Com a revisão da ISO 27002:2022, foi fornecido um conjunto de referência para os controlos de segurança da informação a utilizar com base na gestão dos riscos de segurança da informação, com o objectivo de melhorar outras normas da família 27000.
O ambiente de ameaças sempre crescente, as vulnerabilidades de segurança e o rápido crescimento da tecnologia digital parecem satisfazer as necessidades em falta com a actualização da ISO 27002:2022.
O que há de novo na ISO 27002:2022?
A norma ISO 27002:2013 estava dividida em 14 cláusulas e continha 114 controlos. Esta foi reestruturada, a versão 2022 inclui 93 controlos divididos em 4 secções:
5. Organizacional (37 controlos)
6. Pessoas (8 controlos)
7. Físico (14 controlos)
8. Tecnológicos (34 controlos)
Respostas às suas perguntas essenciais
1 – Qual é a diferença entre a ISO 27001 e a ISO 27002?
A ISO 27001 é a norma principal e as empresas podem certificar-se; as empresas não podem obter a certificação ISO 27002:2022, uma vez que se trata apenas de uma norma de apoio.
No Anexo A, a ISO 27001 apenas fornece uma lista de controlos de segurança, mas não explica como podem ser implementados; a ISO 27002 enumera os mesmos controlos e fornece orientações sobre como implementá-los. No entanto, este guia da norma ISO 27002 não é obrigatório, o que significa que as empresas podem decidir se o utilizam ou não.
2 – Quando é que estas alterações terão lugar?
A ISO 27002 foi actualizada em 15 de Fevereiro de 2022 e o anexo A da ISO 27001 será adaptado a estas alterações.
As actualizações do anexo A da norma ISO 27001 serão feitas em 2022, mas a data ainda não foi anunciada.
3 – Queremos começar a implementar a ISO 27001, devemos esperar até que as alterações sejam publicadas ou devemos começar agora?
Se o seu cliente actual ou potencial está à espera que obtenha a certificação, deve começar o mais rapidamente possível; se pode esperar até ao final de 2022 com o seu projecto, pode esperar pela norma actualizada.
Por outras palavras, esta decisão não tem nada a ver com as normas – depende da rapidez com que necessita da certificação ISO 27001.
4- Agora, se começarmos com a aplicação da ISO 27001, continuaremos com os novos conjuntos de controlo ou com os antigos?
Deve começar pelos controlos existentes, uma vez que as alterações à ISO 27001 ainda não foram publicadas.
A migração para a nova revisão da norma será um esforço menor, uma vez que as alterações aos controlos são apenas moderadas e terá muito tempo para actualizar a documentação relativa aos novos controlos.
5- Já implementámos a ISO 27001, o que é que precisamos de alterar na nossa documentação?
As alterações nas normas estão sobretudo relacionadas com a reorganização dos controlos, pelo que não serão necessárias alterações nas secções de tecnologia, apenas alterações na documentação.
Uma vez que as alterações são moderadas, recomendamos que não adicione novos documentos nem elimine documentos existentes.
6- Quando é que é necessário alterar os nossos documentos?
O período de transição para estas alterações ainda não foi divulgado, mas será provavelmente de 24 meses a partir da data oficial de actualização da ISO 27001:2022.
Por conseguinte, disporá de tempo suficiente para cumprir as suas obrigações.
7 – O organismo de certificação precisa de verificar se há alterações nos documentos?
Sim, se a sua empresa estiver certificada, o organismo de certificação verificará se adaptou os seus documentos durante o período de transição.
Uma vez que o farão durante as auditorias de controlo regulares, não será necessário planear uma nova auditoria.
Impacto nas normas ISO 27000 relevantes
Existem muitas normas e quadros relacionados ou baseados na norma ISO 27002:2013. A substituição da norma por uma nova versão afectá-los-á definitivamente.
Em primeiro lugar, espera-se que a ISO 27001 receba uma actualização pouco depois de a ISO 27002:2022 ser finalizada e publicada. De acordo com a informação actual, a actualização da ISO 27001 limitar-se-á a pequenas alterações de texto e a uma revisão completa do Anexo A, em conformidade com a actualização da ISO 27002.
Prevê-se que seja actualizada em normas comuns como a ISO 27701, a ISO 27017 e a ISO 27018.
Embora a estrutura geral da norma seja semelhante à de outras normas, foi introduzida uma alteração importante na forma como as secções de controlo estão estruturadas. A norma ISO 27002:2013, que consiste em 14 cláusulas, será substituída por 4 cláusulas, como se pode ver na comparação seguinte.
O que é que devemos fazer?
Em primeiro lugar, é preciso ter em conta que, em circunstâncias normais, a publicação de uma nova norma a confirmar constituirá um período de transição. Normalmente, o período de transição será de 24 meses, dependendo do ponto em que a certificação se encontra no actual ciclo de certificação.
Pode começar a preparar-se adquirindo a versão publicada da norma ISO 27002:2022.
O que é que se pode fazer nesta fase?
Embora não se limitem à lista que se segue, estas podem ser as primeiras coisas que pode fazer;
– Adquirir a norma actualizada,
– Comparação entre a nova norma e a antiga,
– Efectuar uma análise de risco e verificar a análise GAP,
– Seleccione os controlos aplicáveis e defina as suas políticas, normas e actualizações do SGSI.
– Actualize a sua declaração de aplicabilidade,
– Actualizar o seu programa de auditoria interna para incluir controlos actualizados seleccionados …. etc.
–
Correio do CFE