This post is also available in: Português Español
O ciclo de vida padrão de uma norma ISO é de 5 anos. Após esse período, é realizada uma revisão com intuito de avaliar se a norma permanece válida, precisa de revisão ou deve ser descontinuada.
Durante o ano de 2022, as ISO’s/IECs 27001 e 27002, passaram por processo de revisão, o que gerou certa expectativa no mercado.
A nova revisão na ISO/IEC 27001:2022, está em fase de publicação e substitui a versão de 2013. Algumas das principais mudanças são: atualização do Anexo A e uma alteração do título da norma, que agora é chamada de ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection.
A versão mais recente da ISO/IEC 27002 foi publicada no início deste ano, e suas últimas alterações também impactam na ISO/IEC 27001:2022.
Diferença entra a ISO/IEC 27001 e ISO/IEC 27002
A ISO/IEC 27001 é a norma certificável, que contém os requisitos para implementação de um sistema de gestão de segurança da informação.
Já a ISO/IEC 27002, contém as melhores práticas, para a implementação e gestão dos controles em segurança da informação.
Vale ressaltar que a ISO 27002 não é uma norma certificável, pois trata-se de um material de apoio que auxilia na implementação dos requisitos, listados no Anexo A, da norma ISO/IEC 27001.
Que mudanças a nova atualização trouxe para as ISO’s?
É importante ressaltar que as modificações feitas na ISO/IEC 27002, vigoram desde março de 2022, ou seja, são anteriores a atualização da norma ISO/IEC 27001. Para facilitar o entendimento, segue um compilado das modificações realizadas na ISO/IEC 27002.
- 1.Redução no número de controles de 114 para 93;
- 2.Inserção de 11 novos controles;
- 3. Reorganização das seções de controle (4 seções)
- 4. Inclusão de dois anexos
a. Inteligência de ameaças
b. Segurança da informação para uso de serviços em nuvem
c. Prontidão de TIC para continuidade de negócios
d. Monitoramento de segurança física
e. Gerenciamento de configuração
f. Exclusão de informações
g. Mascaramento de dados
h. Prevenção de vazamento de dados
i. Atividades de monitoramento
j. Filtragem da Web
k. Codificação segura
a. Controles organizacionais
b. Controles de pessoas
c. Controles físicos
d. Controles tecnológicos
a. Anexo A – Usando atributos
b. Anexo B – Correspondência com a ISO/IEC 27001:2013
Inserção de novos atributos para os controles:
- Tipos: preventivo, detectivo e corretivo;
- Propriedade: confidencialidade, integridade e disponibilidade;
- Conceito: identificar, proteger, detectar, responder e recuperar;
- Capacidades operacionais: governança, gestão de ativos, segurança da informação, segurança de recursos humanos, etc;
- Domínios: governança e ecossistema, proteção, defesa e resiliência.
Apesar da redução no número de controles é importante reforçar que nenhum controle foi excluído, os controles apenas foram fundidos.
Em se tratando da ISO/IEC 27001, tal como supracitado, além da alteração do nome para – ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection – o Anexo A, recebeu atualizações, tal como segue:
- 1. Redução do número de controles de 114 para 93;
- 2. Inserção de 11 novos controles;
- 3. Reorganização das seções de controle (4 seções)
As modificações acompanham as alterações promovidas na norma ISO/IEC 27002, que ocorreram em março de 2022.
O que é necessário mudar nas ISO’s já implementadas?
As alterações nos padrões são principalmente sobre a reorganização dos controles, portanto, não é necessário realizar nenhuma alteração na tecnologia, apenas alterações nas documentações.
As empresas podem começar a se familiarizar com os controles da ISO/IEC 27002:2022, atualizar seus processos de tratamento de risco com os novos controles, adaptar seus documentos de acordo, atualizar e otimizar sua Declaração de Aplicabilidade e adaptar certas seções em suas políticas e procedimentos.
Caso sua empresa seja certificada, o organismo de certificação verificará se você adaptou suas documentações dentro do período de transição.
Não haverá necessidade de agendar novas auditorias, pois eles farão isso durante as auditorias de acompanhamento regulares.
A Consulta Nacional da ABNT lançou o projeto de Revisão da ISO/IEC 27001 de 2022, que pode ser visto através do site oficial: https://www.abntonline.com.br/consultanacional/
Ficou com alguma dúvida sobre a atualização das normas? Nossos especialistas estão de prontidão para lhe auxiliar. Fale conosco.
This post is also available in: Português Español