[GUIA] Tudo que você precisa saber sobre a ISO/IEC 27001:2022

Você tem dúvidas sobre quais foram as mudanças na nova atualização da ISO/IEC 27001:2022? Neste artigo, separamos as dúvidas mais frequentes e te ajudamos a entender como fazer a transição da norma.

A ISO/IEC 27001:2022 é uma das certificações que mais crescem em todo mundo, sendo considerada uma forma das organizações demonstrarem melhor o compromisso com a segurança da informação.

Ela age protegendo a integridade, a confidencialidade e a disponibilidade de quaisquer dados de negócios das empresas, além de mostrar certa confiança nos clientes.

No entanto, ainda surgem muitas dúvidas sobre a ISO 27001 e hoje vamos te ajudar com esse guia completo.

O que é a certificação ISO/IEC 27001:2022?

A ISO/IEC 27001:2022 teve sua criação oficial em 2005, ela é uma norma internacional que atua no Sistema de Gestão da Segurança da Informação de uma empresa, estávamos utilizando a versão 2013 e recentemente a norma foi atualizada para a versão 2022.

A norma auxilia as organizações na identificação, análise e implementação de controles específicos e necessários para realizar um certo gerenciamento de riscos, definindo ações que possam ajudar na prevenção de “brechas” na segurança.

Toda certificação ISO é baseada no ciclo PDCA – Plan, Do, Check, Act, que significa planejar, executar, verificar e agir. Esse ciclo, ajuda a observar quais sãos os problemas de uma organização, pensar nas soluções e colocar em prática, sempre buscando a melhoria.

Como obter a certificação ISO 27001?

Para obter a certificação ISO/IEC 27001:2022 a empresa precisa realizar a implementação dos requisitos estabelecidos na norma, então você tem 2 possibilidades:

    1. Contratar uma consultoria especializada para fazer esse processo com sua empresa;
    2. Contratar ou buscar especializar alguém nos cursos de auditor interno ou líder nessa na ISO 27001:2022.

Feito a implementação, você deverá realizar uma auditoria interna para verificar se a empresa está pronta para uma auditoria de certificação. Caso a resposta seja positiva, é o momento de contratar uma certificadora, como a QMS por exemplo, para realização da auditoria de certificação, peça aqui um orçamento sem compromisso.

Após a auditoria, é necessário manter uma melhoria contínua, garantindo que todos os processos estão em constante avaliação e monitoramento dos riscos. Como falamos anteriormente, a norma ISO deve utilizar o ciclo PDCA para funcionar.

Quanto custa a certificação ISO 27001?

O valor a ser investido na certificação não é fixo, ele é calculado em cima de diversos fatores, tais como: número de áreas envolvidas no processo, complexidade do escopo de certificação, se envolve mais de 1 local de auditoria, etc.

Entretanto, é importante frisar que, ter a certificação ISO 27001, uma das que mais crescem no mundo todo, é um grande diferencial para a empresa, tanto para os clientes que contratam apenas fornecedores que estabeleceram a certificação como pré-requisito de contratação, como por exemplo a Microsoft, como para facilitar a adequação à legislações como LGPD e GDPR, lembrando que a norma possui uma extensão, a ISO 27701, que trata somente de dados pessoais.

Você pode entrar em contato com a QMS e solicitar uma proposta comercial sem compromisso dentro de 1 dia util, clique aqui.

Quem faz a certificação ISO 27001?

Somente certificadoras podem realizar a certificação de uma empresa na norma ISO 27001, pessoas físicas não possuem essa autoridade e vamos explicar por quê.

Aqui vamos falar sobre uma questão mais técnica, mas que é importante você saber no momento de contratar uma certificadora.

Há uma hierarquia no universo de certificações:

  • IAF: determina quais órgãos podem acreditar certificadoras;
        • Acreditadores: acreditam as certificadoras;
        • Certificadoras: certificam as empresas.

Qual o tempo médio para se obter uma certificação ISO 27001?

Da mesma forma que o valor não é fixo, o tempo médio também não é.

Assim como qualquer projeto, o tempo que levará para a conclusão é calculado através de uma série de fatores como:

  • Quantas pessoas estão envolvidas no processo?
      • A empresa está dedicada à implementação?
      • Precisará realizar muitas alterações? Essas alterações são complexas?

Aqui na QMS já realizamos a certificação de empresas que implementaram a norma em 6 meses e outras em 18 meses, mas uma coisa podemos afirmar, quanto mais comprometida a alta direção estiver, mais rápido será o processo.

A alta direção impacta diretamente na determinação de recursos financeiros, pessoas e principalmente, de tempo.

Qual garantia da certificação ISO 27001?

Uma empresa que possui o selo ISO 27001, deixa claro que a organização possui um compromisso com a segurança da informação, seus dados internos e também com seus clientes, ou  seja, credibilidade é sempre a maior vantagem.

O que você precisa saber sobre a atualização da ISO/IEC 27001:2022

No final de 2022, foi publicada a ISO/IEC 27001:2022.  Empresas que já são certificadas, são obrigadas a fazer a transição para a nova versão da norma até o final do ano de 2025.

As principais mudanças são:

Requisito 4.2 – Entendendo as necessidades e expectativas das partes interessadas

Foi acrescentada uma alínea “c)” para que a organização, ao determinar os requisitos relevantes das partes interessadas, determine quais desses requisitos serão abordados no Sistema de Gestão de Segurança da Informação (SGSI).

Requisito 6.1.3 – Tratamento dos riscos de segurança da informação

Foi alterada a primeira parte da Nota 2, passando para “O Anexo a contém uma lista de possíveis controles de segurança da informação”, na intenção de deixar claro que cabe à organização avaliar a aplicabilidade de acordo com o seu escopo e riscos avaliados.

Foi excluída a primeira sentença da Nota 3: “Os objetivos de controle estão implicitamente incluídos nos controles escolhidos” e, na segunda parte da mesma nota, também excluiu o termo “objetivos de controle”.

Requisito 6.3 – Planejamento de mudanças

Criou-se um requisito adicional, incluído para manter o alinhamento com outras normas ISO de gestão que possuem esse mesmo requisito.

Requisito 9.3 – Análise crítica pela direção

O requisito foi organizado em 3 subcláusulas para deixar claro o processo de análise crítica e seus resultados esperados, sendo elas:

          • 3.1 – Generalidade;
            • Incluiu-se alínea “c)”, para considerar mudanças nas necessidades e expectativas das partes interessadas como uma entrada para a análise crítica.
          • 3.2 – Entradas para a análise crítica;
          • 3.3 – Saídas de análise crítica.

Anexo A

O anexo A da norma teve a sua estrutura modificada, passando de 14 grupos para apenas 4. Também passou de 114 controles para 93. No entanto, não houve exclusão de controles, eles foram apenas renomeados, agrupados, mantidos e também tivemos novos. Ficando assim:

          • Controles organizacionais: 37 controles – grupo A.5;
          • Controles de pessoas: 8 controles – grupo A.6;
          • Controles físicos: 14 controles – grupo A.7;
          • Controles tecnológicos: 34 controles – grupo A.8.

Os controles novos são:

Organizacional

          • 5.7 – inteligência contra ameaças;
          • 5.23 – Segurança da informação para o uso de serviços em nuvem;
          • 5.30 – Prontidão de ICT para continuidade de negócios.

Físico

7.4 – Monitoramento de segurança física.

Tecnológicos

          • 8.9 – Gestão de configuração;
          • 8.10 – Exclusão de informações;
          • 8.11 – Mascaramento de dados;
          • 8.12 – Prevenção contra vazamento de dados;
          • 8.16 – Monitoramento de atividades;
          • 8.23 – Filtragem web;
          • 8.28 – Codificação segura.

FONTE: ABNT NBR ISO/IEC 27001:2022

Como fazer a transição para a norma atualizada

Separamos aqui em 4 simples etapas para que, as empresas que já são certificadas na norma ISO 27001, saibam como fazer a transição para a atualizada.

Passo 1: Aquisição da norma ISO/IEC 27001:2022 e capacitação da equipe e/ou de multiplicadores, você pode consultar o que Q Academy tem disponível nessa norma e qual a melhor opção.

Passo 2: Faça um gap-analysis internamente e uma análise crítica e uma revisão da análise de risco.

Passo 3: Implementação de mudanças (Declaração de aplicabilidade – SoA), faça a auditoria interna e uma análise crítica do Sistema de Gestão.

Passo 4: Solicite a transição em sua auditoria de manutenção ou recertificação.

Prazo para a transição da norma ISO/IEC 27001:2022

Certificações iniciais ou de recertificação, serão apenas realizadas na versão atualizada até 25 de outubro de 2023; 
Auditorias de manutenção ainda podem ser conduzidas de acordo com a ISO/IEC 27001:2013;
As organizações já podem solicitar auditorias de transferência para a versão 2022 a partir de hoje;
          • Em 2024, as organizações devem priorizar auditorias de transição para a versão 2022 e todas as novas certificações e recertificações serão realizadas na nova versão;
          • Prazo limite para o período de transição: 25 de abril de 2025.

Faça a transição com a QMS Certification

Isso é tudo que mudou, tanto do ponto de vista de requisitos, quanto do anexo A. Para a transição, haverá dias adicionais de auditoria (calculados para cada organização).

No momento da auditoria, o auditor responsável irá verificar as mudanças realizadas, SoA, controles e avaliação de riscos para saber se a organização está apta para conseguir realizar a transição da norma ISO/IEC 27001:2022.

QMS Certification

A QMS Certification é um organismo de certificação internacional acreditado que atua especificamente com certificação de sistemas de gestão e treinamentos de normas aplicáveis.

Webinar do mês

Confira nossos conteúdos ao vivo!

Todo mês ensinamos ao novo gratuitamente, confira e se inscreva!

Nos webinars que você assistir ao vivo, há liberação de um certificado de participação ;)

Logo Q Academy Branco

Cursos online de
Sistemas de Gestão

Compliance no Terceiro Setor: Entenda a sua importância

Compliance no Terceiro Setor: Entenda a sua importância

O terceiro setor é uma esfera da atividade econômica que engloba organizações não governamentais (ONGs), associações, fundações e outras entidades que atuam com finalidades sociais, ambientais, culturais ou de desenvolvimento comunitário, mas que não raras vezes são usadas para prática de fraudes, por isso o Compliance no