A ISO/IEC 27001 é um modelo valorizado internacionalmente que estabelece os requisitos para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI). Essa norma é amplamente reconhecida como um padrão global para a gestão da segurança da informação.
Essa é uma preocupação crítica para organizações de todos os setores e tamanhos, à medida que enfrentam uma crescente exposição a ameaças cibernéticas e riscos de segurança. A ISO 27001 fornece um conjunto abrangente de controles e processos de proteção de dados, que ajudam as organizações a proteger seus ativos de informação, incluindo dados sensíveis, propriedade intelectual e informações confidenciais dos clientes.
Além disso, a ISO 27001 proporciona uma estrutura sólida e reconhecida internacionalmente para a implementação de um SGSI, permitindo que as organizações protejam seus ativos de informação, garantam a confidencialidade, integridade e disponibilidade dos dados, e demonstrem seu compromisso com a segurança da informação para parceiros de negócios e clientes.
Nova ISO 27001 e nova ISO 27002
Em outubro de 2022, a ISO 27001 passou por atualizações e está em vigor desde o início de 2023. Isso significa que as empresas precisam estar atentas para essa nova mudança.
A parte principal da ISO 27001 não passou por grandes alterações. Elas incluem o escopo, partes interessadas, contexto, política de segurança da informação, gerenciamento de riscos, recursos, treinamento e conscientização, comunicação, controle de documentos, monitoramento e medição, auditoria interna, revisão gerencial e ações corretivas. Houve mudanças para que a nova ISO 27001 fique harmonizada com as demais normas de sistemas de gestão. Algumas das mudanças são a necessidade de definir os processos necessários para a implementação do SGSI e suas interações; a exigência explícita de comunicar funções organizacionais relevantes para a segurança da informação dentro da organização; a nova cláusula 6.3 – Planejamento de mudanças; nova exigência para garantir que a organização determine como se comunicar como parte da cláusula 7.4; novos requisitos para estabelecer critérios para processos operacionais e implementar o controle dos processos.
A nova revisão na ISO 27001 substitui a versão de 2013 e teve seu Anexo A alterado .
Quais os controles que mudam com a nova atualização do Anexo A?
Na versão de 2022 da ISO27001, nenhum dos controles foram excluídos, mas surgiram 11 novos controles e alguns foram mesclados. As alterações estão alinhadas às mudanças da ISO 27002 e foram realizadas para simplificar a implementação. Algumas delas são:
– O número de controles diminuiu de 114 para 93;
– Os controles foram colocados em 4 seções e não 14 como era anteriormente;
– Existem 11 novos controles, enquanto nenhum dos controles foi excluído e muitos controles foram mesclados.
– Introdução do conceito de atributos, com alinhamento com a terminologia comumente utilizada dentro da segurança digital. Os cinco atributos são: Tipo de controle, Propriedades de segurança da informação, Conceitos de segurança cibernética, Capacidades operacionais e Domínios de segurança.
As empresas devem começar a se familiarizar com os controles da ISO/IEC 27002:2022, atualizar seus processos de gestão de risco com os novos controles, ajustar seus documentos de acordo, aprimorar e otimizar sua Declaração de Aplicabilidade, e revisar certas seções em suas políticas e procedimentos.
No caso de certificação da empresa, o organismo de certificação verificará se houve adaptação das documentações dentro do período de transição.
Quais são as regras de Transição?
Inicialmente gostaríamos de esclarecer que as regras de transição variam em função das definições de cada organismo de certificação, mas em geral, elas são próximas umas das outras.
A transição para a ISO 27001:22 deverá ocorrer no prazo de 3 anos, isto é, até 2025. Para a Fundação Vanzolini, a data de corte é 31/10/25. Já para o QMS, o limite para certificação na nova norma é abril/25. No DNV, os certificados atuais de 2013 precisam ser transferidos para a nova versão antes de novembro de 2025.
Novas certificações na ISO/IEC 27001:13 tem limite de data. No QMS, as certificações iniciais ou de recertificação apenas serão realizadas na versão ISO/IEC 27001:2013 até 25 de outubro de 2023. Na Fundação Vanzolini, as solicitações de certificação ou recertificação na versão anterior serão aceitas até 30/04/2024, tendo até 31/10/2025 para realizar a transição.
A transição para a nova versão da norma pode ser feita em uma das auditorias de supervisão ou em data específica a ser agendada com o Organismo. Recomendamos contato com seu organismo de certificação para conhecer as suas regras específicas.
Quais os impactos dessa mudança para as empresas?
A ISO 27001 enfatiza a importância da melhoria contínua na gestão da segurança de informação, ou seja, focando na cibersegurança e na proteção de dados. As organizações certificadas de acordo com essa norma devem realizar auditorias internas regulares, revisar e atualizar suas políticas e procedimentos, e estar sempre atentas às mudanças no cenário de segurança da informação.
As organizações que precisam reconhecer e reduzir riscos de cibersegurança e privacidade tem como caminho reconhecido a implementação da ISO/IEC 27001. Por isso, é preciso estar por dentro de todas essas mudanças e ter uma empresa de consultoria que possa auxiliar nesse momento.
Sua empresa já possui a certificação, o que precisa mudar?
Considerando que há necessidade de adequação dos controles do seu sistema de gestão de segurança da informação, a transição para a nova versão da norma deve ocorrer de forma planejada. Para tanto, será necessário qualificar sua equipe nas novas ISO/IEC 27001 e 27001 e realizar um diagnóstico de GAP para definir os melhores caminhos para a mudança.
Uma empresa de consultoria especializada pode oferecer conhecimento, experiência e orientação prática para auxiliar na implementação bem-sucedida da norma da ISO 27001. Com sua expertise, a consultoria pode acelerar o processo, garantir uma transição realizada de forma inteligente e segura, permitindo que seu sistema de gestão de segurança da informação se torne mais leve, com maior engajamento e atendendo à nova norma.
A Stance pode te ajudar na implementação da ISO/IEC 27001:22!
Se você deseja implementar a nova norma em sua empresa, para que atenda a todos os requisitos da nova ISO 27001, conte com a Stance. Nós somos especialistas na implementação do Sistema de Gestão de Segurança da Informação e estamos sempre prontos para atender todas as necessidades da sua empresa. Quer saber mais? Entre em contato conosco e continue nos acompanhando todos os nossos conteúdos nos nossos canais. Estamos no Facebook, Instagram, LinkedIn e também contamos com atualizações constantes aqui no nosso blog.
Nos vemos em breve!