Transição para ISO 27001:2022 – você sabe quais são as regras?

A ISO (Organização Internacional de Normalização), atualizou a norma ISO 27001:2013 após 9 anos. A nova versão ISO 27001:2022 “Segurança da informação, cibersegurança e proteção da privacidade – Sistemas de gestão de segurança da informação – Requisitos” foi publicada em 25 de outubro de 2022.

As principais mudanças na ISO/IEC 27001:2022

A ISO 27001 sofreu diversas alterações, sendo muitas delas pequenas, principalmente nas cláusulas:

• Cláusula 4.2: Compreensão das necessidades e expectativas das partes interessadas
• Cláusula 6.2: Objetivos de Segurança da Informação e planejamento para alcançá-los
• Cláusula 6.3: Planejamento de Mudanças
• Cláusula 8.1: Planejamento e controle operacional

Também incluiu a cláusula 6.3 Planejamento de mudanças – “Quando a organização determinar a necessidade de alterações no sistema de gestão de segurança da informação, as alterações devem ser realizadas de forma planejada.”

A principal mudança é a atualização dos controles do Anexo A, adotando uma nova estrutura (Controles de Segurança da Informação), que foi reorganizada, atualizada e ampliada. Isso está alinhado com a ISO 27002:2022, publicada em março de 2022.

A ISO 27002:2013 contém 114 controles em 14 domínios, sendo que a ISO 27002:2022 contém 93 controles em 4 domínio:

• Capítulo 5 – Controle Organizacional – 37 controles
• Capítulo 6 – Controle de pessoas – 8 controles
• Capítulo 7 – Controle físico – 14 controles
• Capítulo 8 – Controles Tecnológico – 34 controles

Onze novos controles foram adicionados na nova versão da ISO/IEC 27002:

1. Inteligência de ameaças
2. Segurança da informação para uso de serviços em nuvem
3. Preparação de TIC para continuidade de negócios
4. Monitoramento de segurança física
5. Gerenciamento de configuração
6. Exclusão de informações
7. Mascaramento de dados
8. Prevenção de vazamento de dados
9. Atividades de monitoramento
10. Filtragem da Web
11. Codificação segura

Regras de Transição

A IAF (International Accreditaion Forum) definiu um período de transição de 3 anos.

As solicitações de auditorias de certificações ou recertificações referentes a versão de 2013, segundo a IAF, podem ser auditadas até a data de 30 de abril de 2024. Precisando realizar a transição para a nova versão até 31/05/2025.

A transição poderá ser realizada nas auditorias de supervisão, no 12º ou no 24º mês, na auditoria de recertificação ou em uma data específica a ser verificada com o organismo certificador.

Importante – como as regras de transição podem ter variações em relação aos organismos certificadores, consulte o seu organismo para não perder o prazo.

Todas as auditorias de transição da ISO 27001:2013 para a ISO 27001:2022 deverão ser realizadas até 31 de julho de 2025. Após esta data, as empresas terão que realizar uma nova certificação.

Todos os certificados da ISO 27001:2013 terão validade até 31/10/2025, caso a transição não ter sido completada pelas empresas antes. Após esta data, não serão mais válidos.

Detalhes das regras de transição

A Wiseplan pode te ajudar nesta transição para ISO 27001:2022

A equipe da Wiseplan pode ajudá-lo em todo o processo de transição:

Avaliação Inicial: realizar uma avaliação das práticas da empresa em relação aos requisitos da nova norma ISO 27001:2022

Planejamento de Transição: com base na avaliação inicial, desenvolver um plano de transição detalhado, incluindo a criação de um cronograma, atribuição de responsabilidades, definição de metas e os recursos necessários.

Treinamento e Conscientização: oferecer treinamento para a equipe da empresa, garantindo que eles entendam os requisitos da nova versão da norma ISO e como implementá-los efetivamente.

Atualização de Documentação: revisar/atualizar a documentação, como manuais e políticas, procedimentos e registros para garantir que estejam em conformidade com a nova versão da norma.

Implementação de Requisitos: implementação da prática dos requisitos da nova versão, podendo envolver a criação de novos processos, procedimentos e sistemas, conforme necessário.

Auditorias Internas: realizar auditorias internas para verificar se a empresa está em conformidade com os requisitos da nova norma. Isso ajuda a empresa a identificar áreas de não conformidade e corrigi-las antes dos auditórios de certificação.

Preparação para Auditoria de Certificação: ajudar a empresa a se preparar para a auditoria de transição do órgão certificados.

Compartilhe :

Outros Artigos

Aumente suas chances de sucesso com uma análise inicial gratuita.