Em 25 de outubro de 2022, a ISO 27001 foi atualizada sendo publicada a nova ISO/IEC 27001:2022. Você está por dentro das novidades?

A segurança da informação é uma responsabilidade de governança corporativa. Ela não pode ser vista como uma iniciativa isolada da equipe de Tecnologia da Informação, mas sim como um tópico de estratégia de negócio. Dentro dessa perspectiva, organizações têm lutado para proteger informações controladas, críticas ou confidenciais do acesso indevido que pode causar danos irreversíveis ao negócio.

A família de normas ISO 27000 ajuda as organizações a manter em segurança os ativos de informação, tais como informações financeiras, propriedade intelectual, detalhes dos funcionários ou informações confiadas por terceiros. A ISO/IEC 27001 é a norma mais conhecida dessa família e contempla os requisitos para o sistema de gestão da segurança da informação (SGSI).

A revisão

Após nove anos, em 25 de outubro de 2022, a ISO 27001 foi atualizada sendo publicada a nova ISO/IEC 27001:2022, o que gerou certa expectativa no mercado.

Essa nova versão veio para ajudar as organizações a gerenciar os controles de forma mais eficaz, agrupando-os em quatro “temas” claros: organizacional, pessoal, tecnológico e físico. Essa mudança fundamental visa alcançar maior clareza, foco e responsabilidade pela segurança da informação dentro de uma organização.

Mesmo que esta revisão traga apenas mudanças moderadas, é importante estudá-las de perto. Portanto, nesse artigo vou comentar sobre todas as mudanças e comparar esta revisão de 2022 com a antiga, de 2013.

A ISO 27001 não é a ISO 27002

Antes de começarmos com as novidades propriamente ditas, vamos a um tópico importante que ainda causa bastante dúvida: não confunda a ISO 27001 com a ISO 27002.

Esclarecendo, a ISO 27001 é a norma a qual você pode certificar sua empresa, enquanto a 27002 é a norma de apoio que fornece diretrizes sobre a implementação de controles de segurança. A diferença mais importante é que a ISO 27002 não é obrigatória para a certificação ISO 27001 e sua empresa não pode ser certificada pela ISO 27002.

Nova revisão, título novo

Uma mudança interessante, refletindo a evolução tecnológica e a abrangência dos temas associados à segurança, a mudança que vemos de cara é referente ao novo título da norma.

Diferente da ISO/IEC 27001:2013, o título completo da nova versão é ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection. Em português, podemos ver a sutil mas importante diferença:

Como era (ISO/IEC 27001:2013): “Tecnologia da informação – técnicas de segurança – sistemas de gestão da segurança da informação”.

Como ficou (ISO/IEC 27001:2022): “Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos”.

Essa mudança não gerará impactos para a sua empresa, apenas lembre-se de atualizar seus documentos onde a norma é citada tanto no nome quando na nova versão.

O Anexo A de cara nova

À primeira vista, o Anexo A mudou muito – o número de controles caiu de 114 para 93 e está organizado em apenas quatro seções contra as 14 seções da revisão de 2013. No entanto, após um olhar mais atento, torna-se óbvio que as alterações no Anexo A são apenas moderadas e estão alinhadas com as atualizações da ISO/IEC 27002:2022, publicadas no início de 2022.

O Anexo A da ISO/IEC 27001:2022 sofreu alterações tanto no número de controles quanto na sua listagem em grupos. A começar, o título do anexo sofreu uma pequena alteração de Objetivos e controles de referência para Referência de controles da segurança da informação.

Voltando a diminuição do número de controles, ela se deve, principalmente, devido à fusão de muitos deles. Vamos aos números: 35 controles permaneceram os mesmos, 23 foram renomeados, 57 controles foram mesclados em 24 e um controle foi dividido em dois. Como já comentamos anteriormente, essa reformulação foi concretizada para refletir a atualização tecnológica e uma abordagem mais compreensiva dos domínios de segurança. Veja como os 93 controles forem reestruturados em quatro grandes grupos:

  1. A.5 Controles organizacionais – contém 37 controles
  2. A.6 Controles de pessoas – contém 8 controles
  3. A.7 Controles físicos – contém 14 controles
  4. A.8 Controles tecnológicos – contém 34 controles

A nova versão também trouxe 11 novos controles conforme mencionados abaixo:

  1. Inteligência de ameaças – obter informações sobre ameaças, analisá-las e tomar ações de mitigação apropriadas.
  2. Segurança da informação para o uso de serviços em nuvem – estabelecer requisitos de segurança em serviços cloud.
  3. Prontidão de TIC para a continuidade dos negócios – assegurar que as TICs estão preparadas para rompimentos e que a informação e ativos estarão prontos quando necessários.
  4. Monitoramento de segurança física – monitoramento físico de áreas sensíveis para controle de acessos.
  5. Gerenciamento de configurações – gestão do ciclo completo da tecnologia (definição da configuração, implementação, monitoramento e revisão).
  6. Exclusão de informações – assegurar a eliminação da informação quando esta deixa de ser necessária, como forma de evitar fugas de informação, em particular informação sensível e privada.
  7. Mascaramento de dados – utilizar técnicas de “data masking” em conjunto com controles e acessos para limitar a exposição de informação sensível.
  8. Prevenção de vazamento de dados – aplicar medidas para evitar a divulgação não autorizada de informação.
  9. Atividades de monitoramento – monitoramento dos sistemas para deletar comportamentos anormais e possíveis incidentes de segurança da informação.
  10. Filtragem da web – proteção dos sistemas de TI através da gestão dos sites que os utilizadores têm acesso.
  11. Codificação segura – estabelecer princípios de código seguro, aplicando desde o desenvolvimento do software.

A revisão afetará seu certificado ISO/IEC 27001 atual?

Notícia boa! As novas alterações na ISO/IEC 27001:2022 não afetarão seu atual certificado ISO/IEC 27001. Mas é importante ficar atento ao período de transição.

De acordo com o documento “Requisitos de transição para a ISO/IEC 27001:2022” do International Accreditation Forum, para empresas já certificadas pela ISO 27001:2013, a transição para a ISO 27001:2022 precisa ser concluída até 31 de outubro de 2025.

Os organismos de certificação devem começar a certificar empresas de acordo com a nova versão a partir de 31 de outubro de 2023, mas certamente a maioria deles começará muito antes. Então, para você que ainda não é certificado, fique ligado nas alterações para incorporá-las antes de iniciar sua auditoria.

Resumo final –  o quanto você será impactado

Como as mudanças nos controles, e na norma como um todo, são muito pequenas, a transição para a nova atualização da norma será tranquila. Talvez seja necessário adaptar e atualizar um ou outro requisito, mas nada muito aprofundado. Caso a empresa já seja certificada é necessário realizar apenas as atualizações para manter a conformidade quanto aos novos controles.

Para resumir, as alterações na parte principal do padrão são pequenas e podem ser feitas rapidamente, com apenas pequenas alterações na documentação e nos processos. As alterações nos controles do Anexo A são moderadas e podem ser tratadas principalmente adicionando os novos controles à documentação existente.

Claro que a expectativa pela revisão era grande, e muitos profissionais da área esperavam mudanças mais avassaladoras. Mas tenho certeza que as empresas que já são certificadas pela revisão de 2013 ficarão aliviadas porque o trabalho a ser feito não é tão grande.

Tecnologia para auxiliar na segurança da informação da sua empresa

A SoftExpert oferece a solução de software mais abrangente e avançada para a gestão da segurança da informação que atende às necessidades dos mais rigorosos regulamentos globais. O SoftExpert Excellence Suite ajuda as empresas a aderirem à ISO/IEC 27001, reduzindo os custos de conformidade, maximizando o sucesso, aumentando a produtividade e reduzindo os riscos.

A solução da SoftExpert permite que as organizações atendam aos requisitos da ISO 27001 de forma fácil, garantindo os três pilares da segurança da informação: Confidencialidade, Integridade e Disponibilidade (CID). Ela auxilia no gerenciamento de riscos, controles, políticas de segurança da informação, ativos, incidentes, fornecedores, indicadores de desempenho, processos, entre outros. Isso impulsiona a eficiência organizacional e reduz o retrabalho e o desperdício. Quer saber mais? Entre em contato com um de nossos especialistas que terão o maior prazer em apresentar a nossa solução para você.

Falar com especialista

 

Camilla Christino

Autor

Camilla Christino

Camilla Christino é Analista de Produto e Mercado da SoftExpert, formou-se em Engenharia de Alimentos no Instituto Mauá de Tecnologia. Detém sólida experiência na área de qualidade em indústrias de alimentos com foco em acompanhamento e adequações de processos de auditorias interna e externa,documentação do sistema de gestão da qualidade (ISO 9001, FSSC 22000, ISO/IEC 17025), Controle da Qualidade, Assuntos Regulatórios, BPF, APPCC e Food Chemical Codex (FCC). Ela também é certificada como auditora líder na norma ISO 9001:2015.

Você também pode gostar:

Conhecimento

Esclarecendo a ISO/IEC 42001 – Sistema de Gestão de IAs

Confira como a ISO/IEC 42001 se aplica à inteligência artificial, seus objetivos e benefícios para diferentes tipos de negócios.

Leia mais
Todos

ISO 27001: Guia completo de implementação em 10 etapas

Precisa implementar a ISO 27001 e não sabe por onde começar? Tenha acesso a um guia completo sobre como implementar a norma na sua empresa.

Leia mais
Todos

Gestão de chamados de TI: Como atender solicitações de forma ágil e eficaz

Descubra as melhores práticas de gestão de chamados que você pode adotar para sua equipe responder às solicitações de forma ágil e eficaz.

Leia mais
Conhecimento

Certificações ISO: Um panorama atual do mercado

A busca por excelência nos negócios aumenta a adesão às certificações ISO que movimentam o mercado e trazem boas estimativas para o futuro.

Leia mais
Novidades Suite

Agilize a solução de problemas com o SoftExpert Base de Conhecimento

Leia este artigo e conheça o SoftExpert Base de Conhecimento, o mais novo componente do SoftExpert Suite que acelera a solução de problemas.

Leia mais
Conhecimento

Como agilizar o tempo de resposta em acordos de nível de serviço – SLA

Conheça estratégias para agilizar o tempo de resposta em acordos de nível de serviço – SLA. Leia este artigo agora mesmo!

Leia mais
Receba conteúdo gratuito em seu e-mail!

Assine nossa Newsletter e receba materiais sobre as melhores práticas em gestão produzidos por especialistas.

Ao clicar no botão abaixo, você confirma que leu e aceita nossa Política de Privacidade.

Por favor, preencha o formulário e fale conosco

Campo obrigatório
Campo obrigatório
Campo obrigatório
Por favor insira um número válido.
Campo obrigatório

Ao clicar no botão abaixo, você confirma que leu e aceita nossa Política de Privacidade