Organizações que adotam o Microsoft Copilot precisam manter a conformidade com a ISO 27001, o padrão internacional de gestão de segurança da informação. A Declaração de Aplicabilidade (SoA) é um documento essencial que lista quais controles do Anexo A se aplicam ao seu sistema e como cada controle é implementado. Sem um mapeamento claro, auditores não conseguem verificar se o Copilot atende aos mesmos requisitos de segurança que o restante do ambiente Microsoft 365. Este artigo explica como mapear as capacidades e fluxos de dados específicos do Copilot para os controles do Anexo A da ISO 27001 e fornece uma tabela de referência que você pode adaptar para sua própria Declaração de Aplicabilidade.
Principais Conclusões: Mapeando o Copilot para os Controles ISO 27001
- ISO 27001 Anexo A.8 — Gestão de ativos: O Copilot processa dados do Microsoft Graph, SharePoint e Exchange; cada fonte de dados deve ser inventariada e classificada.
- ISO 27001 Anexo A.9 — Controle de acesso: O Copilot herda as permissões de usuário do Microsoft Entra ID; aplique o princípio do menor privilégio e políticas de Acesso Condicional.
- ISO 27001 Anexo A.12 — Segurança de operações: Os logs do Copilot estão disponíveis no portal de conformidade do Microsoft 365 Purview para monitoramento e auditoria.
Entendendo a Declaração de Aplicabilidade ISO 27001 para o Copilot
A Declaração de Aplicabilidade ISO 27001 é um documento formal que lista todos os controles do Anexo A e informa se cada controle é aplicável à sua organização. Para cada controle aplicável, a SoA descreve como o controle é implementado e faz referência às políticas ou medidas técnicas relevantes. Ao adicionar o Microsoft Copilot ao seu locatário Microsoft 365, a SoA deve ser atualizada para refletir como o Copilot interage com cada controle.
O Copilot não introduz um limite de segurança separado. Ele opera dentro do limite de serviço existente do Microsoft 365 e herda as mesmas certificações de conformidade, incluindo ISO 27001, ISO 27017 e ISO 27018. No entanto, a forma como o Copilot processa dados — gerando respostas ao fundamentar prompts nos dados do seu locatário — cria novas considerações para controles relacionados à classificação de dados, revisão de acesso e registro de auditoria.
O que a SoA deve capturar para o Copilot
Sua SoA atualizada deve cobrir três áreas específicas do Copilot:
- Fontes de dados: O Copilot pode acessar Microsoft Graph, sites do SharePoint, arquivos do OneDrive, caixas de correio do Exchange, chats do Teams e Viva Topics. Cada fonte deve ser listada na SoA sob o inventário de ativos.
- Modelo de permissão: O Copilot retorna apenas dados que o usuário já tem permissão para visualizar. A SoA deve fazer referência às políticas de controle de acesso baseado em funções no Microsoft Entra ID.
- Registro e monitoramento: As interações do Copilot são registradas no log de auditoria do Microsoft 365. A SoA deve especificar quais eventos de auditoria são coletados e por quanto tempo são retidos.
Etapas para Criar ou Atualizar o Mapeamento da SoA do Copilot
- Revise a SoA atual do Microsoft 365
Localize sua Declaração de Aplicabilidade ISO 27001 existente. Identifique os controles que já fazem referência aos serviços do Microsoft 365, como Exchange Online, SharePoint Online e Microsoft Entra ID. Esses controles formam a base para o mapeamento do Copilot. - Identifique os fluxos de dados do Copilot
Documente cada fonte de dados que o Copilot pode acessar em seu locatário. Use o centro de administração do Microsoft 365 para revisar quais sites do SharePoint, pastas do OneDrive e caixas de correio do Exchange estão indexados. Liste cada fonte na seção de inventário de ativos da SoA, sob o controle A.8.1. - Mapeie os controles de acesso para o Copilot
O Copilot aplica as mesmas permissões do serviço subjacente. Sob o controle A.9.2, descreva como o acesso do usuário ao Copilot é governado por políticas de Acesso Condicional e funções do Entra ID. Inclua a política que impede o Copilot de retornar dados que o usuário normalmente não pode ver. - Atualize os controles de registro e monitoramento
Sob o controle A.12.4, especifique que os eventos de auditoria do Copilot são capturados no log de auditoria do Microsoft 365. Liste os tipos de registro de auditoria específicos: CopilotInteraction, AIPDocumentOperation e FileAccessed. Informe o período de retenção — 90 dias por padrão, até 10 anos com uma licença de retenção. - Documente a gestão de fornecedores para o Copilot
Sob o controle A.15.1, faça referência à certificação ISO 27001 da Microsoft para o serviço Microsoft 365. Adicione uma nota de que o Copilot não introduz um novo subcontratado; ele é executado na mesma infraestrutura dos serviços principais do Microsoft 365. - Revise os controles de criptografia
Sob o controle A.10.1, confirme que os dados do Copilot em trânsito e em repouso usam a mesma criptografia do Microsoft 365 — TLS 1.2 para trânsito e BitLocker ou criptografia de Armazenamento do Azure em repouso. Nenhuma configuração adicional de criptografia é necessária para o Copilot. - Conduza uma análise de lacunas
Compare sua SoA atualizada com a lista completa de controles do Anexo A. Para controles onde o Copilot não introduz mudanças — por exemplo, segurança física sob A.11 — marque-os como inalterados. Para controles que o Copilot afeta, atualize a descrição da implementação e faça referência à documentação relevante da Microsoft.
Armadilhas Comuns ao Mapear o Copilot para a ISO 27001
Presumir que o Copilot Precisa de Controles de Acesso Separados
Algumas organizações criam novas políticas de controle de acesso especificamente para o Copilot. Isso é desnecessário. O Copilot usa o mesmo modelo de permissão do SharePoint, OneDrive e Exchange. Se um usuário não pode ler um arquivo no SharePoint, o Copilot não pode retornar esse arquivo em uma resposta. Atualize sua documentação de controle de acesso existente para observar que o Copilot herda essas permissões.
Ignorar a Cobertura do Log de Auditoria
O log de auditoria padrão do Microsoft 365 captura interações do Copilot, mas nem todas as organizações habilitam o registro de todos os tipos de evento do Copilot. Vá ao portal de conformidade do Microsoft 365 Purview e verifique se os seguintes registros de auditoria estão ativados: CopilotInteraction, AIPDocumentOperation e FileAccessed. Se estiverem desabilitados, o uso do Copilot não aparecerá em seus relatórios de auditoria e sua SoA ficará imprecisa.
Esquecer os Compromissos de Residência de Dados
O controle A.8.2 da ISO 27001 exige classificação e rastreamento de localização de dados. O Copilot processa prompts na mesma região geográfica do seu locatário Microsoft 365. Se sua organização tiver requisitos de residência de dados, confirme se a região de processamento de dados do Copilot corresponde aos locais aprovados. Use o centro de administração do Microsoft 365 para verificar a configuração de localização de dados em Configurações > Configurações da organização > Localização de dados.
Controles do Copilot vs. Controles Padrão do Microsoft 365: Principais Diferenças para a SoA
| Controle do Anexo A | Microsoft 365 Padrão | Com Copilot |
|---|---|---|
| A.8.1 Inventário de ativos | Lista Exchange, SharePoint, OneDrive, Teams | Adiciona o Copilot como serviço de processamento; as fontes de dados permanecem as mesmas |
| A.9.2 Provisionamento de acesso de usuário | Funções do Entra ID e associação a grupos | Mesmo; nenhuma nova função para o Copilot |
| A.12.4 Registro e monitoramento | Auditoria de caixa de correio, auditoria do SharePoint, logs de entrada | Adiciona os tipos de evento CopilotInteraction e AIPDocumentOperation |
| A.13.1 Segurança de rede | TLS 1.2, regras de firewall | Sem alteração; o Copilot usa os mesmos endpoints de rede |
| A.15.1 Segurança do fornecedor | Certificação ISO 27001 da Microsoft | Mesma certificação; nenhum novo fornecedor |
Esta tabela mostra que o Copilot não exige novos controles. Ele estende os controles existentes adicionando fontes de dados, eventos de auditoria e um serviço de processamento. Sua SoA deve refletir essas extensões em vez de criar entradas separadas.
Após atualizar a SoA, agende uma revisão com sua equipe de auditoria interna. Confirme se as descrições dos controles correspondem à configuração real do Copilot em seu locatário. Mantenha uma cópia do certificado ISO 27001 do Microsoft 365 — disponível no Portal de Confiança do Serviço — como evidência para o controle A.15.1. Para conformidade contínua, defina uma tarefa trimestral para verificar atualizações de recursos do Copilot que possam afetar o tratamento de dados, como novas conexões de fontes de dados ou alterações no modelo de permissão.