Wiseplan

Mudanças na nova ISO/IEC 27001 e ISO/IEC 27002

A ISO/IEC 27001 está em revisão e a ISO/IEC 27002:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Controles de Segurança da Informação foi lançada. A última revisão da ISO/IEC 27002 foi publicada em fevereiro de 2022, e a ISO/IEC 27001 seguirá logo em seguida. O comitê técnico conjunto da International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), ISO/IEC JTC 1, está mudando a estrutura da estrutura de controle ISO/IEC 27001/27002 após quase 20 anos.

Qual é a diferença entre ISO/IEC 27001 e ISO/IEC 27002?

As organizações podem obter a certificação ISO/IEC 27001, mas não ISO/IEC 27002. A ISO/IEC 27001 documenta os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de segurança da informação, enquanto a ISO/IEC 27002 é projetada para as organizações usarem como uma referência para a seleção de controles e fornece diretrizes para práticas de gestão de segurança da informação, incluindo a implementação e gestão de controles, levando em consideração o ambiente de risco de segurança da informação da organização. As organizações podem ser certificadas em padrões que contêm requisitos, mas não podem ser certificadas em padrões que fornecem orientação.

As principais mudanças na ISO/IEC 27001:2022 incluem:

  • Anexo A referências aos controles na ISO/IEC 27002:2022, que inclui o título de controle e o controle;
  • A nota da Cláusula 6.1.3  é revisada editorialmente, inclusive excluindo os “objetivos de controle” e substituindo “controle de segurança da informação” por “controle”
  • A redação da Cláusula 6.1.3 d) é revisada para fornecer clareza e eliminar ambiguidades.

 

Alterações na ISO/IEC 27002:2022 A ISO/IEC 27002:2013 contém 114 controles em 14 domínios; A ISO/IEC 27002:2022 contém 93 controles em 4 domínios:

Existem agora 5 atributos de controle para cada controle:

  • Como categorizar – preventivo, detetive, corretivo.
  • Propriedades de segurança da informação – confidencialidade, integridade, disponibilidade.
  • Conceitos de cibersegurança – identificar, proteger, detectar, responder, recuperar.
  • Recursos operacionais – governança, gerenciamento de ativos, proteção de informações, segurança de recursos humanos, segurança física, segurança de sistemas e redes, segurança de aplicativos, configuração segura, gerenciamento de identidade e acesso, gerenciamento de ameaças e vulnerabilidades, continuidade, segurança de relacionamento com fornecedores, legal e conformidade, gerenciamento de eventos de segurança da informação, garantia de segurança da informação.
  • Domínios de segurança – governança e ecossistema, proteção, defesa, resiliência.

 

Doze novos controles foram introduzidos na nova versão da ISO/IEC 27002:

  1. Inteligência de ameaças
  2. Gerenciamento de identidade
  3. Segurança da informação para uso de serviços em nuvem
  4. Prontidão de TIC para continuidade de negócios
  5. Monitoramento de segurança física
  6. Endpoint do usuário dispositivos
  7. Gerenciamento de configuração
  8. Exclusão de informações
  9. Mascaramento de dados
  10. Prevenção de vazamento de dados
  11. Filtragem da Web
  12. Codificação segura

 

Dezesseis controles foram excluídos por duplicação ou melhor alinhamento sob outros controles:

  1. Revisão das políticas de segurança da informação
  2. Política de dispositivos móveis
  3. Propriedade de ativos
  4. Manuseio de ativos
  5. Sistema de gerenciamento de senhas
  6. Áreas de entrega e carregamento
  7. Remoção de ativos
  8. Equipamentos de usuários autônomos
  9. Proteção de informações de log
  10. Restrições de software instalação
  11. Mensagens eletrônicas
  12. Protegendo serviços de aplicativos em redes públicas
  13. Protegendo transações de serviços de aplicativos
  14. Testes de aceitação do sistema
  15. Reportando pontos fracos de segurança da informação
  16. Revisão de conformidade técnica

 

Existem alguns controles que foram modificados e integrados para se tornarem um controle principal. Aqui estão alguns exemplos:

  • “Inventário de ativos” é modificado como “Inventário de informações e outros ativos associados”.
  • “Uso aceitável de ativos” alterado para “Uso aceitável de informações e outros ativos associados”.
  • Política sobre controles criptográficos e gerenciamento de chaves etc. alterada para “Uso de controles de criptografia”.
  • Log de eventos renomeado para “Logging”.
  • Os logs do administrador e do operador foram alterados para “Atividades de monitoramento”
  • Políticas e procedimentos de transferência de informações, acordo sobre transferência de informações, etc. combinados como um controle principal em “Transferência de informações”.
Alexandre de Lima Lopes
Alexandre de Lima Lopes

CEO da Wiseplan, mestrando em business science administration pela Florida Christian University da Florida/USA.

Tags :

ISO27001,ISO27002

Compartilhe :

Precisa de assessoria para o processo de adequação à proteção de dados na Saúde?

 Entre em contato com a WISEPLAN, temos experiencia prática na implementação da privacidade em instituições de saúde, inclusive em operações multinacionais. Para agendar uma consultoria inicial gratuita, a fim de conhecer a nossa expertise e o nosso time especializado, envie uma mensagem:
Tradutor