Alterações normativas na ISO/IEC 27001:2022
Uma mudança muito significativa acrescenta ao contexto da organização no Requisito 4.4 a exigência de identificar os processos necessários e as suas interações dentro do SGSI que são necessários para a sua implementação e manutenção. Esse requisito explícito coloca a ISO/IEC 27001:2022 em linha com a abordagem das melhores práticas de outros sistemas de gestão de acordo com o HS (HLS). O sistema de gestão da segurança da informação deve se basear em processos estabelecidos, rastreáveis e nas suas interações. Os controles de segurança da informação do Anexo A são então concebidos e adaptados em torno destes processos.
A próxima alteração relevante no Requisito 8.1 também enfatiza a importância da orientação do processo, que é comum a todos os sistemas de gestão baseados em HS. As organizações devem realizar processos como parte do seu planejamento e controle operacional para implementar as medidas de gestão dos riscos de segurança da informação. O que é novo e quais critérios do processo devem agora ser definidos. O controle do processo deve ser implementado de acordo com esses critérios.
Além disso, foram feitos esclarecimentos e especificações bem menores nos requisitos seguintes:
- O Requisito 5.3 é complementado pela exigência explícita de que as responsabilidades e autoridades para funções relacionadas com a segurança da informação sejam conhecidas dentro da organização.
- O Requisito 7.4 regula a necessidade de comunicação interna e externa relativamente ao SGSI. Para além das disposições ainda aplicáveis sobre o quê, quando, e com quem, a forma de comunicação é uma simplificação exequível em relação aos requisitos anteriores.
- O Requisito 9.2 Auditoria Interna e o 9.3 Revisão da Gestão foram adaptados à Estrutura Harmonizada. O requisito 9.2 está agora subdividido em 9.2.1 e 9.2.2, o requisito 9.3 está dividido em três subdivisões 9.3.1, 9.3.2 e 9.3.3.
- A ordem em que os Requisitos 10.1 e 10.2 estão estruturados foi adaptada à Estrutura Harmonizada. O aspecto da melhoria contínua prospectiva precede agora o tratamento retrospectivo de não conformidades e ações corretivas no Requisito 10.2 e no Requisito 10.1, sem quaisquer outras alterações de conteúdo. Este ajuste enfatiza a importância do processo de melhoria contínua (CIP).
Os requisitos chave e imprescindíveis da ISO/IEC 27001 que fazem referência ao conjunto de controles do Anexo A são, de acordo com o Requisito 6.1.3 c), o processo de comparação entre os controles de segurança da informação específicos da organização com os do Anexo A e, de acordo com o Requisito 6.1.3 d) , a elaboração de uma Declaração de Aplicabilidade (SoA). Esses requisitos principais permanecem inalterados!
As explicações nas notas informativas (não normativas) do Requisito 6.1.3 c) com a referência ao Anexo A como uma lista de possíveis controles de segurança da informação indicam a possibilidade de selecionar medidas adicionais de outras fontes complementares ao Anexo A.
O novo Anexo A da ISO/IEC 27001:2022
A lista de possíveis controles de segurança da informação (SI) no Anexo normativo A da ISO/IEC 27001:2022 deriva de forma idêntica da ISO/IEC 27002:2022. O catálogo dos controles gerais de segurança foi publicado em fevereiro de 2022. Portanto, as alterações ao Anexo A da ISO/IEC 27001:2022 são previsíveis há já algum tempo. Anteriormente, o Anexo A incluía um total de 114 controles que podiam ser utilizados para abordar os riscos de segurança da informação sob 35 objetivos de controle organizados em 14 requisitos.
Para além do fato de a nova ISO/IEC 27001:2022 eliminar os objetivos de controle, os controles de segurança da informação no Anexo A foram revistos, atualizados e complementados e reorganizados com alguns novos controles.
Os 14 requisitos anteriores do Anexo A estão agora focados nos 4 tópicos seguintes:
A.5 Controles organizacionais (com 37 controles).
A.6 Controles pessoas (com 8 controles)
A.7 Controles físicos (com 14 controles)
A.8 Controles tecnológicos (com 34 controles)
O Anexo A da nova versão ISO/IEC 27001:2022 inclui agora um total de 93 controles, dos quais os 11 controles seguintes são novos:
5.7 Inteligência de Ameaças
5.23 Segurança da informação para uso de serviços em nuvem
5.30 Prontidão de TIC para a continuidade dos negócios
7.4 Monitoramento de segurança física
8.9 Gestão de configuração
8.10 Exclusão de informação
8.11 Mascaramento de dados
8.12 Prevenção de vazamento de dados
8.16 Atividades de monitoramento
8.23 Filtragem da Web
8.28 Codificação segura
Embora o Anexo A da ISO/IEC 27001:2022 se limite a nomear os controles, o guia de implementação da ISO/IEC 27002:2022 fornece outras opções para os categorizar. A cada controle são atribuídos cinco atributos que permitem visões e perspectivas diferentes sobre os mesmos. Os atributos ou os seus valores de atributos podem ser utilizados para filtrar, ordenar, ou exibir para diferentes vistas organizacionais.
Os cinco atributos são:
Tipo de Controle é um atributo para a visão dos controles na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação.
Propriedades de Segurança da informação é um atributo para a visualização dos controles na perspectiva de que objetivo de proteção a medida se destina a apoiar.
Conceitos de Cibersegurança anali-sa os controles da perspectiva de como eles mapeiam para o quadro de cibersegurança descrito na ISO/IEC TS 27110.
Capacidade Operacional considera os controles na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos usuários das medidas.
Domínios de Segurança é um atributo que permite que os controles sejam vistos da perspectiva de quatro domínios de segurança da informação.