logo_FEDER español
gss-logo-header
PT
ESENFR
DemoSolicite uma demonstração
Segurança

Nova versão ISO 27001:2022

Aitziber Ardanza
🕑 6 minutes read

Table of contents

A evolução da ISO 27001

Atualmente, existe uma necessidade indiscutível de implementar medidas eficazes de segurança cibernética nas organizações devido à tendência crescente de ataques de segurança. Por isso, as empresas buscam demonstrar confiança aos seus clientes e compromisso com a segurança das informações que tratam.

Como resultado, a implementação das conhecidas normas ISO é uma realidade. São normas desenvolvidas e publicadas pela International Organization for Standardization (ISO) e que têm como principal objetivo regularizar processos específicos em diferentes áreas.

Neste caso, vamos focar-nos na segurança da informação, abordada na chamada família ISO 27000 , onde se destaca a sua principal norma, a ISO 27001:2022. Esta norma específica especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Segurança da Informação (SGSI).

O regulamento discutido neste artigo foi atualizado recentemente e inclui alguns novos recursos. Uma nova versão foi publicada em 25 de outubro de 2022. Esta versão trouxe consigo múltiplas alterações na norma, criando uma necessidade de adaptação a todas as organizações nela certificadas. As atualizações mais relevantes que foram feitas serão detalhadas abaixo.

Alterações ao PDCA

Embora em regras gerais, os trechos que compõem o PDCA (Plan-Do-Check-Act) da regulamentação não tenham sofrido muitas alterações, é necessário destacar algumas delas.

A partir da seção 4 do Contexto da Organização, a única modificação foi implementada no ponto 4.4 denominado Sistema de Gestão de Segurança da Informação. Isso reflete a nova necessidade de mapear os processos da empresa em relação ao próprio PDCA e controles.

Por outro lado, na seção 5 sobre liderança, uma menção explícita foi simplesmente adicionada à necessidade de comunicar papéis e responsabilidades dentro da organização. Essa ação já era realizada com a versão anterior na maioria das organizações, mas não era explicitamente detalhada no padrão.

Continuando com o ponto 6 do regulamento, o do Planejamento, 2 mudanças relevantes podem ser distinguidas. Em relação aos objetivos de segurança da informação e seu planejamento para sua realização, estabeleceu-se que os objetivos devem ser monitorados e disponibilizados como informações documentadas. Além disso, foi criado um novo item, o Planejamento de Mudanças 6.3, que prevê que quando a organização determina a necessidade de mudanças no SGSI, essas mudanças devem ser realizadas de forma planejada.

Por fim, na seção 8 da Operação, especificamente no ponto 8.1 (Planejamento e controle operacional) é indicado que, além dos processos contratados por terceiros, seus produtos e serviços também devem ser controlados. Da mesma forma, os próprios processos também devem ser controlados.

Alterações nos controles

Pode-se dizer que a maior parte da atualização da ISO 27001:2022 se concentra nos controles de segurança. Isso porque, após a nova versão da ISO 27002 publicada em 16 de fevereiro de 2022, o Anexo A da norma que inclui esses controles passou por uma reorganização completa.

A versão de 2013 possuía 114 controles divididos em 14 domínios. No entanto, na versão 2022 eles foram reduzidos e agora consistem em 93 controles dispostos em 4 grandes grupos de controles.

Os novos grupos e a organização de seus controles são detalhados abaixo:

  • Controles Organizacionais: 37 controles, dos quais 3 são novos.
  • Controles de pessoal: 8 controles, inalterados em relação à versão anterior.
  • Controles físicos: 14 controles, dos quais 1 é novo.
  • Controles Tecnológicos: 34 controles, dos quais 7 são novos.

Os novos controles que não existiam na versão anterior são os seguintes:

  • 7 Inteligência de ameaças.
  • 23 Segurança da informação no uso de serviços em nuvem.
  • 30 Preparação das TIC para a continuidade das atividades.
  • 4 Monitoramento de segurança física.
  • 9 Gerenciamento de configuração.
  • 10 Exclusão de informações.
  • 11 Mascaramento de dados.
  • 12 Prevenção de vazamento de dados.
  • 16 Monitoramento de atividades.
  • 23 Filtragem da Web.
  • 28 Codificação segura.

Por outro lado, vale ressaltar que um total de 57 controles da versão antiga foram fundidos em 24, daí a redução no número de controles.

Da mesma forma, dos demais controles existentes na versão 2013, alguns deles sofreram modificações que exigirão mudanças para se adaptarem às organizações.

Datas de adaptação da ISO 27001:2022

A emissão da versão en da nova norma foi em 25 de outubro de 2022. No entanto, esta publicação não requer adaptação imediata às mudanças discutidas, mas oferece um tempo para se adaptar ao novo padrão.

Em primeiro lugar, a disponibilidade de certificação na nova ISO/IEC 27001:2022 está estimada para fevereiro/abril de 2023, mas dependerá principalmente dos Organismos de Acreditação. No entanto, a última data estabelecida para auditorias em relação à versão anterior de 2013 será 18 meses após a nova publicação, ou seja, em abril de 2024. Esta data inclui auditorias iniciais e de recertificação.

Por fim, refira-se que, a partir de 3 anos a contar da nova publicação, ou seja, outubro de 2025, todos os certificados da versão 2013 serão invalidados.

Como podemos ajudá-lo?

Da GlobalSuite Solutions, apoiaremos você implementando a norma ISO 27001:2022 para sua certificação oficial. Podemos começar do zero com um diagnóstico inicial de conformidade ou ajudando você a atualizar seu Sistema de Gestão de Segurança da Informação com base na ISO 27001:2013, fazendo alterações relevantes nos catálogos de controle de segurança, PDCA, etc. Além disso, com sua gestão através do GlobalSuite® Security , você pode obter os seguintes benefícios:

  • Você economizará tempo na gestão de processos da ISO 27001 e utilizará menos recursos com o uso do software, obtendo assim melhores resultados e consolidação.
  • Você obterá maior eficiência na realização de análises de risco com uma plataforma específica.
  • Você realizará o ciclo de melhoria contínua mais rapidamente, sem duplicação de informações e com resultados mais confiáveis.
  • Você monitorará as ações da equipe por meio do registro automático de modificações, evitando a perda de informações e controlando as modificações de dados.
  • Você poderá sincronizar o sistema com outros softwares da sua empresa para aproveitar a gestão de outras áreas, por exemplo, funcionários, processos, incidentes, etc.
  • E você evitará a manutenção de aplicativos recaindo sobre o provedor: segurança de aplicativos, backups em caso de perda de informações, disponibilidade, etc.

Share:

Aitziber Ardanza
. Consultora Departamento de Consultoría de GlobalSuite Solutions Ingeniera de telecomunicaciones por la UPV/EHU con máster en Ciberseguridad por la Universidad Politécnica de Madrid.

More articles