A norma do sistema de gerenciamento de segurança da informação ISO/IEC 27001 fornece às empresas uma estrutura para gerenciar riscos e proteger contra ameaças para manter os ativos de informações seguros, desde informações financeiras e propriedade intelectual até detalhes de funcionários e muito mais.
Hoje, a segurança da informação está em alta na agenda de quase todas as empresas. Com novos cenários, a mudança é prioridade e tratada com certa urgência. Com o aumento da tecnologias de nuvem e automação, segurança cibernética, privacidade, malware e ransomware sozinhos, as empresas são forçadas a reavaliar seu contexto, principais riscos e ameaças e partes interessadas relevantes de forma estruturada e confiável.
Com a última versão lançada em 2013, uma nova versão era necessária para ajudar as empresas a navegar em novos cenários e garantir que os controles de segurança atuais estivessem em vigor.
A ISO/IEC 27001:2022 revisada
A nova versão da ISO/IEC 27001:2022 aborda os novos cenários que as empresas devem enfrentar. As mudanças estão principalmente no Anexo A, antecipadas pela publicação da ISO/IEC 27002, onde os controles de segurança foram adicionados, excluídos ou mesclados. As mudanças se estendem para incluir aspectos de segurança cibernética e privacidade e a linguagem de controle é atualizada e orientações adicionais são adicionadas. Isso ajuda as empresas a gerenciar riscos, garantir que nada seja perdido e fazer o devido acompanhamento.
A última versão foi lançada em 2013. Não surpreendentemente, as mudanças no controle de segurança são bastante significativas, com 11 novas, 58 atualizadas e 24 mescladas. Os cenários de mudança que estão sendo abordados em particular são:
- Introdução de tecnologias digitais como Cloud e automação;
- Adaptação recente e crescente de tais tecnologias;
- Reconhecer os riscos de cibersegurança e privacidade;
- Refletindo o cenário de ameaças em mudança, por ex. novos tipos de malware e ransomware;
- Alinhando com outras práticas recomendadas, por exemplo NIST, COBIT, etc.
- Atualizando a linguagem de controle e adicionando orientação adicional
As principais áreas afetadas pelas mudanças são:
- Liderança;
- Segurança corporativa;
- Funções de TI;
- Outras funções de suporte;
- Entregas (para prestadores de serviços).
Para estar em conformidade, as organizações devem reavaliar suas avaliações de risco e restabelecer seus controles de segurança.
Além das mudanças nos controles, a edição de 2022 também foi realinhada com as atualizações mais recentes da Estrutura de Alto Nível (HLS) da ISO. Essas alterações são baseadas na versão mais recente do Anexo SL das Diretivas ISO/IEC Parte 1 (2022). No entanto, essas mudanças são consideradas pequenas, pois a edição de 2013 foi uma das primeiras normas a adotar o HLS.
Cronograma de transição
A nova versão da ISO/IEC 27001 foi lançada em 25 de outubro de 2022. O cronograma de transição está definido para 3 anos. Os certificados atuais de 2013, portanto, precisam ser transferidos para a nova versão antes de novembro de 2025.
A auditoria de transição pode ser realizada durante qualquer auditoria agendada durante o período de transição de 3 anos, mas também pode ser realizada como auditoria de transição especial.
Preparando para implementação
Recomendamos que você comece a se preparar para a transição o mais cedo possível e planeje adequadamente para incorporar as mudanças necessárias em seu sistema de gestão.
Etapas recomendadas para a transição:
- Conheça o conteúdo e os requisitos da nova norma. Concentre-se nas mudanças implícitas na norma revisada.
- Certifique-se de que o pessoal relevante em sua organização seja treinado e entenda os requisitos e as principais mudanças.
- Identifique as lacunas que precisam ser abordadas para atender aos novos requisitos e estabeleça um plano de implementação.
- Implemente ações e atualize seu sistema de gestão para atender aos novos requisitos.
Como podemos apoiar
Não importa se você já é certificado pela ISO/IEC 27001 ou se é novo na norma, a DNV pode oferecer suporte à certificação e transição do seu sistema de gerenciamento de segurança da informação. Como um órgão de certificação líder mundial, estamos trabalhando com pequenas e grandes empresas para suas necessidades de segurança e privacidade de informações em todo o mundo.
Se você está se preparando para fazer a transição da versão 2013 para a versão 2022, podemos ajudá-lo com:
- Treinamento onde você aprende sobre a revisão e obtém uma visão geral básica das principais mudanças e do processo de transição.
- Ferramentas de autoavaliação on-line e avaliações de lacunas no local/fora do local para medir o quão bem seu sistema de gerenciamento atende aos novos requisitos.
- Auditoria de transição para alinhar sua certificação com a nova versão da norma.
- Podemos apoiá-lo em cada etapa do caminho.
Se você está se preparando para fazer a transição da versão 2013 para a versão 2022, podemos ajudá-lo com: Explorando a certificação ISO/IEC 27001 pela primeira vez? Visite nossa página de serviço do sistema de gerenciamento de segurança da informação para saber mais sobre seu recurso, benefícios e caminho para a certificação