A ISO/IEC 27001 mudou. Que alterações devem as organizações ter em consideração?
Fique a par das novidades
SubscreverA terceira edição do standard de segurança da informação mundialmente conhecido e utilizado foi publicada no dia 25 de outubro de 2022. Quase 7 meses após a publicação da ISO/IEC 27001:2022, as organizações que pretendam obter e/ou renovar a certificação nos próximos meses, poderão fazê-lo já com base nas alterações introduzidas pela nova versão do standard.
Quais são as principais alterações?
Quanto ao standard:
- Foi feita uma reestruturação da numeração e do conteúdo de algumas cláusulas para permitir uma maior clareza de interpretação;
- Foi reforçado o papel da direção das organizações nos processos do SGSI (Sistema de Gestão de Segurança da Informação);
- Destaca-se, também, a importância das partes interessadas na gestão da segurança da informação, como, por exemplo, clientes e fornecedores;
- É evidenciada a necessidade de definição clara de processos para a implementação do SGSI e para a operacionalização dos serviços, numa lógica de continuidade do negócio.
Contudo, a maior mudança ocorre no Anexo A do standard e nos controlos de referência. Os controlos distinguem-se agora em 4 temas, consoante se trate de controlos organizacionais, relacionados com pessoas, controlos tecnológicos ou controlos físicos.
O Anexo A conta com 11 novos controlos, num total de 93, sendo eles:
- A.5.7. Threat intelligence;
- A.5.23. Segurança da Informação Para Uso de Serviços na Cloud;
- A.5.30. Prontidão de Tecnologias de Informação e Comunicação para a Continuidade de Negócio;
- A.7.4. Monitorização de Segurança Física;
- A.8.9. Gestão de Configurações;
- A.8.10. Eliminação de Informação;
- A.8.11. Mascaramento de Dados;
- A.8.12. Prevenção de Fuga de Dados;
- A.8.16. Atividades de Monitorização;
- A.8.23. Filtragem de Web;
- A.8.26. Código Seguro.
A adição de novos controlos vai exigir, da parte das organizações, um esforço acrescido na revisão e/ou criação de políticas e procedimentos, bem como na inclusão de várias partes interessadas neste processo de segurança da informação que, até então, não tinham uma figura de destaque no standard.
A minha organização já é certificada pela versão de 2013, tenho de alterar alguma coisa?
Uma vez que as alterações não são substanciais da versão de 2013 para a versão de 2022, se a sua organização já for certificada pela ISO/IEC 27001:2013 não necessitará de fazer alterações para já.
O standard terá um período de transição de dois anos, pelo que deverá estar harmonizado nas organizações até outubro de 2025. Contudo, a organização deverá focar-se em garantir que os novos controlos estarão implementados até esta data, para evitar o incumprimento dos mesmos.
Tenho uma certificação marcada ou perspetivada para este ano. Devo seguir a versão de 2022?
Sim, é aconselhável que a organização adapte os seus projetos de implementação e a sua certificação à nova versão da ISO/IEC 27001. Contudo, as empresas poderão certificar-se até outubro de 2023 com a versão de 2013, mas deverão garantir que serão feitas as devidas alterações até outubro de 2025.
Quando é que as entidades de certificação começarão a auditar com base na versão de 2022?
A partir de outubro de 2023 as entidades de certificação já poderão começar a aplicar as novas normas decorrentes da ISO/IEC 27001:2022.
Esta nova versão propõe acompanhar o panorama de risco das empresas e incluir a cibersegurança e da proteção da privacidade como aliados da segurança da informação. As organizações deverão optar pela versão que, atualmente, lhes será mais favorável, tendo presente o esforço necessário para efetuar as devidas alterações até outubro de 2025.
Fique a par das novidades
Subscrever