Entenda o que mudou na ISO 27001:2022 e por que

A ISO/IEC 27001 é a norma mais conhecida mundialmente para implementação e manutenção de sistemas de gerenciamento de segurança da informação. 

Aplicável a empresas de qualquer tamanho e qualquer setor, a norma fornece uma série de orientações e procedimentos para estabelecer, manter e aperfeiçoar continuamente os seus sistemas de gerenciamento de segurança da informação.

A versão mais recente da ISO/IEC 27001 foi publicada em outubro de 2022 e oferece às organizações controles de segurança atualizados de acordo com o quadro atual de ameaças e tendências de cibersegurança. 

O que mudou na nova versão da ISO 27001?

Confira as principais mudanças da ISO/IEC 27001:2022 com relação à ISO/IEC 27001:2013! 

Agrupamento de controles em quatro temas

Substituindo a estrutura original de 14 domínios de controles de segurança, a nova versão da ISO/IEC 27001:2022 apresenta a segmentação dos controles em quatro grandes categorias: organizacional, humana, tecnológica e física. 

Controles atualizados

Uma das alterações mais substanciais ocorreu no Anexo A, que foi reorganizado, atualizado e expandido para se alinhar com a ISO 27002:2022, um padrão complementar que dá suporte à ISO 27001 e oferece detalhes adicionais sobre os controles de segurança da informação.

Em vez de 114 controles de segurança, a ISO/IEC 27001:2022 conta agora com 93. Enquanto alguns controles foram mesclados, foram adicionados outros 11 controles completamente novos. Confira:

• A.5.7 Inteligência de ameaças

• A.5.23 Segurança da informação para uso de serviços na nuvem

• A.5.30 Prontidão de TIC para continuidade dos negócios

• A.7.4 Monitoramento de segurança física

• A.8.9 Gerenciamento de configurações

• A.8.10 Exclusão de informações

• A.8.11 Mascaramento de dados

• A.8.12 Prevenção contra vazamentos de dados

• A.8.16 Atividades monitoramento

• A.8.23 Filtragem da web

• A.8.28 Programação segura

Período de transição

Empresas que já possuem a certificação ISO 27001:2013, atenção! A certificação atual continuará sendo válida, mas é preciso fazer a transição para o novo padrão em no máximo três anos — ou seja, até outubro de 2025. Caso esse seja o caso da sua empresa, fique atento ao prazo!

Quais são as vantagens de possuir uma certificação ISO 27001? 

São muitas as vantagens de possuir a certificação ISO 27001. Algumas das principais incluem:

Aumento da vantagem competitiva

Obter a certificação ISO 27001:2022 demonstra que a sua empresa está comprometida com a proteção das informações de colaboradores, parceiros e clientes, aumentando sua credibilidade e vantagem competitiva.

Melhoria das tomadas de decisão

A certificação ISO 27001:2022 auxilia a sua empresa a tomar decisões mais informadas e, consequentemente, mais assertivas, fornecendo um claro panorama para identificação e gerenciamento de riscos.

Melhoria dos processos

A certificação ISO 27001:2022 aperfeiçoa continuamente os processos da empresa relacionados ao gerenciamento dos sistemas de informação, garantindo que os procedimentos sejam padronizados e consistentes.

Como obter a certificação ISO 27001:2022?

Para obter a certificação ISO 27001:2022, o primeiro passo é estar em dia com as diretrizes previstas na norma. Portanto, antes de solicitar a certificação, é preciso escrever toda a documentação necessária, implementar processos e controles de segurança, realizar uma auditoria interna, realizar uma revisão da gerência e resolver todas as não conformidades.

Em seguida, a empresa deve passar por um processo de auditoria externa dividido em duas etapas. A primeira etapa é uma revisão preliminar dos sistemas de gerenciamento de segurança da informação, enquanto a segunda etapa é uma auditoria de conformidade mais detalhada e formal. 

O processo de obtenção da certificação ISO 27001 pode levar de 3 a 12 meses, dependendo do tamanho e das complexidades da empresa. Após a aprovação, o certificado será válido por 3 anos.

Referências: