Entenda os detalhes da atualização da ISO 27001 e sua ligação com a ISO 27002, ambas normas muito importantes para segurança da informação!
Se sua empresa é certificada ou pretende se certificar pela ISO 27001, saiba que ocorrerão algumas pequenas mudanças na norma neste ano. A ISO 27001 está sendo revisada e espera-se que uma versão atualizada da norma seja publicada no decorrer do ano de 2022.
Entretanto, sempre que acontecem atualizações na norma podem surgir dúvidas sobre quais mudanças podem ocorrer e como se adequar a elas. Então, primeiro vamos analisar qual é o objetivo da ISO 27001 e entender um pouco melhor essa história toda.
O que é a ISO 27001?
A ISO 27001 foi publicada pela primeira vez em Outubro de 2005 e sua última revisão foi em 2013. Ela é a norma ISO que define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI).
Seu principal objetivo é proteger a propriedade de informações, melhorar e manter a integridade dos sistemas e processos de segurança dos dados de uma organização.
Em outras palavras, podemos defini-la também como um padrão aplicado pelas empresas para proteger as informações de seus clientes, bem como as da própria organização. A ISO 27001 é uma das normas mais conhecidas na área de proteção de dados pessoais, sendo reconhecida internacionalmente.
Vejamos alguns dos objetivos gerais da norma:
- Oportunidade de identificar e corrigir riscos de vazamento de informações da empresa;
- Proporciona maior conscientização sobre segurança da informação e proteção de dados;
- Ajuda a realizar uma análise de risco bem estruturada a fim de garantir que informações não sejam expostas facilmente;
- Garante maior confiabilidade aos parceiros e clientes, pois demonstra que a empresa se compromete com a segurança das informações envolvidas na relação entre as partes;
O que é o anexo A da 27001
A norma 27001 possui o anexo A, que fornece uma lista dos controles de segurança. Esses controles ajudam a adequar e diminuir a vulnerabilidade dos dados e a empresa tem a liberdade de selecionar os que mais podem se adequar a sua realidade.
Porém a norma não fornece muitos detalhes e não expõe como estes controles de segurança devem ser implementados. Então é nesse ponto que surge a ISO 27002. Norma a qual também precisamos falar neste artigo!
O que é a ISO 27002
Para simplificar a implementação do Anexo A da 27001 e regular o nível que se exige de cada requisito, foi criada a ISO 27002. Essa segunda norma serve para facilitar a interpretação e implementação de cada controle operacional.
Assim, a 27002 funciona como um guia de implementação, ela descreve como e quais controles devem ser estabelecidos. Em geral, ela tem objetivos bem semelhantes à norma ISO 27001. Vejamos:
- Melhorar a organização dos processos de informação de dados;
- Auxiliar na redução de custos com a prevenção de incidentes de segurança da informação;
- Proporciona conformidade com as legislações relacionadas a SI e outras regulamentações, como a LGPD.
Como a norma ISO 27002 é utilizada?
Esta norma é utilizada em conjunto com a 27001. A ISO 27002 tem como objetivo fornecer orientação às organizações e explicações mais detalhadas sobre como implementar os controles de segurança listados no Anexo A da ISO 27001.
Sua aplicação não é obrigatória, então fica a critério da empresa, pois esta se define apenas como uma norma de suporte.
Possíveis mudanças na ISO 27001
Em março deste ano (2022), ocorreram algumas atualizações na ISO 27002. Por este motivo, o Anexo A da ISO 27001 será alinhado a essas mudanças e por isso sua “nova atualização”.
As alterações realizadas em normas possuem o objetivo de simplificar sua execução e implantação. Na 27001 suas mudanças são apenas em sua estrutura e para se adequar às mudanças da 27002. Basicamente, as alterações serão:
- Número de controles: Que diminui, eram 114 controles e na nova mudança passa a ser 93;
- Número de seções: São utilizados em 4 seções em vez das 14 que existiam anteriormente.
- Novos controles: surgimento de 11 novos controles.
Cabe ressaltar que a versão 2013 da norma já estava adequada ao Anexo SL, por isso haverá o baixo nível de alterações.
Uma vantagem de implementar e atualizar os novos controles é que eles serão mais fáceis de identificar, assim será mais simples realizar a integração com processos de segurança de dados. O que, é claro, acaba facilitando o gerenciamento da sua empresa dentro dos padrões do Sistema de Gestão de Segurança da Informação (SGSI).
Será preciso revisar o sistema de gestão nas empresas?
Existe um período de transição de dois anos para que as organizações certificadas revisem seu sistema de gestão para se adequar novas versões de uma norma ISO. Isso, a partir da data de publicação oficial.
A 27001, de acordo com o site oficial da ISO, já foi revisada e aprovada e no decorrer do ano de 2022 deve ser publicada sua nova atualização.
Como as mudanças nos controles, e na norma como um todo, são muito pequenas, a transição para a nova atualização da norma será tranquila. Talvez seja necessário adaptar e atualizar um ou outro requisito, mas nada muito aprofundado. Caso a empresa já seja certificada é necessário realizar apenas as atualizações para manter a conformidade quanto aos novos controles.