Segurança da informação: alterações ISO/IEC 27001

A terceira edição do standard de segurança da informação mundialmente conhecido e utilizado foi publicada no dia 25 de outubro de 2022. Quase 7 meses após a publicação da ISO/IEC 27001:2022, as organizações que pretendam obter e/ou renovar a certificação nos próximos meses, poderão fazê-lo já com base nas alterações introduzidas pela nova versão do standard.

Quais são as principais alterações?

Quanto ao standard:

• Foi feita uma reestruturação da numeração e do conteúdo de algumas cláusulas para permitir uma maior clareza de interpretação;

• Foi reforçado o papel da direção das organizações nos processos do SGSI (Sistema de Gestão de Segurança da Informação);

• Destaca-se, também, a importância das partes interessadas na gestão da segurança da informação, como, por exemplo, clientes e fornecedores;

• É evidenciada a necessidade de definição clara de processos para a implementação do SGSI e para a operacionalização dos serviços, numa lógica de continuidade do negócio.

Contudo, a maior mudança ocorre no Anexo A do standard e nos controlos de referência. Os controlos distinguem-se agora em 4 temas, consoante se trate de controlos organizacionais, relacionados com pessoas, controlos tecnológicos ou controlos físicos.

O Anexo A conta com 11 novos controlos, num total de 93, sendo eles:

• A.5.7. Threat intelligence;
• A.5.23. Segurança da Informação Para Uso de Serviços na Cloud;
• A.5.30. Prontidão de Tecnologias de Informação e Comunicação para a Continuidade de Negócio;
• A.7.4. Monitorização de Segurança Física;
• A.8.9. Gestão de Configurações;
• A.8.10. Eliminação de Informação;
• A.8.11. Mascaramento de Dados;
• A.8.12. Prevenção de Fuga de Dados;
• A.8.16. Atividades de Monitorização;
• A.8.23. Filtragem de Web;
• A.8.26. Código Seguro.

A adição de novos controlos vai exigir, da parte das organizações, um esforço acrescido na revisão e/ou criação de políticas e procedimentos, bem como na inclusão de várias partes interessadas neste processo de segurança da informação que, até então, não tinham uma figura de destaque no standard.

A minha organização já é certificada pela versão de 2013, tenho de alterar alguma coisa?

Uma vez que as alterações não são substanciais da versão de 2013 para a versão de 2022, se a sua organização já for certificada pela ISO/IEC 27001:2013 não necessitará de fazer alterações para já.

O standard terá um período de transição de dois anos, pelo que deverá estar harmonizado nas organizações até outubro de 2025. Contudo, a organização deverá focar-se em garantir que os novos controlos estarão implementados até esta data, para evitar o incumprimento dos mesmos.

Tenho uma certificação marcada ou perspetivada para este ano. Devo seguir a versão de 2022?

Sim, é aconselhável que a organização adapte os seus projetos de implementação e a sua certificação à nova versão da ISO/IEC 27001. Contudo, as empresas poderão certificar-se até outubro de 2023 com a versão de 2013, mas deverão garantir que serão feitas as devidas alterações até outubro de 2025.

Quando é que as entidades de certificação começarão a auditar com base na versão de 2022?

A partir de outubro de 2023 as entidades de certificação já poderão começar a aplicar as novas normas decorrentes da ISO/IEC 27001:2022.

Esta nova versão propõe acompanhar o panorama de risco das empresas e incluir a cibersegurança e da proteção da privacidade como aliados da segurança da informação. As organizações deverão optar pela versão que, atualmente, lhes será mais favorável, tendo presente o esforço necessário para efetuar as devidas alterações até outubro de 2025.