Os tempos mudam e as normas também, como é o caso das mudanças na ISO 27001. Desenvolvida a partir da Norma Britânica BS 7799-2 e, até então atualizada em 2013, a norma é responsável por estabelecer requisitos de controle e gerenciamento das informações. E a nova versão teve seu lançamento dado em outubro de 2022 pela Organização Internacional de Normalização.
A ISO 27001: 2022 é uma modernização da ISO 27001:2013 e conta com atualizações que envolvem, em especial, os controles do Anexo, os quais, a partir das novidades instauradas foram reagrupados, renomeados e adicionados.
Entenda sobre a norma que auxilia na segurança da informação
Antes de falar a respeito das mudanças que ocorreram, vale a pena relembrar quais são as principais características da ISO 27001. Um dos principais pontos de destaque é a identificação dos possíveis problemas que podem acontecer com as informações da empresa, por exemplo. Outros pontos de destaque em relação à norma são:
- cultura de risco instalada em toda empresa;
- maiores chances em relação a concorrência;
- organização sempre em dia;
- melhor análise e controle de recursos tecnológicos;
- redução de custos.
Ela tem como função proteger a confidencialidade, a integridade e a disponibilidade da informação de uma organização, seja ela com ou sem fins lucrativos, privada ou pública, pequena ou grande. Por isso, também se tornou a mais popular norma de segurança da informação em todo o mundo e diversas instituições conseguiram conquistar a certificação tendo a ISO 27001 como referência.
Atenção para as mudanças na ISO 27001
Quando comparada com a versão 2013, a ISO 27001:2022 ainda consta o mesmo número de requisitos da anterior, no entanto, com algumas mudanças no texto, as quais tendem a promover a convergência com as demais normas da Organização Internacional de Normalização (ISO).
As alterações que mais chamam atenção estão relacionadas com o planejamento e a definição dos critérios de processos, assim como os padrões de monitoramento estabelecidos. De modo geral, as mudanças na ISO 27001 dão uma grande ênfase à importância de se ter uma abordagem sistemática e também consistente, o que promove para a empresa maior segurança da informação e proteção da privacidade.
Também é importante reforçar que as empresas já certificadas precisam, de forma obrigatória, fazer a transição para a nova versão da ISO 27001 até o final de 2025 – e para isso, a blwinner pode te ajudar no processo.
Mas vamos às principais mudanças.
Requisito 4.2 – necessidades versus expectativas das partes que tem interesse
A norma conta com o acréscimo de uma alínea “c)” para que a empresa quando for determinar os requisitos de interesse, também determine os principais requisitos a serem abordados no Sistema de Gestão de Segurança da Informação (SGSI).
Requisito 6.1 .3 – Respaldo em relação aos riscos de Segurança da Informação
A primeira parte da Nota 2 sofreu alteração e passou para “O Anexo A contém uma lista de possíveis controles de segurança da informação”. O principal motivo da alteração é deixar claro que é de responsabilidade da empresa avaliar e entender se vale a aplicação de acordo com seu escopo e também os riscos avaliados.
Também é importante ressaltar que foi excluída a primeira sentença da Nota 3: “Os objetivos de controle são incluídos nos controles que a empresa escolhe”. Além disso, na segunda parte da mesma nota também exclui-se a expressão “objetivos de controle”.
Requisito 6.3 – Organização das mudanças
Foi desenvolvido mais um requisito para adicionar à norma. Ele tem a função de manter o alinhamento com as demais normas ISO de gestão que também contam com o mesmo requisito.
Requisito 9.3 – Avaliação crítica pela direção
Aqui foram desenvolvidas e organizadas três subcláusulas, a fim de deixar claro o processo de avaliação crítica e também os resultados que são esperados.
- 3.1: Generalidade – é incluída alínea “c)”, a fim de considerar mudanças nas necessidades e também expectativas das partes que demonstram interesse como uma entrada para uma avaliação crítica;
- 3.2: Entradas para a avaliação crítica;
- 3.3: Saídas de avaliação crítica.
Anexo A
A estrutura do Anexo A da norma ISO 27001 foi modificado em sua estrutura. Ele continha 14 grupos, mas agora passa a atuar com somente 4. Outra mudança significativa foi a passagem de 114 controles para apenas 93. Porém, não houve eliminação de controles, os quais apenas passaram por renomeação e novas estruturações. Encontram-se da seguinte forma:
- Controles organizacionais: 37 controles – grupo A.5;
- Controles de pessoas: 8 controles – grupo A.6;
- Controles físicos: 14 controles – grupo A.7;
- Controles tecnológicos: 34 controles – grupo A.8.
Os novos controles são:
Organizacional
- 5.7 – inteligência contra ameaças;
- 5.23 – Segurança da informação para uso de serviços em nuvem;
- 5.30 – Prontidão de ICT para continuidade de negócios.
Físico
- 7.4 – Monitoramento de segurança física;
Tecnológicos
- 8.9 – Gestão de configuração;
- 8.10 – Exclusão de informações;
- 8.11 – Mascaramento de dados;
- 8.12 – Prevenção contra vazamento de dados;
- 8.16 – Monitoramento de atividades;
- 8.23 – Filtragem web;
- 8.28 – Codificação segura.
FONTE: ABNT NBR ISO/IEC 27001:2022
E para realizar a transição, caso a sua empresa já conte com a ISO 27001, o passo a passo consiste na aquisição da norma ISO/IEC 27001:2022, implementação de mudanças, auditoria interna para a transição ou recertificação.
Entre em contato com o time blwinner para um processo ainda mais certeiro, detalhado e personalizado para o seu negócio.
