ISO 27001
_ _ andremega

ISO/IEC 27001:2022  Alterações-chave

A proteção das operações diárias orientadas pela informação, dados pessoais e propriedade intelectual contra ameaças é imprescindível para empresas de todas as dimensões. Os ataques cibernéticos, a adaptação a riscos de segurança da informação em constante mudança exige uma abordagem à construção da resiliência das empresas.

A nova versão da ISO/IEC 27001:2022 é uma das principais referências internacionais em segurança da informação  foi publicada em Outubro de 2022.

As ameaças digitais com características cada vez mais ofensivas estão continuamente em desenvolvimento e o foco da norma é a gestão do risco e a orientação do processo na gestão da segurança da informação. A  nova versão ISO/IEC 27001 define os requisitos para estabelecer, implementar, manter e sustentar um sistema de gestão da segurança da informação (SGSI) para as empresas, independentemente da sua estrutura, tamanho ou segmento.

Refletindo a evolução tecnológica e a abrangência dos temas associados à segurança, o título da norma alterou: ISO/IEC 27001:2022 – Segurança da informação, cibersegurança e proteção da privacidade – Sistemas de gestão da segurança da informação – Requisitos.

Outra mudança interessante é a adaptação à chamada “Estrutura Harmonizada”,  que é a estrutura básica e o modelo para o desenvolvimento de novas e futuras revisões das normas do sistema de gestão ISO. Uma das mudanças significativas desta alteração é o novo requisito 6.3, que exige que as alterações ao SGSI sejam implementadas de uma forma planeada. Esta exigência é comum a outros sistemas de gestão e expressa a expectativa de que um processo de mudança relacionado com o SGSI.

Além de clarificação e pequenas modificações em alguns requisitos, esta nova versão da ISO apresenta outas importantes mudanças, nomeadamente no número e classificação dos controlos de segurança (Anexo A).

No Anexo A, podemos observar dois novos aspectos: temas e atributos. Os temas referem-se à forma de categorização dos controlos de segurança e é possível encontrar quatro temas: controlos para pessoas, físicos, tecnológicos e organizacionais. Os atributos dos controlos referem-se a uma classificação baseada em outras perspectivas ou abordagens, de modo que os atributos podem ser usados para filtrar, classificar ou apresentar diferentes controlos, permitindo visões e perspectivas diferentes sobre os mesmos. São considerados cinco atributoso:

  • Tipo de controlo é um atributo para a visão dos controlos na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação (preventivo, detetivo ou corretivo).
  • Propriedades de segurança da informação é um atributo para a visualização dos controlos na perspectiva de que objetivo de proteção a medida se destina a apoiar (confidencialidade, integridade e disponibilidade).
  • Conceitos de cibersegurança analisa os controlos da perspectiva de como eles mapeiam para o quadro de cibersegurança (identificar, proteger, detectar, responder e recuperar).
  • Capacidade Operacional considera os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos utilizadores das medidas (capacidades de segurança sob a perspectiva de profissionais, como governança ou segurança física).
  • Domínios de Segurança é um atributo que permite que os controlos sejam vistos da perspectiva de quatro domínios de segurança da informação (governança e ecossistema, proteção, defesa e resiliência).

Outra mudança significativa é a redução do número de controlos de segurança de 114 para 93.  Os controlos que constam no Anexo A são extraídos diretamente da ISO/IEC 27002:2022 de março/2022. É possível identificar 8 controlos para pessoas, 14 controlos físicos, 34 controlos tecnológicos e 37 controlos organizacionais. Pode-se ainda observar que o conceito “objetivos do controlo” foi eliminado.

A nova estruturação dos controlos:

  • Controlos novos: 11
  • Controlos alterados: 58
  • Controlos fundidos: 24

Novos controlos:

  • A.5.7 Threat intelligence
  • A.5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

De notar que estes controlos de segurança não são obrigatórios – a norma ISO 27001 permite excluir um controlo se (i) não identificou riscos relacionados e (ii) não existem requisitos legais/regulamentares/contratuais para implementar determinado controlo.

Considerando que certificados na versão 2013 expiram a 31/10/2025,  é fundamental lembrar etapas importantes para a transição:

  • Criar um plano de formação para aquisição de conhecimento em torno da norma
  • Rever matriz do risco associada aos novos controlos e plano de tratamento do risco
  • Verificar Plano de Tratamento do Risco (PTR) atualizado
  • Rever SOA á luz da nova estrutura do Anexo A
  • Confirmar a implementação e efetividade dos controlos novos ou alterados
  • Rever politicas e procedimentos na medida do necessário
  • Implementar as alterações identificadas
  • Verificar a gestão de alterações

Carlos Silva

Especialista para sistemas de gestão de segurança da informação (SGSI) 
Senior Lead Implementer  &  Auditor ISO 27001

38