Com os eventos relacionados a ameaças e vulnerabilidades cibernéticas nos últimos anos, a norma internacional de Gestão de Segurança da Informação (ISO 27001:2013) está sendo atualizada. A ISO 27002 teve sua versão atualizada em fevereiro de 2022 e as empresas que já são certificadas deverão providenciar as devidas atualizações para manter a conformidade.
Destaques

A ISO 27001 tem como finalidade a adoção de um modelo padronizado que visa estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar os sistemas e processos de segurança da informação de uma empresa.

Ao alcançar esse padrão de segurança, as empresas recebem uma certificação que confere às partes interessadas (cliente, acionistas, investidores, entre outras) maior confiança em compartilhar os dados com sua empresa, independentemente de suas características (pequena ou grande, com ou sem fins lucrativos, privada ou pública).

A primeira versão desta norma foi lançada em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commissione. Houve uma nova revisão em 2013 para comportar as adaptações necessárias, especialmente a padronização de definições e estruturas de outras ISO, além de considerar o avanço da computação em nuvem.

Principais atualizações da ISO 27001

A maioria das mudanças são em sua estrutura e layout, com maior impacto no Anexo A da norma, onde estão localizados direcionamentos para implementação dos controles sobre segurança da informação requeridos para atendimento ao sistema de gestão de segurança da informação. Ao todo, 24 controles foram consolidados, um deles foi removido e 11 foram criados.

Nesta atualização foram criadas quatro categorias, totalizando 93 controles, substituindo as 14 seções da versão anterior, com seus 114 controles. Sendo sua estrutura permanecendo da seguinte forma:

  1. Controles organizacionais
  2. Controles de pessoas
  3. Controles físicos
  4. Controles tecnológicos
  5. Anexo A - Atributos
  6. Anexo B - Correspondência com a ISO/IEC 27002:2013

Outra mudança seria a inclusão ao lado de cada controle com divisão em cinco áreas distintas, da seguinte forma:

  • Tipo de controle (preventivo, detentivo, corretivo);
  • Classificação/”InfoSec Properties”;
  • Conceito de segurança cibernética;
  • Capacidades operacionais; e
  • Domínios de segurança


Prazo de adequação

É importante ressaltar que o período de transição para essas mudanças ainda não foi publicado, mas provavelmente será de dois anos a partir da data de atualização oficial da ISO 27001:2022, prevista para outubro de 2022. Portanto, as organizações já certificadas terão um bom período para adequações.

 

Como a Grant Thornton Brasil pode auxiliar?

Nossos profissionais especializados estão à disposição para auxiliar na gestão da segurança da informação da sua empresa e esclarecer dúvidas específicas relacionadas à ISO 27001.

Entre em contato conosco