Actualizações da norma ISO 27001:2022 para uma gestão sólida da segurança da informação.

A segurança da informação é uma preocupação crítica no ambiente empresarial atual, e a norma ISO 27001 foi reconhecida como uma norma internacional para a gestão da segurança da informação. Recentemente, foi publicada uma nova versão desta norma. A nova versão da ISO 27001 foi publicada em 25 de outubro de 2022. Neste artigo, vamos descobrir as actualizações mais importantes e a sua relevância para as organizações na proteção das suas informações sensíveis.

• A versão mais recente da ISO 27001 introduz melhorias nos controlos existentes e aborda novas áreas de preocupação na segurança da informação. Alguns foram actualizados e alargados e, além disso, foram acrescentados 11 novos controlos de segurança para refletir as últimas tendências tecnológicas e as ameaças emergentes, incluindo áreas como:
  • Inteligência de ameaças.
  • Segurança da informação para a utilização de serviços em nuvem.
  • Preparação das TIC para a continuidade das actividades…
  • Monitorização da segurança física.
  • Gestão da configuração.
  • Exclusão de informações.
  • Mascaramento de dados.
  • Prevenção de fugas de dados.
  • Actividades de monitorização.
  • Filtragem da Web.
  • Encriptação segura.

Na versão anterior, os controlos estavam agrupados em 14 categorias e agora passam de 114 controlos em 14 grupos para 93 controlos em 4 grupos.
Estes são:

• Organizacional
• Pessoas
• Físico
• Tecnológico

Na cláusula 5.3. da norma, afirma-se a importância de transmitir claramente as funções relacionadas com a segurança da informação a todos os níveis da organização. A ISO 27001:2022 destaca a importância de compreender o contexto organizacional na gestão da segurança da informação. As organizações devem agora examinar em pormenor o seu contexto interno e externo, incluindo factores como a cultura empresarial, a cadeia de fornecimento, os requisitos legais e regulamentares, bem como as expectativas das partes interessadas. Esta compreensão mais profunda permite uma aplicação mais eficaz das políticas e controlos de segurança da informação.

Em relação à cláusula 6.2. da ISO 27001, a ênfase é colocada na necessidade de monitorizar explicitamente os objectivos de segurança da informação. A última versão da norma reforçou esta abordagem, exigindo que as organizações estabeleçam indicadores-chave de desempenho (KPI) e efectuem avaliações periódicas do sistema de gestão da segurança da informação. Isto permite às organizações identificar áreas de melhoria e tomar medidas correctivas e preventivas em tempo útil.

Todos os certificados emitidos ao abrigo da norma ISO 27001:2013 serão considerados válidos até 25 de outubro de 2025, o que significa que permanecerão válidos durante três anos após o lançamento da nova versão.
As empresas com certificação ISO 27001:2013 devem concluir a transição para a ISO 27001:2022 até 31 de outubro de 2025.
As organizações têm a opção de obter ou renovar a sua certificação ao abrigo da ISO 27001:2013 até 25 de abril de 2024, o que representa um período de dezoito meses após a publicação da nova versão.
Em resumo, as alterações ao núcleo do modelo da norma são menores e podem ser efectuadas rapidamente com ajustes mínimos à documentação e aos processos. As alterações aos controlos no Anexo A são moderadas e podem ser abordadas principalmente através da incorporação dos novos controlos na documentação existente.