Os processos empresariais de valor agregado são impulsionados por informação e dados. Sem troca de informação, nada funciona na nossa economia digital. Os nossos serviços básicos baseiam-se em infraestruturas críticas cuja funcionalidade está altamente dependente da troca de informações e dados. A segurança da informação estende-se até a realidade do nosso trabalho e das nossas vidas. A proteção das operações diárias orientadas pela informação, dados críticos e propriedade intelectual contra ameaças cibernéticas é, portanto, imprescindível para empresas de todas as dimensões. Nesta era de ataques cibernéticos industrializados, a adaptação a riscos de segurança da informação em constante mudança exige uma abordagem oportuna e flexível à construção da resiliência das empresas.


E é exatamente aqui que entra a nova ISO/IEC 27001:2022 com o seu foco na orientação do processo na gestão da segurança da informação. Durante mais de duas décadas, a norma ISO 27001 tem servido como base para os sistemas de gestão da segurança da informação. E apesar de sua idade, de acordo com a pesquisa ISO, a norma conseguiu crescer, com um aumento de 32% nos certificados em 2021. Num contexto de crescente procura de um panorama contemporâneo de avaliação da segurança da informação, a nova ISO/IEC 27001:2022 foi publicada em 25 de outubro de 2022. O que é que está previsto?

Loading...

Visão geral das novas características da ISO/IEC 27001:2022

A ISO/IEC 27001 descreve o quadro para um sistema de gestão da segurança da informação (ISMS) - e para as empresas, independentemente da sua estrutura, tamanho ou segmento. O ponto principal é a gestão de risco. As ameaças cibernéticas em transformação estão explorando constantemente novas vulnerabilidades potenciais nas empresas com o objetivo de atacar e comprometer os fluxos de informação e, assim, os processos empresariais. Os riscos decorrentes deste mecanismo sobre os três objetivos essenciais de proteção da segurança da informação - confidencialidade, integridade e disponibilidade - devem ser identificados e geridos.

A atualização da ISO/IEC 27001:2022 aborda as melhores práticas para a gestão destes riscos de segurança da informação. A lista de possíveis controles de segurança da informação no Anexo A normativo da nova ISO/IEC 27001:2022 deriva de forma idêntica da orientação revista da ISO/IEC 27002:2022. A orientação de implementação já foi adotada em fevereiro deste ano com uma sistemática mais simples e controles de segurança atualizados. As novas normas ISO/IEC 27001:2022 e ISO 27002 versões de 2022 trazem valiosas medidas e recomendação que contribuirão efetivamente para a melhoria e robustez dos sistemas de gestão de segurança da informação.

ISO/IEC 27001:2022-10 - Segurança da informação, cibersegurança e proteção da privacidade - Sistemas de gestão da segurança da informação - Requisitos
A norma está disponível em inglês na homepage da ISO.

Outra mudança significativa na nova ISO/IEC 27001:2022 é que, com a adaptação à chamada (HS), o muito esperado requisito de orientação do processo é colocado no foco de um SGSI eficaz. A base de sistemas de gestão eficazes é formada por processos claros e as suas interações, bem como critérios orientados para estes processos, para o seu controle.

A seguir, analisaremos mais de perto as três áreas de mudança da nova versão da ISO/IEC 27001.

 

Estrutura de Alto Nível torna-se Estrutura Harmonizada

A partir de maio de 2021, a anterior Estrutura de Alto Nível (HLS) agora chamada de Estrutura Harmonizada (HS). A HS é a estrutura básica e o modelo para o desenvolvimento de novas e futuras revisões das normas do sistema de gestão ISO existentes. A ISO/IEC 27001:2022 é uma das primeiras normas de sistema de gestão a ser adaptada ao HS. Vários esclarecimentos, alterações, mas também exclusões no HS em comparação com o HLS são bastante interessantes para os usuários que estão familiarizados com a norma.

Para a ISO/IEC 27001:2022, contudo, uma derivação significativa do SH é diretamente visível. O requisito 6.3 exige que as alterações ao SGSI sejam implementadas de uma forma planejada. Esta exigência é comum a outros sistemas de gestão e expressa a expectativa de que um processo de mudança relacionado com o SGSI tenha sido dominado. Por exemplo, a transição da anterior ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022 pode ser entendida como uma alteração ao SGSI que deve ser implementada de forma planejada com todos os seus efeitos e interações.

webinar-dqs-junger-mann-mit-headset-sitzt-vor-einem-laptop
Loading...

Assista agora: O que está mudando com a nova ISO/IEC 27001:2022

A nova versão da ISO/IEC 27001, adaptada aos riscos de informação contemporâneos, foi publicada em 25 de outubro de 2022. O que isso significa para os usuários da norma? Em nossa gravação gratuita de webinar, você aprenderá sobre:

  • Novos recursos da ISO/IEC 27001:2022 - Estrutura e Anexo A
  • ISO/IEC 27002:2022-02 - estrutura, conteúdo, atributos e hashtags 
  • Linha do tempo para a transição e seus próximos passos

Alterações normativas na ISO/IEC 27001:2022

Uma mudança muito significativa acrescenta ao contexto da organização no Requisito 4.4 a exigência de identificar os processos necessários e as suas interações dentro do SGSI que são necessários para a sua implementação e manutenção. Esse requisito explícito coloca a ISO/IEC 27001:2022  em linha com a abordagem das melhores práticas de outros sistemas de gestão de acordo com o HS (HLS). O sistema de gestão da segurança da informação deve se basear em processos estabelecidos, rastreáveis e nas suas interações. Os controles de segurança da informação do Anexo A são então concebidos e adaptados em torno destes processos.

A próxima alteração relevante no Requisito 8.1 também enfatiza a importância da orientação do processo, que é comum a todos os sistemas de gestão baseados em HS. As organizações devem realizar processos como parte do seu planejamento e controle operacional para implementar as medidas de gestão dos riscos de segurança da informação. O que é novo e quais critérios do processo devem agora ser definidos. O controle do processo deve ser implementado de acordo com esses critérios.

Além disso, foram feitos esclarecimentos e especificações bem menores nos requisitos seguintes:

  •  Requisito 5.3 é complementado pela exigência explícita de que as responsabilidades e autoridades para funções relacionadas com a segurança da informação sejam conhecidas dentro da organização.
  •  Requisito 7.4 regula a necessidade de comunicação interna e externa relativamente ao SGSI. Para além das disposições ainda aplicáveis sobre o quê, quando, e com quem, a forma de comunicação é uma simplificação exequível em relação aos requisitos anteriores.
  • O Requisito 9.2 Auditoria Interna e o 9.3 Revisão da Gestão foram adaptados à Estrutura Harmonizada. O requisito 9.2 está agora subdividido em 9.2.1 e 9.2.2, o requisito 9.3 está dividido em três subdivisões 9.3.1, 9.3.2 e 9.3.3.
  • A ordem em que os Requisitos 10.1 e 10.2 estão estruturados foi adaptada à Estrutura Harmonizada. O aspecto da melhoria contínua prospectiva precede agora o tratamento retrospectivo de não conformidades e ações corretivas no Requisito 10.2 e no Requisito 10.1, sem quaisquer outras alterações de conteúdo. Este ajuste enfatiza a importância do processo de melhoria contínua (CIP).

Os requisitos chave e imprescindíveis da ISO/IEC 27001 que fazem referência ao conjunto de controles do Anexo A são, de acordo com o Requisito 6.1.3 c), o processo de comparação entre os controles de segurança da informação específicos da organização com os do Anexo A e, de acordo com o Requisito 6.1.3 d) , a elaboração de uma Declaração de Aplicabilidade (SoA). Esses requisitos principais permanecem inalterados!

As explicações nas notas informativas (não normativas) do Requisito 6.1.3 c) com a referência ao Anexo A como uma lista de possíveis controles de segurança da informação indicam a possibilidade de selecionar medidas adicionais de outras fontes complementares ao Anexo A.

 

O novo Anexo A da ISO/IEC 27001:2022

A lista de possíveis controles de segurança da informação (SI) no Anexo normativo A da ISO/IEC 27001:2022 deriva de forma idêntica da ISO/IEC 27002:2022. O catálogo dos controles gerais de segurança foi publicado em fevereiro de 2022. Portanto, as alterações ao Anexo A da ISO/IEC 27001:2022 são previsíveis há já algum tempo. Anteriormente, o Anexo A incluía um total de 114 controles que podiam ser utilizados para abordar os riscos de segurança da informação sob 35 objetivos de controle organizados em 14 requisitos.

Para além do fato de a nova ISO/IEC 27001:2022 eliminar os objetivos de controle, os controles de segurança da informação no Anexo A foram revistos, atualizados e complementados e reorganizados com alguns novos controles.

Os 14 requisitos anteriores do Anexo A estão agora focados nos 4 tópicos seguintes:

A.5 Controles organizacionais (com 37 controles).

A.6 Controles pessoas (com 8 controles)

A.7 Controles físicos (com 14 controles)

A.8 Controles tecnológicos (com 34 controles)

O Anexo A da nova versão ISO/IEC 27001:2022 inclui agora um total de 93 controles, dos quais os 11 controles seguintes são novos:

5.7 Inteligência de Ameaças

5.23 Segurança da informação para uso de serviços em nuvem

5.30 Prontidão de TIC para a continuidade dos negócios

7.4 Monitoramento de segurança física

8.9 Gestão de configuração

8.10 Exclusão de informação

8.11 Mascaramento de dados

8.12 Prevenção de vazamento de dados

8.16 Atividades de monitoramento

8.23 Filtragem da Web

8.28 Codificação segura

Embora o Anexo A da ISO/IEC 27001:2022 se limite a nomear os controles, o guia de implementação da ISO/IEC 27002:2022 fornece outras opções para os categorizar. A cada controle são atribuídos cinco atributos que permitem visões e perspectivas diferentes sobre os mesmos. Os atributos ou os seus valores de atributos podem ser utilizados para filtrar, ordenar, ou exibir para diferentes vistas organizacionais.

Os cinco atributos são:

Tipo de Controle é um atributo para a visão dos controles na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação.

Propriedades de Segurança da informação é um atributo para a visualização dos controles na perspectiva de que objetivo de proteção a medida se destina a apoiar.

Conceitos de Cibersegurança anali-sa os controles da perspectiva de como eles mapeiam para o quadro de cibersegurança descrito na ISO/IEC TS 27110.

Capacidade Operacional considera os controles na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos usuários das medidas.

Domínios de Segurança é um atributo que permite que os controles sejam vistos da perspectiva de quatro domínios de segurança da informação.

ISO 27001/IEC - Sistema de Gestão de Segurança da Informação

Sistema de gestão abrangente de acordo com a norma ISO ★ Implementação efetiva de um processo de gestão de risco ★ Melhoria contínua do nível de segurança

Mais informações sobre a ISO/IEC 27001

O que a atualização significa para a sua certificação?

A versão nova da ISO/IEC 27001 foi publicada em 25 de outubro de 2022. Isto resulta nos seguintes prazos de transição:

Última data para auditorias iniciais/recertificação de acordo com a “antiga” ISO 27001:2013

  • Após 30 de abril de 2024, a DQS realizará auditorias iniciais e de recertificação apenas de acordo com a nova norma ISO/IEC 27001:2022

Transição de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022

  • Há um período de transição de 3 anos a partir de 31 de outubro de 2022 
  • Os certificados emitidos de acordo com ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025, o mais tardar, ou devem ser retirados nesta data

A nova ISO/IEC 27001:2022 - Conclusão

A nova ISO/IEC 27001:2022 está disponível. Isto marca o início do período de transição de 3 anos.

Em resumo, as principais inovações são as seguintes:

  • Conformidade do sistema de gestão com a Estrutura Harmonizada.
  • Ênfase na orientação do processo, suas interações e critérios.
  • Categorização simplificada e racionalizada dos controles em blocos temáticos.
  • Medidas contemporâneas alinhadas com os métodos organizacionais atuais e ameaças associadas.
  • Atributos para o alinhamento de controles com várias metodologias de gestão de risco, incluindo quadros globais de cibersegurança.
gerber-hermsdorf-werner-korall-audit dqs
Loading...

Você tem alguma dúvida?

Contate-nos!

Sem compromisso e sem custos.

Confiança e experiência na área

Os nossos textos e brochuras são redigidos exclusivamente pelos nossos especialistas em normas ou por auditores com bastante tempo de experiência. Se tiver alguma dúvida sobre o conteúdo do texto, ou sobre os nossos serviços, não hesite em nos enviar um e-mail.

Autor
Markus Jegelka

Especialista na DQS para sistemas de gestão de segurança da informação (ISMS) e auditor de longa data para as normas ISO 9001, ISO/IEC 27001 e catálogo de segurança de TI de acordo com o parágrafo 11.1a da Lei da Indústria de Energia Alemã (EnWG).

Loading...