Guia de transição
ISO/IEC 27001:2022
Sobre a ISO/IEC 27001:2022
Uma nova versão das normas ISO/IEC 27001 e ISO/IEC 27002 foram lançadas em 2022, refletindo o progresso digital mundial e as metodologias comerciais emergentes que estão cada vez mais dependentes da nuvem e das tecnologias.
As novas versões exigirão mudanças e revisões no SGSI das Organizações, de modo a garantir não apenas a conformidade com requisitos das normas e outros requisitos legais, mas também o alinhamento das práticas comerciais e dos riscos de segurança da informação relacionados com a digitalização.
Em comparação com a antiga revisão, o número de controles na ISO/IEC 27002:2022 diminui de 114 em 14 cláusulas para 93 controles em 4 cláusulas. Destes, 11 controles são novos, 24 controles foram fundidos com outros já existentes, e 58 controles foram atualizados. Além disso, a estrutura de controles no Anexo A da Norma ISO 27001:2022 foi revista, introduzindo “atributo” e “finalidade” para cada controle e não mais utilizando “objetivo” para um grupo de controles.
Confira ao lado nosso webinar sobre as principais mudanças na norma.
Passo a passo da transição para a ISO/IEC 27001:2022
Para iniciar o processo de transição para as novas normas ISO/IEC 27001:2022 e ISO/IEC 27002:2022, você deve primeiro comprar uma cópia de cada uma e treinar sua equipe sobre as mudanças. Isso garantirá que sua organização entenda e possa implementar as mudanças necessárias.
Considere fazer o novo curso de atualização do Q Academy, que preparará você e sua equipe para a jornada de transição. Este curso irá ajudá-lo a se tornar um especialista e líder na auditoria dos novos padrões.
A etapa 2 envolve a avaliação do impacto dos novos padrões em sua organização. Comece realizando um Gap Analysis entre suas práticas atuais e as mudanças na ISO/IEC 27001:2022, utilizando o conhecimento adquirido com seu treinamento de Q Academy e ISO/IEC 27002. Além disso, revise sua avaliação de risco para garantir que ela esteja alinhada com os objetivos e o contexto da sua organização.
Faça o download do nosso checklist de transição para o ajudar neste processo.
A etapa 3 envolve a implementação das alterações necessárias com base em sua Análise de Lacunas e a atualização de sua Declaração de Aplicabilidade (SoA) de acordo. Avalie as evidências e justificativas para incluir ou excluir os controles necessários e certifique-se de que eles estejam alinhados com seu plano de tratamento de risco. Valide as alterações realizando uma auditoria interna para verificar sua eficácia. Esta etapa ajudará a minimizar o risco de falha.
Você também pode entrar em contato conosco para obter uma cotação de pré-auditoria para avaliar sua preparação para a auditoria. Isso não é obrigatório, mas pode ser útil. A esta altura, você estará quase pronto para atualizar seu certificado ISO / IEC 27001.
Agora você pode entrar em contato com seu auditor informando que deseja agendar uma auditoria de transição. Durante a auditoria, o auditor irá verificar o Gap Analysis da ISO/IEC 27001:2022 e quaisquer alterações necessárias ao seu SGSI; a atualização da sua declaração de aplicabilidade (SoA) e revisará a eficácia de quaisquer controles novos ou atualizados.
Depois de receber o relatório de auditoria, tome as medidas necessárias (como a abertura de planos de ação para nãoconformidades, por exemplo) e, em seguida, você poderá obter seu certificado ISO/IEC 27001:2022 atualizado.
Timeline da transição para a ISO/IEC 27001:2022
2022
ISO/IEC 27001:2022 publicada em 25 de outubro.
2023
Certificações iniciais ou de recertificação apenas serão realizadas na versão ISO/IEC 27001:2013 até 25 de outubro de 2023;Auditorias de manutenção ainda podem ser conduzidas de acordo com a ISO/IEC 27001:2013;
Organizações já podem solicitar auditorias de transição para a versão 2022.
2024
Organizações devem priorizar auditorias de transição para a versão 2022.
Todas as novas Certificações e Recertificações serão realizadas na versão 2022.
2025
Prazo limite para o período de transição: Todos os certificados ISO/IEC 27001:2013 expirarão ou serão cancelados até 25 de abril de 2025.
Auditoria de transição para ISO/IEC 27001:2022
A auditoria de transição poderá ser realizada:
Manutenção
Durante uma auditoria de manutenção do seu ciclo
Recertificação
Em sua próxima auditoria de recertificação
Especial
Em uma Auditoria especial (extra), para esse propósito específico
É necessário um tempo adicional para qualquer auditoria de transição, a ser calculada individualmente,
com base no tamanho e na complexidade do seu escopo.
Atenção!
Por favor, informe o seu auditor no momento do agendamento que deseja realizar a transição em sua próxima auditoria e o nosso escritório irá informá-lo a respeito deste tempo adicional com antecedência.
O que será verificado adicionalmente na auditoria de transição da ISO/IEC 27001:2022?
Condução de Gap Analysis com relação às mudanças requeridas pela ISO/IEC 27001:2022, bem como a necessidade de mudanças no SGSI da Organização
Atualização da declaração de aplicabilidade (SoA)
Se aplicável, a atualização do plano de tratamento de riscos
Verificação da implementação e eficácia dos controles novos e/ou modificados conforme estabelecido pela análise realizada pela Organização
Materiais de apoio
Conforme mencionado no decorrer dessa página, a QMS e a Q Academy possui uma série de materiais para te ajudar nesse processo, aqui estão eles.
A Q Academy, nossa academia de treinamentos, oferece alguns cursos na norma ISO/IEC 27001:2022, sendo eles:
Dentro do nosso blog você encontra alguns checklists que podem te ajudar nessa migração/ implementação.
