BlogNoticias

Inserido em: 16/02/2022

Lançada nova Versão da ISO/IEC 27001 e 27002:2022! Saiba as principais mudanças.

27001

A ISO 27001 e a ISO 27002 estão sendo atualizadas durante 2022, então há um grande interesse no que vai mudar. Aqui estão as perguntas mais comuns e as explicações detalhadas:

Resumo das principais mudanças na ISO 27001:2022:
  • A parte principal da ISO 27001, ou seja, as cláusulas 4 a 10, não estão sendo alteradas;
  • Somente os controles de segurança listados na ISO 27001 Anexo A serão atualizados;
  • O número de controles diminuiu de 114 para 93;
  • Os controles são colocados em 4 seções em vez das 14 anteriores;
  • Existem 11 novos controles, enquanto nenhum dos controles foi excluído e muitos controles foram mesclados.

1) O que exatamente é alterado na ISO 27001:2022 e ISO 27002:2022?

Parte principal da ISO 27001, ou seja, as cláusulas 4 a 10 não serão alteradas. Essas cláusulas incluem o escopo, partes interessadas, contexto, política de segurança da informação, gerenciamento de riscos, recursos, treinamento e conscientização, comunicação, controle de documentos, monitoramento e medição, auditoria interna, revisão gerencial e ações corretivas.

Somente os controles de segurança listados na ISO 27001 Anexo A e na ISO 27002 serão atualizados.

Existem 11 novos controles, enquanto nenhum dos controles foi excluído , e muitos controles foram mesclados. Em geral, as alterações são apenas moderadas e foram feitas principalmente para simplificar a implementação: o número de controles diminuiu de 114 para 93 e são colocados em 4 seções em vez dos 14 anteriores.

As quatro seções:

  • Controles Humanos: 8 Controles.
  • Controles organizacionais: 37 Controles.
  • Tecnológicos: 37 Controles.
  • Físicos: 14 Controles.

Categorização dos controles:

  • Tipos: Preventivo, detectivo e corretivo.
  • Propriedade: Confidencialidade, Integridade e disponibilidade.
  • Conceito: Identificar, proteger, detectar, responder e recuperar.
  • Capacidades Operacionais: Governança, gestão de ativos, segurança da informação, segurança de recursos humanos, etc.
  • Domínios: Governança e ecossistema, proteção, defesa e resiliência.

2) Qual é a diferença entre a ISO 27001 e a ISO 27002?

A ISO 27001 é a norma principal , e as empresas podem se certificar de acordo com ela; as empresas não podem se certificar de acordo com a ISO 27002:2022, pois é apenas uma norma de suporte.

Em seu Anexo A, a ISO 27001 fornece apenas uma lista de controles de segurança, mas não explica como eles podem ser implementados; A ISO 27002 lista esses mesmos controles e fornece orientação sobre como eles podem ser implementados. No entanto, essa orientação na ISO 27002 não é obrigatória, ou seja, as empresas podem decidir usar ou não essas orientações.

3) Quando essas mudanças ocorrerão?

A ISO 27002 foi atualizada em 15 de fevereiro de 2022 e o Anexo A da ISO 27001 será alinhado com essas mudanças.

As atualizações no Anexo A da ISO 27001 acontecerão em algum lugar durante 2022, a data ainda não foi anunciada.

4) Queremos começar a implementar a ISO 27001, esperamos até que as mudanças sejam publicadas ou devemos começar agora?

Se o seu cliente existente ou potencial espera que você obtenha a certificação, você deve começar o mais rápido possível; se você puder esperar com seu projeto até o final de 2022, poderá aguardar o padrão atualizado.

Em outras palavras, essa decisão não tem nada a ver com padrões – isso depende da rapidez com que você precisa do certificado ISO 27001.

5) Se começarmos agora com a implementação da ISO 27001, vamos com o novo conjunto de controles ou com os antigos?

Como as mudanças na ISO 27001 ainda não foram publicadas, você deve começar com os controles existentes (antigos).

Como as mudanças nos controles são apenas moderadas, e você terá muito tempo para atualizar a documentação dos novos controles (veja a explicação em mais texto), a transição para a nova revisão do padrão será um esforço menor.

6) Já implementamos a ISO 27001, o que precisamos mudar em nossa documentação?

As alterações nos padrões são principalmente sobre a reorganização dos controles, portanto, nenhuma alteração na tecnologia será necessária, apenas as alterações na documentação.

Como as alterações são apenas moderadas, nossa sugestão é que você não adicione novos documentos ou exclua nenhum dos documentos existentes.

Em nossa opinião, a melhor forma de cumprir essas mudanças é:

  1. Para atualizar seu processo de tratamento de riscos com novos controles;
  2. Para atualizar sua Declaração de Aplicabilidade;
  3. Para adaptar certas seções em suas políticas e procedimentos existentes.

7) Quando precisamos alterar nossa documentação?

O período de transição para essas mudanças ainda não foi publicado, mas provavelmente será de 2 anos a partir da data de atualização oficial da ISO 27001:2022.

Portanto, você terá muito tempo para cumprir.

8) O organismo de certificação precisa verificar as alterações na documentação?

Sim, se sua empresa for certificada, o organismo de certificação verificará se você adaptou sua documentação dentro do período de transição.

Não haverá necessidade de agendar novas auditorias, pois eles farão isso durante as auditorias de acompanhamento regulares.

 

Atualização (12/12/02022):

As normas ISO/IEC 27001:2022 e ISO/IEC 27002:2022, já podem ser encontradas no catálogo da ABNT e no site da Target.

 

A L4S possui diversas soluções para apoiar seu negócio na implementação da ISO/IEC 27001, entre em contato conosco ou saiba mais clicando aqui.

 

 

 

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade | Empresa do Grupo Pierre Soluções