A ISO/IEC 27001 é um padrão internacional que apresenta requisitos para as organizações estabelecerem, implementarem e manterem a melhoria contínua de seu Sistema de Gestão de Segurança da Informação (SGSI). Publicada pela primeira vez em 2005 foi revisada e atualizada em 2013.
A ISO/IEC 27002 é utilizada em conjunto com a ISO/IEC 27001 e fornece orientação às organizações sobre como implementar os controles de segurança listados no Anexo A da ISO/IEC 27001.
Em fevereiro de 2022 foi publicada uma atualização da ISO/IEC 27002 e o Anexo A da ISO/IEC 27001 está sendo atualizado para alinhar-se a essas mudanças. Naturalmente estas atualizações consideram o cenário de ameaças que está em constante evolução desde a publicação da versão de 2013, bem como temas relevantes como computação em nuvem, trabalho remoto e privacidade de dados.
ISO/IEC 27002 – Principais mudanças comparado a 2013:
Título:
A primeira mudança que se observa é uma alteração no título da ISO/IEC 27002, sendo retirado o termo “Código de Prática”. Essa mudança demonstra a pretensão de fornecer a versão de 2022 como um conjunto de referência de controles e orientações genéricas de segurança da informação. O novo título (Information security, cybersecurity and privacy protection — Information security controls) reflete um contexto mais amplo onde são consideradas práticas para prevenir, detectar e responder ataques cibernéticos, além da proteção e privacidade dos dados.
Controles e Categorias:
A nova versão da ISO/IEC 27002 traz um total de 93 controles em vez dos 114 presentes na versão de 2013. Cabe ressaltar que nesta atualização nenhum dos controles presentes na versão anterior foi excluído. Numericamente falando, 58 controles foram atualizados, 24 controles representam uma fusão de controles já existentes e 11 novos controles foram acrescentados, conforme listado a seguir:
Controles Organizacionais
- 5.7 Threat intelligence
- 5.23 Segurança da Informação para uso em serviços cloud
- 5.30 Tecnologias de prontidão para continuidade de negócios
Controles Tecnológicos
- 8.9 Gerenciamento de Configuração
- 8.10 Deleção da Informação
- 8.11 Mascaramento de Dados
- 8.12 Prevenção ao vazamento de dados
- 8.16 Atividades de Monitoramento
- 8.23 Filtros WEB
- 8.28 Codificação Segura
Controles Físicos
- 7.4 Monitoramento da segurança física
Adicionalmente, os controles estão organizados em quatro categorias em vez das 14 presentes na versão anterior. Essas categorias são:
- Organizacional (com 37 controles)
- Tecnológico (com 34 controles)
- Físico (com 14 controles)
- Pessoas (com oito controles)
Atributos:
Uma outra mudança significativa presente na nova versão é a introdução de cinco atributos de controles que podem ser utilizados para classificar ou apresentar os controles de diferentes maneiras. Estes cinco atributos são:
- Tipo de controle (ex. preventivo, detectivo e corretivo)
- Propriedades de segurança da informação (confidencialidade, disponibilidade e integridade)
- Conceitos de Cyber segurança (seguindo a abordagem e funções do NIST de identificar, proteger, detectar, responder e recuperar)
- Capacidades Operacionais (ex. governança, gerenciamento de ativos, segurança em recursos humanos)
- Domínios de Segurança (ex. Proteção, Defesa, Resiliência)
A utilização dos atributos não é obrigatória, porém seu uso facilitará o processo de categorização de controles de uma organização, também podendo ser utilizados para ajudar as organizações a aplicar o padrão respeitando seu contexto de negócio.
Nova versão da ISO/IEC 27001:
A partir da atualização da ISO/IEC 27002, espera-se que uma nova versão do Anexo A da ISO/IEC 27001 seja publicada ainda este ano. Em geral, as alterações foram realizadas principalmente para simplificar o processo de implementação dos controles, sendo importante ressaltar que as principais cláusulas da ISO/IEC 27001 (ou seja, as cláusulas 4 a 10 que incluem escopo, contexto, gerenciamento de riscos, por exemplo) não serão alteradas, somente sendo atualizados os controles presentes no Anexo A.
É importante observar que até que a nova versão da ISO/IEC 27001 seja publicada é recomendado que a Declaração de Aplicabilidade (SoA – Statement of Applicability) ainda esteja relacionada ao Anexo A da ISO/IEC 27001:2013, embora seja interessante considerar as atualizações realizadas.
Como se Preparar?
Caso sua organização já tenha implementado os controles e/ ou possua a certificação ISO/IEC 27001 é interessante realizar a aquisição do padrão ISO/IEC 27002 atualizado, revisar as mudanças trazidas pela nova versão, realizar uma nova análise de riscos, destacar os principais controles estruturados (e identificar os novos) para mitigação destes riscos, atualizar sua declaração de aplicabilidade, bem como suas políticas e procedimentos existentes. Oficialmente ainda não foi determinado um prazo para execução destas atividades (prazo para adequação dos SGSIs já implantados), mas é provável que este seja de dois anos a partir da data de publicação oficial da ISO/IEC 27001.
Uma vantagem de implementar os novos controles é que, por serem identificáveis por atributo é mais fácil realizar a integração com processos de segurança, facilitando o gerenciamento do Sistema de Gestão de Segurança da Informação (SGSI).
Caso sua organização ainda não tenha implementado os controles e/ou não possua a certificação ISO/IEC 27001, é interessante iniciar o processo de implementação a partir da definição do escopo e responsáveis, estruturação da Política de Segurança da Informação, execução de uma análise de riscos e utilizar o Anexo A da ISO/IEC 27001:2013 como referência para estruturação de controles mitigatórios.
Confira os agrupamentos dos controles:
👉 ListaControles_ISO27001-2013
👉 ListaControles_ISO27002-2022
Baixe o inforgráfico exclusivo sobre a Atualização ISO/IEC 27001 e ISO/IEC 27002:
Infografico_Comparativo_ISO27001_2013_x_ISO27002_2022
Como podemos ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.