Em março de 2022, a ISO/IEC 27002 recebeu uma grande atualização. Entre as novidades, o nome da norma, seu tamanho e os controles estão entre as mais relevantes. Hoje, vamos tratar dessas alterações e responder às perguntas frequentes sobre a adequação das organizações e profissionais à nova norma e demonstrar como é possível se certificar na versão nova e atualizada.
Principais alterações
A maior parte das novidades é em relação aos controles. Porém, questões de estrutura e tamanho também integram a atualização. Vamos a elas:
Alteração do nome da norma:
Em primeiro lugar, percebemos que a frase “código de prática” foi retirada do título do padrão ISO 27002. Essa é uma alteração lógica, levando em consideração que a ISO 27002 define suas diretrizes e princípios gerais em alto nível, e não em práticas minuciosas.
O título foi alterado de “Tecnologia da informação — Técnicas de segurança — Código de prática para controles de segurança da informação” para “Segurança da Informação, Segurança Cibernética e Proteção à Privacidade — Controles de Segurança da Informação.”
Assim, podemos entender que essa alteração demonstra que o foco da norma é o detalhamento de controles, e não a definição de práticas.
Tamanho da norma:
O tamanho quase dobrou: a nova norma é significativamente maior, de 88 páginas para 164 páginas. A maioria do conteúdo adicionado é referente a novos controles.
Além disso, houve uma reordenação e atualização dos controles, como também tivemos mesclas ou remoção de alguns controles, e adição de outros.
Temas dos controles:
A nova versão lista 93 controles em vez dos 114 da versão velha. Esses controles agora se agruparam em 4 ‘temas’ em vez de 14 cláusulas:
- Humanos (8 controles);
- Organizacionais (37 controles);
- Tecnológicos (34 controles);
- Físicos (14 controles).
Novos controles:
Adicionou-se à norma alguns controles para casos específicos concernentes à segurança da informação, são eles:
- Inteligência de ameaças (compreensão da lógica das ameaças);
- Segurança da informação para uso de serviços em nuvem;
- Prontidão da TIC para continuidade de negócios;
- Monitoramento de segurança física;
- Gerenciamento de configurações;
- Exclusão de informações;
- Mascaramento de dados;
- Prevenção de vazamento de dados;
- Atividades de monitoramento;
- Filtragem da Web;
- Codificação segura.
Novos atributos de controles:
Para facilitar a categorização e a organização, os controles possuem novos atributos que nos ajudam a localizar-nos dentro da norma:
- Tipo de controle – preventivo, detectivo e corretivo;
- Propriedades de segurança da informação – confidencialidade, integridade e disponibilidade;
- Conceitos de segurança cibernética – identificar, proteger, detectar, responder e recuperar;
- Capacidades operacionais – governança, gestão de ativos, segurança física e continuidade etc;
- Domínios de segurança – governança e ecossistema, proteção, defesa e resiliência.
A reorganização dos atributos dos controles permite que uma organização, com seus focos e objetivos específicos, encontre facilmente na norma aqueles controles que mais se adequam às suas operações. Por isso, a reestruturação das categorias de controles é muito importante.
Contudo, essa busca pode ser feita de maneira simples, através de uma tabela matriz dos controles com seus tipos, propriedades, conceitos, capacidades operacionais e domínios, presente na nova norma.
Junção de termos:
Além disso, duas cláusulas, “8.1.1 – Inventário dos Ativos” e “8.1.2 – Proprietários dos Ativos” se juntaram em um item só, que se chama “5.10 Uso aceitável de informações e outros ativos associados.”
Alteração na Estrutura
Ocorreram, também, mudanças estruturais. Por exemplo, moveu-se a cláusula “6.8 Relatórios de Eventos de Segurança da Informação” dos “Controles de Gestão de Incidentes de Segurança da Informação” para “Os Controles de Pessoas (Humanos)”.
Mudança no nome do controle
Ademais, houve a mudança de nome do controle “Inventário de Ativos” para “Inventário de Informação e Outros Ativos Associados”.
Perguntas que não querem calar
-
Eu já estou com a ISO 27001 implantada, e agora?
Como parte do processo de gerenciamento de riscos, a ISO 27001:2013 permite selecionar controles de qualquer lugar, desde que você os compare com o Anexo A e documente as razões de suas escolhas.
-
A futura versão da ISO 27001:2022 será semelhante à ISO 27002:2022?
Sim, pois a 27001 sempre se assemelha à 27002.
Então, mãos à obra! Não há o que esperar. Assim que for lançada a nova versão do Anexo A, ela refletirá os novos controles da nova ISO 27002:2022.
No entanto, até que a nova versão 2022 da ISO 27001 seja publicada, seu SoA (Declaração de Aplicabilidade) ainda deve se referir ao Anexo A da ISO 27001:2013, e os controles na ISO 27002:2022 serão um conjunto de controle alternativo que você terá que comparar com o Anexo A existente – assim como faria com qualquer outro conjunto de controle alternativo.
-
Quanto tempo eu tenho para me atualizar?
Geralmente, há um período de transição de dois anos. Porém, é desaconselhável deixar para a última hora. Uma vantagem de implementar os novos controles agora é que, por serem identificáveis por atributo, é mais fácil focar suas seleções, o que pode reduzir a carga de conformidade ou ajudá-lo a decidir sobre como integrar melhor seus processos de segurança, tornando seu ISMS mais fácil de implementar e gerenciar.
-
Devo esperar a nova versão 2022 da ISO 27001 para me certificar?
Não, você não perde nada implementando um ISMS que esteja em conformidade com a ISO 27001:2013 e que use o conjunto de controle existente do Anexo A, seja para implementação direta ou como referência em relação a outros controles.
Então, esperar até que a nova iteração da ISO 27001 seja publicada provavelmente te deixará em maior risco.
-
Então como eu me certifico?
O curso do professor Adriano Martins Antonio, disponível na PMG Prime, tem tudo o que você precisa para implementar um SGSI compatível com a ISO 27001:2013, e com a 27002:2022. Assim como para obter a certificação da Norma.
Artigos Relacionados