Actualizações da norma ISO 27001:2022 para uma gestão sólida da segurança da informação.
A segurança da informação é uma preocupação crítica no ambiente empresarial atual, e a norma ISO 27001 foi reconhecida como uma norma internacional para a gestão da segurança da informação. Recentemente, foi publicada uma nova versão desta norma. A nova versão da ISO 27001 foi publicada em 25 de outubro de 2022. Neste artigo, vamos descobrir as actualizações mais importantes e a sua relevância para as organizações na proteção das suas informações sensíveis.
- Controlos revistos e novas áreas de enfoque:
- A versão mais recente da ISO 27001 introduz melhorias nos controlos existentes e aborda novas áreas de preocupação na segurança da informação. Alguns foram actualizados e alargados e, além disso, foram acrescentados 11 novos controlos de segurança para refletir as últimas tendências tecnológicas e as ameaças emergentes, incluindo áreas como:
• Inteligência de ameaças.
• Segurança da informação para a utilização de serviços em nuvem.
• Preparação das TIC para a continuidade das actividades…
• Monitorização da segurança física.
• Gestão da configuração.
• Exclusão de informações.
• Mascaramento de dados.
• Prevenção de fugas de dados.
• Actividades de monitorização.
• Filtragem da Web.
• Encriptação segura.
Na versão anterior, os controlos estavam agrupados em 14 categorias e agora passam de 114 controlos em 14 grupos para 93 controlos em 4 grupos.
Estes são:
- Organizacional
- Pessoas
- Físico
- Tecnológico
2. Consideração alargada do contexto organizacional:
Na cláusula 5.3. da norma, afirma-se a importância de transmitir claramente as funções relacionadas com a segurança da informação a todos os níveis da organização. A ISO 27001:2022 destaca a importância de compreender o contexto organizacional na gestão da segurança da informação. As organizações devem agora examinar em pormenor o seu contexto interno e externo, incluindo factores como a cultura empresarial, a cadeia de fornecimento, os requisitos legais e regulamentares, bem como as expectativas das partes interessadas. Esta compreensão mais profunda permite uma aplicação mais eficaz das políticas e controlos de segurança da informação.
3. Foco na melhoria contínua:
Em relação à cláusula 6.2. da ISO 27001, a ênfase é colocada na necessidade de monitorizar explicitamente os objectivos de segurança da informação. A última versão da norma reforçou esta abordagem, exigindo que as organizações estabeleçam indicadores-chave de desempenho (KPI) e efectuem avaliações periódicas do sistema de gestão da segurança da informação. Isto permite às organizações identificar áreas de melhoria e tomar medidas correctivas e preventivas em tempo útil.
Processo de transição
Todos os certificados emitidos ao abrigo da norma ISO 27001:2013 serão considerados válidos até 25 de outubro de 2025, o que significa que permanecerão válidos durante três anos após o lançamento da nova versão.
As empresas com certificação ISO 27001:2013 devem concluir a transição para a ISO 27001:2022 até 31 de outubro de 2025.
As organizações têm a opção de obter ou renovar a sua certificação ao abrigo da ISO 27001:2013 até 25 de abril de 2024, o que representa um período de dezoito meses após a publicação da nova versão.
Em resumo, as alterações ao núcleo do modelo da norma são menores e podem ser efectuadas rapidamente com ajustes mínimos à documentação e aos processos. As alterações aos controlos no Anexo A são moderadas e podem ser abordadas principalmente através da incorporação dos novos controlos na documentação existente.
Contacto
Necessita de informações?