Sabemos que a atualização da ISO IEC 27001:2022 Sistemas de Gestão de Segurança da Informação (SGSI) é um passo importante para muitas empresas. Junto à necessidade de atualização, há também um sensível processo de mudança e melhoria que vai assegurar melhor as informações, as pessoas e as empresas.
Alguns dias atrás, postamos um artigo falando um pouco sobre os motivos da atualização e dando dicas sobre como fazer o processo da forma certa. Porém, para fazer uma transição mais tranquila e focada em resultados, é importante saber quais os requisitos alterados na ISO 27001:2022.
No conteúdo de hoje, vamos falar das principais mudanças nos requisitos da nova versão. Assim você saberá de antemão o que mudou e conseguirá direcionar melhor as ações do seu projeto de atualização da ISO/IEC 27001:2022.
De forma geral, as principais mudanças ocorreram nos requisitos 4.2, 6.1.3, 6.3 e 9.3. Houveram também outras mudanças, mas neste artigo focaremos mais nos itens normativos e no que foi alterado. Vejamos cada um deles:
Um dos itens mais importantes, o 4.2 é base para a criação de produtos e serviços e para o alinhamento entre partes interessadas e empresas.
Nele, foi acrescentada uma alínea. A nova alínea “c)” determina que as organizações, ao determinar os requisitos relevantes para suas partes interessadas, determinem também quais desses requisitos deverão ser abordados pelo SGSI.
Essa mudança, apesar de aparentemente pequena, é bastante significativa. Ela enfatiza a importância de priorizar as necessidades e expectativas das partes interessadas relevantes para o sistema de gestão de SI. Isso possibilita que a organização concentre seus esforços e recursos nas áreas que têm maior impacto na segurança da informação e, assim, possa alcançar os objetivos do SGSI.
As mudanças no item 6.1.3 tem como principal objetivo tornar a norma menos taxativa, demonstrando para as empresas que elas precisam avaliar seus contextos. Isso deixa claro que cabe às organizações avaliar a aplicabilidade de acordo com o seu escopo e com os riscos mapeados. Vejamos a mudança:
Essa mudança já era esperada e ocorre para manter a ISO 27001 alinhada com outras normas ISO de gestão, ou seja, essa é uma adequação da norma ao famigerado Anexo SL. Sendo então uma cláusula totalmente nova para a 27001, este requisito determina, basicamente, que todas as “mudanças no SGSI devem ser conduzidas de maneira planejada”.
Esse item evidencia a importância de uma abordagem estruturada e proativa ao lidar com mudanças no que tange à segurança da informação, algo vital em um ambiente que muda constantemente, trazendo novas ameaças e desafios que podem surgir a qualquer momento.
Não se atentar ao planejamento de mudanças é um sério risco à segurança de nossas informações, podendo trazer grandes problemas e riscos para nossas empresas. Portanto, a adição do item é mais que uma simples adição do anexo SL, mas sim uma verdadeira contribuição para a melhoria contínua e para a manutenção do SGSI como um todo.
O item 9.3 recebeu atualizações importantes que visam tornar o processo de análise crítica pela direção mais claro e estruturado. Isso facilita a compreensão e implementação por parte das organizações ao mesmo tempo que contribui para uma gestão mais eficaz da segurança da informação para as empresas.
Na prática, o texto foi reorganizado em 3 sub cláusulas (9.3.1 Generalidades; 9.3.2 Entradas para a análise crítica; 9.3.3 Saídas da análise crítica). Essa mudança cria uma ordem mais lógica, requisitando claramente inputs e outputs (entradas e saídas), além de deixar claro o processo de análise crítica e seus resultados esperados.
Além disso – reforçando a mudança no requisito 4.2 – em 9.3.1 foi incluída uma nova alínea c). Esse novo texto determina a necessidade de considerarmos mudanças nas necessidades e expectativas das partes interessadas como uma das entradas para a análise crítica pela alta direção.
Outra mudança bastante grande foi a completa reestruturação do Anexo A. O documento contava com 14 grupos, reorganizados em apenas 4, vejamos:
De forma geral, os requisitos alterados na ISO 27001:2022 foram muito bem aceitos pelo mercado e consistem em uma grande evolução para as práticas de gestão de segurança da informação.
Por meio deles (e da norma como um todo), podemos melhorar a eficácia de nossos Sistemas de Gestão de Segurança da Informação (SGSI) e a adaptá-los às necessidades e mudanças cada vez mais velozes em nossas empresas e contexto.
As mudanças trazem tudo que um bom sistema de gestão precisa ter, promovendo uma abordagem mais focada, flexível e adaptável, sem abrir mão do que mais importa: manter as informações seguras! Ao realizar a transição para nova versão da norma, portanto, as empresas poderão dar um importante passo rumo ao atingimento de seus objetivos e ao alcance de resultados incríveis!
Se você já é um profissional da ISO/IEC 27001:2013 e deseja apenas uma formação de update das mudanças, aproveite o curso da Q Academy, clique aqui e saiba mais!
Alguns dias atrás, postamos um artigo falando um pouco sobre os motivos da atualização e dando dicas sobre como fazer o processo da forma certa. Porém, para fazer uma transição mais tranquila e focada em resultados, é importante saber quais os requisitos alterados na ISO 27001:2022.
No conteúdo de hoje, vamos falar das principais mudanças nos requisitos da nova versão. Assim você saberá de antemão o que mudou e conseguirá direcionar melhor as ações do seu projeto de atualização da ISO/IEC 27001:2022.
Quais os requisitos alterados na ISO 27001:2022?
De forma geral, as principais mudanças ocorreram nos requisitos 4.2, 6.1.3, 6.3 e 9.3. Houveram também outras mudanças, mas neste artigo focaremos mais nos itens normativos e no que foi alterado. Vejamos cada um deles:
4.2 Entendendo as necessidades e expectativas das partes interessadas
Um dos itens mais importantes, o 4.2 é base para a criação de produtos e serviços e para o alinhamento entre partes interessadas e empresas.
Nele, foi acrescentada uma alínea. A nova alínea “c)” determina que as organizações, ao determinar os requisitos relevantes para suas partes interessadas, determinem também quais desses requisitos deverão ser abordados pelo SGSI.
Essa mudança, apesar de aparentemente pequena, é bastante significativa. Ela enfatiza a importância de priorizar as necessidades e expectativas das partes interessadas relevantes para o sistema de gestão de SI. Isso possibilita que a organização concentre seus esforços e recursos nas áreas que têm maior impacto na segurança da informação e, assim, possa alcançar os objetivos do SGSI.
6.1.3 Tratamento dos riscos de segurança da informação
As mudanças no item 6.1.3 tem como principal objetivo tornar a norma menos taxativa, demonstrando para as empresas que elas precisam avaliar seus contextos. Isso deixa claro que cabe às organizações avaliar a aplicabilidade de acordo com o seu escopo e com os riscos mapeados. Vejamos a mudança:
6.1.3 Tratamento de riscos da segurança da informação […]Além disso, outras mudanças sinalizam a mesma intenção de tornar a norma mais exemplificativa. Foi excluída a primeira sentença da Nota 3 (“Os objetivos de controle estão implicitamente incluídos nos controles escolhidos”). Na segunda parte da nota, também, o termo “objetivos de controle” foi excluído.— os controles necessários (ver 6.1.3 b) e c)); — a justificativa para inclusões; — se os controles necessários são implementados ou não; e — a justificativa para a exclusão de quaisquer controles do Anexo A.[…]
- d) elaborar uma Declaração de Aplicabilidade que contenha:
6.3 Planejamento de mudanças
Essa mudança já era esperada e ocorre para manter a ISO 27001 alinhada com outras normas ISO de gestão, ou seja, essa é uma adequação da norma ao famigerado Anexo SL. Sendo então uma cláusula totalmente nova para a 27001, este requisito determina, basicamente, que todas as “mudanças no SGSI devem ser conduzidas de maneira planejada”.
Esse item evidencia a importância de uma abordagem estruturada e proativa ao lidar com mudanças no que tange à segurança da informação, algo vital em um ambiente que muda constantemente, trazendo novas ameaças e desafios que podem surgir a qualquer momento.
Não se atentar ao planejamento de mudanças é um sério risco à segurança de nossas informações, podendo trazer grandes problemas e riscos para nossas empresas. Portanto, a adição do item é mais que uma simples adição do anexo SL, mas sim uma verdadeira contribuição para a melhoria contínua e para a manutenção do SGSI como um todo.
9.3 Análise crítica pela direção
O item 9.3 recebeu atualizações importantes que visam tornar o processo de análise crítica pela direção mais claro e estruturado. Isso facilita a compreensão e implementação por parte das organizações ao mesmo tempo que contribui para uma gestão mais eficaz da segurança da informação para as empresas.
Na prática, o texto foi reorganizado em 3 sub cláusulas (9.3.1 Generalidades; 9.3.2 Entradas para a análise crítica; 9.3.3 Saídas da análise crítica). Essa mudança cria uma ordem mais lógica, requisitando claramente inputs e outputs (entradas e saídas), além de deixar claro o processo de análise crítica e seus resultados esperados.
Além disso – reforçando a mudança no requisito 4.2 – em 9.3.1 foi incluída uma nova alínea c). Esse novo texto determina a necessidade de considerarmos mudanças nas necessidades e expectativas das partes interessadas como uma das entradas para a análise crítica pela alta direção.
Reestruturação e alteração nos controles (principais mudanças no ANEXO A)
Outra mudança bastante grande foi a completa reestruturação do Anexo A. O documento contava com 14 grupos, reorganizados em apenas 4, vejamos:
- Controles organizacionais (37 controles – grupo A.5);
- Controles de pessoas (8 controles – grupo A.6);
- Controles físicos (14 controles – grupo A.7);
- Controles tecnológicos (34 controles – grupo A.8).
Requisitos alterados na ISO 27001:2022 – por um SGSI mais forte!
De forma geral, os requisitos alterados na ISO 27001:2022 foram muito bem aceitos pelo mercado e consistem em uma grande evolução para as práticas de gestão de segurança da informação.
Por meio deles (e da norma como um todo), podemos melhorar a eficácia de nossos Sistemas de Gestão de Segurança da Informação (SGSI) e a adaptá-los às necessidades e mudanças cada vez mais velozes em nossas empresas e contexto.
As mudanças trazem tudo que um bom sistema de gestão precisa ter, promovendo uma abordagem mais focada, flexível e adaptável, sem abrir mão do que mais importa: manter as informações seguras! Ao realizar a transição para nova versão da norma, portanto, as empresas poderão dar um importante passo rumo ao atingimento de seus objetivos e ao alcance de resultados incríveis!
Se você já é um profissional da ISO/IEC 27001:2013 e deseja apenas uma formação de update das mudanças, aproveite o curso da Q Academy, clique aqui e saiba mais!
