A nova ISO/IEC 27001:2022 - alterações-chave

• As novas características da ISO 27001:2022 num relance
• Estrutura de Alto Nível torna-se Estrutura Harmonizada
• Alterações normativas na ISO/IEC 27001:2022
• O novo Anexo A da ISO/IEC 27001:2022
• O que significa a actualização para a sua certificação?
• A nova ISO/IEC 27001:2022 - Conclusão

Visão geral das novas características da ISO 27001:2022

AISO 27001 descreve o quadro para um sistema de gestão da segurança da informação (ISMS) - e para as empresas, independentemente da estrutura organizacional, dimensão ou orientação. O elemento-chave aqui é a gestão de risco. As ameaças cibernéticas em mutação estão constantemente a explorar novas vulnerabilidades potenciais nas empresas com o objectivo de atacar e comprometer os fluxos de informação e, assim, os processos empresariais. Os riscos decorrentes deste mecanismo sobre os três objectivos essenciais de protecção da segurança da informação - confidencialidade, integridade e disponibilidade - devem ser identificados e geridos.

A actualização da ISO/IEC 27001:2022 aborda as melhores práticas para a gestão destes riscos de segurança da informação. A lista de possíveis controlos de segurança da informação no Anexo A normativo da nova ISO/CEI 27001:2022 deriva de forma idêntica da orientação revista da ISO/CEI 27002:2022. A orientação de implementação já foi adoptada em Fevereiro deste ano com uma taxonomia mais simples e controlos de segurança contemporâneos. Com a nova ISO/CEI 27001:2022 agora publicada, a norma ISO 27001/27002 bem sucedida, com as suas valiosas medidas recomendadas, é mais uma vez o estado da arte.

Outra mudança significativa na nova ISO/IEC 27001:2022 é que, com a adaptação à chamada Estrutura Harmonizada, o há muito esperado requisito de orientação do processo é colocado no foco de um SGSI eficaz. A base de sistemas de gestão eficazes são processos claros e as suas interacções, bem como critérios orientados para estes processos, para o seu controlo.

A seguir, analisaremos mais de perto as três áreas de mudança da nova versão da ISO 27001.

Estrutura de Alto Nível torna-se Estrutura Harmonizada

A partir de Maio de 2021, a anterior Estrutura de Alto Nível (HLS) está a ser sucedida pela Estrutura Harmonizada (HS). A HS é a estrutura básica e o modelo para o desenvolvimento de novas e futuras revisões das normas do sistema de gestão ISO existentes. A ISO/IEC 27001:2022 é uma das primeiras normas de sistema de gestão a ser adaptada ao HS. Vários esclarecimentos, aditamentos, mas também supressões no HS em comparação com o HLS são bastante interessantes para os utilizadores que estão familiarizados com a norma.

Para a ISO/IEC 27001:2022, contudo, uma derivação significativa do SH é directamente visível. No futuro, a cláusula 6.3 exigirá que as alterações ao SGSI sejam implementadas de uma forma planeada. Este requisito é familiar de outros sistemas de gestão e expressa a expectativa de que um processo de mudança relacionado com o SGSI tenha sido dominado. Por exemplo, a transição da anterior ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022 pode ser entendida como uma alteração ao SGSI que deverá ser implementada de forma planeada com todos os seus efeitos e interacções.

Alterações normativas na ISO/IEC 27001:2022

Uma mudança muito significativa acrescenta ao contexto da organização na cláusula 4.4 a exigência de identificar os processos necessários e as suas interacções dentro do SGSI que são necessários para a sua implementação e manutenção. Este requisito explícito coloca a ISO/IEC 27001:2022 em linha com a abordagem das melhores práticas de outros sistemas de gestão de acordo com o HS (HLS). O sistema de gestão da segurança da informação deve basear-se em processos estabelecidos, rastreáveis e nas suas interacções. Os controlos de segurança da informação do Anexo A são então concebidos e adaptados em torno destes processos.

A próxima alteração relevante na cláusula 8.1 também enfatiza a importância da orientação do processo, que é comum a todos os sistemas de gestão baseados em HS. As organizações devem realizar processos como parte do seu planeamento e controlo operacional para implementar as medidas de gestão dos riscos de segurança da informação. O que é novo é que os critérios do processo devem agora ser definidos. O controlo do processo deve ser implementado de acordo com estes critérios.

Além disso, foram feitos esclarecimentos e especificações bastante menores nas cláusulas seguintes:

• Acláusula 5.3 é complementada pela exigência explícita de que as responsabilidades e autoridades pelas funções relacionadas com a segurança da informação sejam dadas a conhecer dentro da organização.
• Acláusula 7.4 regula a necessidade de comunicação interna e externa relativamente ao SGSI. Para além das disposições ainda aplicáveis sobre o quê, quando, e com quem, a forma de comunicação é uma simplificação exequível em relação aos requisitos anteriores.
• Cláusula 9.2 Auditoria Interna e 9.3 Revisão da Gestão foram adaptadas à Estrutura Harmonizada. A cláusula 9.2 está agora subdividida em 9.2.1 e 9.2.2, a cláusula 9.3 está dividida em três subdivisões 9.3.1, 9.3.2 e 9.3.3.
• A ordem pela qual as cláusulas 10.1 e 10.2 estão estruturadas foi adaptada à Estrutura Harmonizada. O aspecto da melhoria contínua prospectiva precede agora o tratamento retrospectivo de não conformidades e acções correctivas na Cláusula 10.2 na Cláusula 10.1, sem quaisquer outras alterações de conteúdo. Este ajustamento enfatiza a importância do processo de melhoria contínua (CIP).

Os requisitos chave e inequívocos na ISO/IEC 27001 que referenciam o conjunto de controlos no Anexo A são, de acordo com a Cláusula 6.1.3 c), o processo de comparação entre os controlos de segurança de informação específicos da organização com os do Anexo A e, de acordo com a Cláusula 6.1.3 d), a preparação de uma Declaração de Aplicabilidade (SoA). Estes requisitos centrais permanecem inalterados!

As explicações nas notas informativas (não-normativas) para a Cláusula 6.1.3 c) com a referência ao Anexo A como uma lista de possíveis controlos de segurança de informação indicam a possibilidade de selecção de medidas adicionais de outras fontes suplementares ao anexo A.

O novo Anexo A da ISO/IEC 27001:2022

A lista de possíveis controlos de segurança da informação (SI) no Anexo normativo A da ISO/CEI 27001:2022 deriva de forma idêntica da ISO/CEI 27002:2022. O catálogo dos controlos gerais de segurança foi publicado em Fevereiro de 2022. Por conseguinte, as alterações ao Anexo A da ISO/CEI 27001:2022 são previsíveis há já algum tempo. Anteriormente, o Anexo A incluía um total de 114 controlos que podiam ser utilizados para abordar os riscos de segurança da informação sob 35 objectivos de controlo organizados em 14 cláusulas.

Para além do facto de a nova ISO/CEI 27001:2022 eliminar os objectivos de controlo, os controlos de segurança da informação no Anexo A foram revistos, actualizados e complementados e reorganizados com alguns novos controlos.

As anteriores 14 cláusulas do Anexo A estão agora centradas nos 4 tópicos seguintes:

A.5 Controlos organizacionais (com 37 controlos).

A.6 Controlos pessoais (com 8 controlos)

A.7 Controlos físicos (com 14 controlos )

A.8 Controlos técnicos (com 34 controlos)

O Anexo A da nova versão ISO/IEC 27001:2022 inclui agora um total de 93 controlos, dos quais os 11 controlos seguintes são novos:

A.5.7 Inteligência de Ameaças

A.5.23 Segurança da informação para a utilização de serviços em nuvem

A.5.30 Prontidão das TIC para a continuidade do negócio

A.7.4 Controlo da segurança física

A.8.9 Gestão da configuração

A.8.10 Eliminação de informação

A.8.11 mascaramento de dados

A.8.12 Prevenção de fugas de dados

A.8.16 Monitorização de actividades

A.8.23 Filtragem da Web

A.8.28 Codificação segura

Embora o Anexo A da ISO/CEI 27001:2022 se limite a nomear os controlos, o guia de implementação da ISO/CEI 27002:2022 fornece outras opções para os categorizar. A cada controlo são atribuídos cinco atributos que permitem visões e perspectivas diferentes sobre os mesmos. Os atributos ou os seus valores de atributos podem ser utilizados para filtrar, ordenar, ou exibir para diferentes vistas organizacionais.

Os cinco atributos são:

Tipo de controlo é um atributo para a visão dos controlos na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação.

Aspropriedades de segurança da informação são um atributo para a visualização dos controlos na perspectiva de que objectivo de protecção a medida se destina a apoiar.

A Cybersecurity Concepts analisa os controlos da perspectiva de como eles mapeiam para o quadro de cibersegurança descrito na ISO/IEC TS 27110.

ACapacidade Operacional considera os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos utilizadores das medidas.

Domínios de segurança é um atributo que permite que os controlos sejam vistos da perspectiva de quatro domínios de segurança da informação.

O que significa a actualização para a sua certificação?

A nova e melhorada versão da ISO/IEC 27001 foi publicada a 25 de Outubro de 2022. Isto resulta nos seguintes prazos de transição e prazos para os utilizadores padrão:

• Disponibilidade de certificação de acordo com a ISO/IEC 27001:2022
  -> provavelmente de Fevereiro - Abril 2023
  (dependendo do Organismo Alemão de Acreditação DAkkS)
• Última data para auditorias iniciais/certificação de acordo com a antiga ISO 27001:2013
  -> 18 meses após a publicação da nova ISO/IEC 27001:2022
• Transição de todos os certificados existentes para a nova ISO/IEC 27001:2022
  -> 3 anos, relativos ao último dia do mês de emissão de
  ISO/IEC 27001:2022 (Outubro 2025)

Os prazos para a transição são a norma ISO.

A nova ISO/IEC 27001:2022 - Conclusão

A nova ISO/IEC 27001:2022 está disponível. Isto marca o início do período de transição de 3 anos.

Em resumo, as principais inovações são as seguintes:

• Conformidade do sistema de gestão com a Estrutura Harmonizada.
• Ênfase na orientação do processo, suas interacções e critérios.
• Categorização simplificada e racionalizada dos controlos em blocos temáticos.
• Medidas contemporâneas alinhadas com os métodos organizacionais actuais e ameaças associadas.
• Atributos para o alinhamento de controlos com várias metodologias de gestão de risco, incluindo quadros globais de cibersegurança.

Confiança e perícia

Os nossos textos e brochuras são redigidos exclusivamente pelos nossos peritos em normas ou por auditores de longa data. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, não hesite em enviar-nos um e-mail.