ISO/IEC 27001:2022 Alterações-chave
A proteção das operações diárias orientadas pela informação, dados pessoais e propriedade intelectual contra ameaças é imprescindível para empresas de todas as dimensões. Os ataques cibernéticos, a adaptação a riscos de segurança da informação em constante mudança exige uma abordagem à construção da resiliência das empresas.
A nova versão da ISO/IEC 27001:2022 é uma das principais referências internacionais em segurança da informação foi publicada em Outubro de 2022.
As ameaças digitais com características cada vez mais ofensivas estão continuamente em desenvolvimento e o foco da norma é a gestão do risco e a orientação do processo na gestão da segurança da informação. A nova versão ISO/IEC 27001 define os requisitos para estabelecer, implementar, manter e sustentar um sistema de gestão da segurança da informação (SGSI) para as empresas, independentemente da sua estrutura, tamanho ou segmento.
Refletindo a evolução tecnológica e a abrangência dos temas associados à segurança, o título da norma alterou: ISO/IEC 27001:2022 – Segurança da informação, cibersegurança e proteção da privacidade – Sistemas de gestão da segurança da informação – Requisitos.
Outra mudança interessante é a adaptação à chamada “Estrutura Harmonizada”, que é a estrutura básica e o modelo para o desenvolvimento de novas e futuras revisões das normas do sistema de gestão ISO. Uma das mudanças significativas desta alteração é o novo requisito 6.3, que exige que as alterações ao SGSI sejam implementadas de uma forma planeada. Esta exigência é comum a outros sistemas de gestão e expressa a expectativa de que um processo de mudança relacionado com o SGSI.
Além de clarificação e pequenas modificações em alguns requisitos, esta nova versão da ISO apresenta outas importantes mudanças, nomeadamente no número e classificação dos controlos de segurança (Anexo A).
No Anexo A, podemos observar dois novos aspectos: temas e atributos. Os temas referem-se à forma de categorização dos controlos de segurança e é possível encontrar quatro temas: controlos para pessoas, físicos, tecnológicos e organizacionais. Os atributos dos controlos referem-se a uma classificação baseada em outras perspectivas ou abordagens, de modo que os atributos podem ser usados para filtrar, classificar ou apresentar diferentes controlos, permitindo visões e perspectivas diferentes sobre os mesmos. São considerados cinco atributoso:
- Tipo de controlo é um atributo para a visão dos controlos na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação (preventivo, detetivo ou corretivo).
- Propriedades de segurança da informação é um atributo para a visualização dos controlos na perspectiva de que objetivo de proteção a medida se destina a apoiar (confidencialidade, integridade e disponibilidade).
- Conceitos de cibersegurança analisa os controlos da perspectiva de como eles mapeiam para o quadro de cibersegurança (identificar, proteger, detectar, responder e recuperar).
- Capacidade Operacional considera os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos utilizadores das medidas (capacidades de segurança sob a perspectiva de profissionais, como governança ou segurança física).
- Domínios de Segurança é um atributo que permite que os controlos sejam vistos da perspectiva de quatro domínios de segurança da informação (governança e ecossistema, proteção, defesa e resiliência).
Outra mudança significativa é a redução do número de controlos de segurança de 114 para 93. Os controlos que constam no Anexo A são extraídos diretamente da ISO/IEC 27002:2022 de março/2022. É possível identificar 8 controlos para pessoas, 14 controlos físicos, 34 controlos tecnológicos e 37 controlos organizacionais. Pode-se ainda observar que o conceito “objetivos do controlo” foi eliminado.
A nova estruturação dos controlos:
- Controlos novos: 11
- Controlos alterados: 58
- Controlos fundidos: 24
Novos controlos:
- A.5.7 Threat intelligence
- A.5.23 Information security for use of cloud services
- A.5.30 ICT readiness for business continuity
- A.7.4 Physical security monitoring
- A.8.9 Configuration management
- A.8.10 Information deletion
- A.8.11 Data masking
- A.8.12 Data leakage prevention
- A.8.16 Monitoring activities
- A.8.23 Web filtering
- A.8.28 Secure coding
De notar que estes controlos de segurança não são obrigatórios – a norma ISO 27001 permite excluir um controlo se (i) não identificou riscos relacionados e (ii) não existem requisitos legais/regulamentares/contratuais para implementar determinado controlo.
Considerando que certificados na versão 2013 expiram a 31/10/2025, é fundamental lembrar etapas importantes para a transição:
- Criar um plano de formação para aquisição de conhecimento em torno da norma
- Rever matriz do risco associada aos novos controlos e plano de tratamento do risco
- Verificar Plano de Tratamento do Risco (PTR) atualizado
- Rever SOA á luz da nova estrutura do Anexo A
- Confirmar a implementação e efetividade dos controlos novos ou alterados
- Rever politicas e procedimentos na medida do necessário
- Implementar as alterações identificadas
- Verificar a gestão de alterações
Carlos Silva
Especialista para sistemas de gestão de segurança da informação (SGSI)
Senior Lead Implementer & Auditor ISO 27001