Quais os requisitos alterados na ISO 27001:2022?

Quais os requisitos alterados na ISO 27001:2022?

Conheça os requisitos alterados na ISO 27001:2022 e realize a transição para a norma de forma muito mais simples e focada em resultados!
Sabemos que a atualização da ISO IEC 27001:2022 Sistemas de Gestão de Segurança da Informação (SGSI) é um passo importante para muitas empresas. Junto à necessidade de atualização, há também um sensível processo de mudança e melhoria que vai assegurar melhor as informações, as pessoas e as empresas.

Alguns dias atrás, postamos um artigo falando um pouco sobre os motivos da atualização e dando dicas sobre como fazer o processo da forma certa. Porém, para fazer uma transição mais tranquila e focada em resultados, é importante saber quais os requisitos alterados na ISO 27001:2022.

No conteúdo de hoje, vamos falar das principais mudanças nos requisitos da nova versão. Assim você saberá de antemão o que mudou e conseguirá direcionar melhor as ações do seu projeto de atualização da ISO/IEC 27001:2022.

 

Quais os requisitos alterados na ISO 27001:2022?


De forma geral, as principais mudanças ocorreram nos requisitos 4.2, 6.1.3, 6.3 e 9.3. Houveram também outras mudanças, mas neste artigo focaremos mais nos itens normativos e no que foi alterado. Vejamos cada um deles:


 

4.2 Entendendo as necessidades e expectativas das partes interessadas


Um dos itens mais importantes, o 4.2 é base para a criação de produtos e serviços e para o alinhamento entre partes interessadas e empresas.


Nele, foi acrescentada uma alínea. A nova alínea “c)” determina que as organizações, ao determinar os requisitos relevantes para suas partes interessadas, determinem também quais desses requisitos deverão ser abordados pelo SGSI.

Essa mudança, apesar de aparentemente pequena, é bastante significativa. Ela enfatiza a importância de priorizar as necessidades e expectativas das partes interessadas relevantes para o sistema de gestão de SI. Isso possibilita que a organização concentre seus esforços e recursos nas áreas que têm maior impacto na segurança da informação e, assim, possa alcançar os objetivos do SGSI.

 

6.1.3 Tratamento dos riscos de segurança da informação


As mudanças no item 6.1.3 tem como principal objetivo tornar a norma menos taxativa, demonstrando para as empresas que elas precisam avaliar seus contextos. Isso deixa claro que cabe às organizações avaliar a aplicabilidade de acordo com o seu escopo e com os riscos mapeados. Vejamos a mudança:
6.1.3 Tratamento de riscos da segurança da informação […]
  1. d) elaborar uma Declaração de Aplicabilidade que contenha:
— os controles necessários (ver 6.1.3 b) e c)); — a justificativa para inclusões; — se os controles necessários são implementados ou não; e — a justificativa para a exclusão de quaisquer controles do Anexo A.[…]
Além disso, outras mudanças sinalizam a mesma intenção de tornar a norma mais exemplificativa. Foi excluída a primeira sentença da Nota 3 (“Os objetivos de controle estão implicitamente incluídos nos controles escolhidos”). Na segunda parte da nota, também, o termo “objetivos de controle” foi excluído.

 

6.3 Planejamento de mudanças


Essa mudança já era esperada e ocorre para manter a ISO 27001 alinhada com outras normas ISO de gestão, ou seja, essa é uma adequação da norma ao famigerado Anexo SL. Sendo então uma cláusula totalmente nova para a 27001, este requisito determina, basicamente, que todas as “mudanças no SGSI devem ser conduzidas de maneira planejada”.


Esse item evidencia a importância de uma abordagem estruturada e proativa ao lidar com mudanças no que tange à segurança da informação, algo vital em um ambiente que muda constantemente, trazendo novas ameaças e desafios que podem surgir a qualquer momento.

Não se atentar ao planejamento de mudanças é um sério risco à segurança de nossas informações, podendo trazer grandes problemas e riscos para nossas empresas. Portanto, a adição do item é mais que uma simples adição do anexo SL, mas sim uma verdadeira contribuição para a melhoria contínua e para a manutenção do SGSI como um todo.

 

9.3 Análise crítica pela direção


O item 9.3 recebeu atualizações importantes que visam tornar o processo de análise crítica pela direção mais claro e estruturado. Isso facilita a compreensão e implementação por parte das organizações ao mesmo tempo que contribui para uma gestão mais eficaz da segurança da informação para as empresas.


Na prática, o texto foi reorganizado em 3 sub cláusulas (9.3.1 Generalidades; 9.3.2 Entradas para a análise crítica; 9.3.3 Saídas da análise crítica). Essa mudança cria uma ordem mais lógica, requisitando claramente inputs e outputs (entradas e saídas), além de deixar claro o processo de análise crítica e seus resultados esperados.

Além disso – reforçando a mudança no requisito 4.2 – em 9.3.1 foi incluída uma nova alínea c). Esse novo texto determina a necessidade de considerarmos mudanças nas necessidades e expectativas das partes interessadas como uma das entradas para a análise crítica pela alta direção.

 

Reestruturação e alteração nos controles (principais mudanças no ANEXO A)


Outra mudança bastante grande foi a completa reestruturação do Anexo A. O documento contava com 14 grupos, reorganizados em apenas 4, vejamos:
  • Controles organizacionais (37 controles – grupo A.5);
  • Controles de pessoas (8 controles – grupo A.6);
  • Controles físicos (14 controles – grupo A.7);
  • Controles tecnológicos (34 controles – grupo A.8).
Além disso, a norma que antes contava com 114 controles, agora contém apenas 96. Entretanto, vale ressaltar que, na verdade, não houve exclusão de controles! Pelo contrário, além de terem surgido novos controles e outros terem sido mantidos, o que aconteceu é que muitos foram apenas agrupados ou renomeados. Por isso a aparente “redução”.

 

Requisitos alterados na ISO 27001:2022 – por um SGSI mais forte!


De forma geral, os requisitos alterados na ISO 27001:2022 foram muito bem aceitos pelo mercado e consistem em uma grande evolução para as práticas de gestão de segurança da informação.


Por meio deles (e da norma como um todo), podemos melhorar a eficácia de nossos Sistemas de Gestão de Segurança da Informação (SGSI) e a adaptá-los às necessidades e mudanças cada vez mais velozes em nossas empresas e contexto.

As mudanças trazem tudo que um bom sistema de gestão precisa ter, promovendo uma abordagem mais focada, flexível e adaptável, sem abrir mão do que mais importa: manter as informações seguras! Ao realizar a transição para nova versão da norma, portanto, as empresas poderão dar um importante passo rumo ao atingimento de seus objetivos e ao alcance de resultados incríveis!

Se você já é um profissional da ISO/IEC 27001:2013 e deseja apenas uma formação de update das mudanças, aproveite o curso da Q Academy, clique aqui e saiba mais!

QMS Certification

A QMS Certification é um organismo de certificação internacional acreditado que atua especificamente com certificação de sistemas de gestão e treinamentos de normas aplicáveis.

Webinar do mês

Confira nossos conteúdos ao vivo!

Todo mês ensinamos ao novo gratuitamente, confira e se inscreva!

Nos webinars que você assistir ao vivo, há liberação de um certificado de participação ;)

Logo Q Academy Branco

Cursos online de
Sistemas de Gestão

Compliance no Terceiro Setor: Entenda a sua importância

Compliance no Terceiro Setor: Entenda a sua importância

O terceiro setor é uma esfera da atividade econômica que engloba organizações não governamentais (ONGs), associações, fundações e outras entidades que atuam com finalidades sociais, ambientais, culturais ou de desenvolvimento comunitário, mas que não raras vezes são usadas para prática de fraudes, por isso o Compliance no