele consolidou os controles A.8.1.1 (inventário de ativos) e A.8.1.2 (proprietário dos ativos) da versão 2013 e é a base de vários outros controles, como uso aceitável (A.5.10), devolução de ativos (A.5.11), classificação (A.5.12) e descarte seguro (A.7.14).
Que evidências o auditor pede para o inventário de ativos na ISO 27001?
Tipicamente: o inventário com histórico de atualização; owner designado por ativo; classificação da informação associada; procedimento documentado de inclusão, transferência, devolução e baixa; e relatório de verificação física recente com divergências tratadas. Além dos documentos, o auditor faz amostragem dupla ao vivo: seleciona itens do inventário e pede para vê-los fisicamente, e seleciona equipamentos do ambiente e pede para localizá-los no inventário, com owner e classificação corretos.
A ISO 27001 exige inventário físico ou basta o discovery de rede?
A norma não prescreve a técnica, mas exige que o inventário reflita a realidade e seja mantido — e o discovery de rede só enxerga o que está ligado, conectado e com agente instalado. Notebooks desligados ou em estoque, equipamentos sem IP, mídias removíveis, impressoras com disco e dispositivos de shadow IT ficam fora. Na prática de auditoria, a combinação que sustenta o controle é discovery lógico + inventário físico in loco com etiquetagem + conciliação com o CMDB e o contábil.
Quem deve ser o owner (proprietário) de um ativo na ISO 27001?
O owner é a pessoa ou papel formalmente responsável pelo ciclo de vida do ativo — classificação, uso aceitável, proteção e descarte. Não precisa ser quem usa o ativo no dia a dia (o custodiante): um coordenador de infraestrutura pode ser owner de todos os servidores, enquanto cada notebook tem um usuário custodiante com termo de responsabilidade. O essencial para a auditoria é que a designação seja formal, comunicada e que o owner saiba responder pelos seus ativos.
Com que frequência o inventário de ativos deve ser atualizado para a ISO 27001?
A norma exige que o inventário seja "mantido" — preciso e atualizado — sem fixar periodicidade. A prática consolidada combina três camadas: atualização por evento (toda aquisição, transferência, devolução e baixa refletida imediatamente), contagens cíclicas por área ou amostra ao longo do ano, e inventário físico completo como linha de base anual ou na implantação do SGSI. O que reprova em auditoria é a ausência de processo e de evidência de verificação, não a escolha de uma frequência específica.
A CPCON emite o certificado ISO 27001?
Não — e nenhuma consultoria emite. O certificado ISO 27001 é concedido exclusivamente por organismos de certificação acreditados, após auditoria independente do SGSI. O papel da CPCON é anterior e complementar: executamos o inventário físico, a etiquetagem e a conciliação física × lógica × contábil do parque de TI, gerando a evidência de campo que o auditor examina no controle A.5.9 e nos controles de ciclo de vida de ativos. São 30 anos e mais de 4.500 projetos de inventário e auditoria de ativos.

Artigos Relacionados

SOC 2 e Gestão de Ativos: as Evidências que o Auditor Vai Pedir
Conformidade

SOC 2 e Gestão de Ativos: as Evidências que o Auditor Vai Pedir

Ler artigo
Shadow IT e BYOD: o Inventário que Sua Empresa Não Sabe que Tem
Conformidade

Shadow IT e BYOD: o Inventário que Sua Empresa Não Sabe que Tem

Em toda empresa existe um segundo parque de TI: o monitor comprado pelo departamento com verba própria, o SaaS assinado no cartão corporativo, o roteador instalado pela filial, o notebook pessoal que acessa o ERP. Estimativas de mercado (Gartner) apontam que 30% a 40% do gasto de TI em grandes empresas ocorre fora do controle formal do departamento de tecnologia. Esse inventário invisível concentra risco de segurança, licenciamento, LGPD e distorção do imobilizado — e não aparece em ferramenta de discovery. Este guia mostra como trazê-lo à luz e como conviver com BYOD sem perder o controle.

Ler artigo
LGPD e Mapeamento de Ativos: Onde Seus Dados Pessoais Realmente Moram
Conformidade

LGPD e Mapeamento de Ativos: Onde Seus Dados Pessoais Realmente Moram

Ler artigo
Tipos de Inventário: Físico, Rotativo, Cíclico e com RFID
Gestão Patrimonial

Tipos de Inventário: Físico, Rotativo, Cíclico e com RFID

Inventário não é tarefa única — é família de processos contábeis e operacionais com objetivos distintos. Conhecer cada tipo de inventário (físico, rotativo/cíclico, anual, ABC, contábil, MRO, hospitalar, intermitente, permanente, parcial) e a camada de tecnologia RFID permite à empresa escolher o método certo para cada classe de ativo ou estoque, reduzir custos de contagem e aumentar a acurácia dos saldos contábeis.

Ler artigo
Ativos Fantasmas: Como Identificar e Eliminar
Controle Patrimonial

Ativos Fantasmas: Como Identificar e Eliminar

Ler artigo
EC

Equipe CPCON

Consultoria Patrimonial | Grupo CPCON

A equipe técnica da CPCON Brasil (grupocpcon.com) executa inventário físico, etiquetagem e conciliação de ativos de TI e patrimônio há 30 anos, com mais de 4.500 projetos no Brasil e no exterior — gerando a evidência de campo que auditorias de segurança da informação e auditorias contábeis examinam.

Nota de transparência: Este artigo reflete a experiência prática da equipe CPCON. Recomendamos validar decisões contábeis e fiscais com seu auditor ou contador responsável.

Precisa de Apoio Especializado?

30 anos de história e 4.500 projetos realizados a serviço da sua empresa.

Agendar Conversa Ver Mais Artigos