Alterações normativas na ISO/IEC 27001:2022
Uma mudança muito significativa acrescenta ao contexto da organização na cláusula 4.4 a exigência de identificar os processos necessários e as suas interacções dentro do SGSI que são necessários para a sua implementação e manutenção. Este requisito explícito coloca a ISO/IEC 27001:2022 em linha com a abordagem das melhores práticas de outros sistemas de gestão de acordo com o HS (HLS). O sistema de gestão da segurança da informação deve basear-se em processos estabelecidos, rastreáveis e nas suas interacções. Os controlos de segurança da informação do Anexo A são então concebidos e adaptados em torno destes processos.
A próxima alteração relevante na cláusula 8.1 também enfatiza a importância da orientação do processo, que é comum a todos os sistemas de gestão baseados em HS. As organizações devem realizar processos como parte do seu planeamento e controlo operacional para implementar as medidas de gestão dos riscos de segurança da informação. O que é novo é que os critérios do processo devem agora ser definidos. O controlo do processo deve ser implementado de acordo com estes critérios.
Além disso, foram feitos esclarecimentos e especificações bastante menores nas cláusulas seguintes:
- Acláusula 5.3 é complementada pela exigência explícita de que as responsabilidades e autoridades pelas funções relacionadas com a segurança da informação sejam dadas a conhecer dentro da organização.
- Acláusula 7.4 regula a necessidade de comunicação interna e externa relativamente ao SGSI. Para além das disposições ainda aplicáveis sobre o quê, quando, e com quem, a forma de comunicação é uma simplificação exequível em relação aos requisitos anteriores.
- Cláusula 9.2 Auditoria Interna e 9.3 Revisão da Gestão foram adaptadas à Estrutura Harmonizada. A cláusula 9.2 está agora subdividida em 9.2.1 e 9.2.2, a cláusula 9.3 está dividida em três subdivisões 9.3.1, 9.3.2 e 9.3.3.
- A ordem pela qual as cláusulas 10.1 e 10.2 estão estruturadas foi adaptada à Estrutura Harmonizada. O aspecto da melhoria contínua prospectiva precede agora o tratamento retrospectivo de não conformidades e acções correctivas na Cláusula 10.2 na Cláusula 10.1, sem quaisquer outras alterações de conteúdo. Este ajustamento enfatiza a importância do processo de melhoria contínua (CIP).
Os requisitos chave e inequívocos na ISO/IEC 27001 que referenciam o conjunto de controlos no Anexo A são, de acordo com a Cláusula 6.1.3 c), o processo de comparação entre os controlos de segurança de informação específicos da organização com os do Anexo A e, de acordo com a Cláusula 6.1.3 d), a preparação de uma Declaração de Aplicabilidade (SoA). Estes requisitos centrais permanecem inalterados!
As explicações nas notas informativas (não-normativas) para a Cláusula 6.1.3 c) com a referência ao Anexo A como uma lista de possíveis controlos de segurança de informação indicam a possibilidade de selecção de medidas adicionais de outras fontes suplementares ao anexo A.
O novo Anexo A da ISO/IEC 27001:2022
A lista de possíveis controlos de segurança da informação (SI) no Anexo normativo A da ISO/CEI 27001:2022 deriva de forma idêntica da ISO/CEI 27002:2022. O catálogo dos controlos gerais de segurança foi publicado em Fevereiro de 2022. Por conseguinte, as alterações ao Anexo A da ISO/CEI 27001:2022 são previsíveis há já algum tempo. Anteriormente, o Anexo A incluía um total de 114 controlos que podiam ser utilizados para abordar os riscos de segurança da informação sob 35 objectivos de controlo organizados em 14 cláusulas.
Para além do facto de a nova ISO/CEI 27001:2022 eliminar os objectivos de controlo, os controlos de segurança da informação no Anexo A foram revistos, actualizados e complementados e reorganizados com alguns novos controlos.
As anteriores 14 cláusulas do Anexo A estão agora centradas nos 4 tópicos seguintes:
A.5 Controlos organizacionais (com 37 controlos).
A.6 Controlos pessoais (com 8 controlos)
A.7 Controlos físicos (com 14 controlos )
A.8 Controlos técnicos (com 34 controlos)
O Anexo A da nova versão ISO/IEC 27001:2022 inclui agora um total de 93 controlos, dos quais os 11 controlos seguintes são novos:
A.5.7 Inteligência de Ameaças
A.5.23 Segurança da informação para a utilização de serviços em nuvem
A.5.30 Prontidão das TIC para a continuidade do negócio
A.7.4 Controlo da segurança física
A.8.9 Gestão da configuração
A.8.10 Eliminação de informação
A.8.11 mascaramento de dados
A.8.12 Prevenção de fugas de dados
A.8.16 Monitorização de actividades
A.8.23 Filtragem da Web
A.8.28 Codificação segura
Embora o Anexo A da ISO/CEI 27001:2022 se limite a nomear os controlos, o guia de implementação da ISO/CEI 27002:2022 fornece outras opções para os categorizar. A cada controlo são atribuídos cinco atributos que permitem visões e perspectivas diferentes sobre os mesmos. Os atributos ou os seus valores de atributos podem ser utilizados para filtrar, ordenar, ou exibir para diferentes vistas organizacionais.
Os cinco atributos são:
Tipo de controlo é um atributo para a visão dos controlos na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação.
Aspropriedades de segurança da informação são um atributo para a visualização dos controlos na perspectiva de que objectivo de protecção a medida se destina a apoiar.
A Cybersecurity Concepts analisa os controlos da perspectiva de como eles mapeiam para o quadro de cibersegurança descrito na ISO/IEC TS 27110.
ACapacidade Operacional considera os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos utilizadores das medidas.
Domínios de segurança é um atributo que permite que os controlos sejam vistos da perspectiva de quatro domínios de segurança da informação.