No mundo digital em que vivemos, onde dados são valiosos e a informação flui como água, garantir a segurança desses ativos se tornou mais do que uma necessidade — é uma questão de sobrevivência para qualquer negócio. E quando falamos de segurança da informação, a norma ISO 27001 sempre foi um farol para as empresas que realmente se preocupam em proteger seus dados e os de seus clientes.

Recentemente, essa norma sofreu algumas atualizações e mudanças. Quer entender tudo sobre a chegada da  ISO 27001:2022, o que muda com ela e como será o período de transição? Então continue lendo este artigo para conferir todas as respostas.

O que é a ISO 27001?

A ISO 27001 é uma norma internacionalmente reconhecida que estabelece os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). Ela funciona como um conjunto de melhores práticas e diretrizes que ajudam as organizações a estabelecer, implementar, manter e melhorar continuamente a segurança de suas informações.

Ela não dita exatamente como cada controle de segurança deve ser implementado, mas sim o que é necessário em termos de proteção. Isso dá às empresas a flexibilidade de adaptar o SGSI às suas necessidades específicas e aos seus riscos particulares.

A norma aborda desde a segurança física dos servidores até a forma como os dados são acessados e compartilhados, passando pela gestão de riscos, políticas de segurança e a conscientização dos colaboradores.

No mundo real, a aplicação da ISO 27001 é vasta e empresas de todos os portes e setores podem se beneficiar da sua implementação. Imagine um escritório de advocacia que lida com informações financeiras confidenciais de seus clientes. Ter a certificação ISO 27001 demonstra um compromisso sério com a segurança desses dados, o que aumenta a confiança dos clientes e pode até mesmo ser um diferencial competitivo.

Da mesma forma, empresas de tecnologia, instituições financeiras, e até mesmo órgãos públicos podem utilizar a norma para fortalecer suas defesas contra ataques cibernéticos, vazamentos de dados e outras ameaças.

Para ilustrar a importância da segurança da informação, um estudo da IBM Security e do Ponemon Institute revelou que o custo médio de uma violação de dados em 2023 foi de US$ 4,45 milhões globalmente, um aumento de 15% nos últimos três anos. No Brasil, esse custo também é significativo, impactando a reputação, as finanças e a continuidade dos negócios. Ter um SGSI robusto, como o preconizado pela ISO 27001, é uma forma proativa de mitigar esses riscos e proteger o seu patrimônio mais valioso: a informação.

O que muda com a versão ISO 27001:2022?

Agora que entendemos o que é a ISO 27001, a grande questão é: o que mudou com a chegada da versão, a ISO 27001:2022?

A nova versão, publicada em outubro de 2022, traz algumas atualizações importantes em relação à sua antecessora, a ISO/IEC 27001:2013. As mudanças visam alinhar a norma com o cenário atual de ameaças cibernéticas, que está em constante evolução, e também com outras normas de gestão da ISO.

Uma das principais alterações está na estrutura de alto nível (High-Level Structure – HLS), que foi revisada para facilitar a integração com outras normas ISO, como a ISO 9001 (Gestão da Qualidade) e a ISO 14001 (Gestão Ambiental). Isso significa que se a sua empresa já possui outras certificações ISO, a implementação e a manutenção da ISO/IEC 27001:2022 podem se tornar mais fluidas e eficientes.

Outra mudança significativa está relacionada aos controles de segurança. O Anexo A da norma, que lista os objetivos de controle e os controles de segurança, foi completamente revisado e alinhado com a ISO 27002:2022, que fornece diretrizes para a implementação desses controles. A nova versão do Anexo A traz uma visão mais moderna e abrangente da segurança da informação, incorporando temas como segurança na nuvem, inteligência de ameaças e privacidade de dados.

Em vez dos 114 controles presentes na versão de 2013, a ISO 27001:2022 apresenta 93 controles, agrupados em quatro temas principais:

  • Controles Organizacionais (37 controles): Foco na governança e na estrutura de gestão da segurança da informação.
  • Controles de Pessoas (8 controles): Abordam a segurança relacionada aos recursos humanos, desde o recrutamento até o desligamento de funcionários.
  • Controles Físicos (14 controles): Tratam da segurança dos ambientes físicos onde as informações são processadas e armazenadas.
  • Controles Tecnológicos (34 controles): Englobam as medidas de segurança aplicadas aos sistemas de informação e à tecnologia em geral.

É importante notar que, apesar da redução no número total de controles, a abrangência da norma foi mantida e, em alguns aspectos, até ampliada. Alguns controles foram combinados, outros foram atualizados para refletir as novas ameaças e tecnologias, e novos controles foram introduzidos para abordar temas emergentes.

Por exemplo, há um foco maior em temas como a segurança no desenvolvimento de software, a gestão de incidentes de segurança da informação e a continuidade dos negócios.

Para as empresas que lidam com um volume enorme de dados sensíveis, essas mudanças são particularmente relevantes. A nova ISO 27001:2022 oferece um framework ainda mais robusto para proteger informações financeiras, dados de clientes e outros ativos críticos, ajudando a garantir a conformidade com regulamentações como a Lei Geral de Proteção de Dados (LGPD) e a manter a confiança dos seus stakeholders.

Qual será o período de transição?

A transição para a nova versão da ISO 27001 é um processo que requer planejamento e atenção. A Organização Internacional de Normalização (ISO) estabeleceu um período de transição de três anos a partir da data de publicação da nova versão, ou seja, até outubro de 2025.

Durante esse período, as empresas que já possuem a certificação ISO 27001:2013 precisam realizar as adaptações necessárias em seus Sistemas de Gestão da Segurança da Informação para estarem em conformidade com os requisitos da ISO/IEC 27001:2022. As auditorias de certificação e de recertificação realizadas após esse prazo deverão ser baseadas na nova versão da norma.

Para as empresas que estão buscando a certificação ISO 27001 pela primeira vez, o ideal é já iniciar o processo de implementação com base na versão de 2022. Isso evita retrabalho e garante que o seu SGSI esteja alinhado com as melhores práticas mais atuais.

Mas como essa transição pode ser realizada na prática? Aqui estão alguns passos importantes:

  1. Entendimento das Mudanças: O primeiro passo é realizar uma análise detalhada das diferenças entre a ISO 27001:2013 e a ISO 27001:2022. Identifique quais são os novos requisitos, os controles que foram alterados ou adicionados e o impacto dessas mudanças no seu SGSI atual.
  2. Avaliação de Riscos: Realize uma nova avaliação de riscos de segurança da informação, levando em consideração as mudanças no cenário de ameaças e os novos controles da ISO/IEC 27001:2022.
  3. Atualização da Documentação: Revise e atualize toda a documentação do seu SGSI, incluindo políticas, procedimentos, registros e outros documentos, para refletir os requisitos da nova versão da norma.
  4. Implementação dos Novos Controles: Implemente os novos controles de segurança e as atualizações nos controles existentes, conforme identificado na avaliação de riscos e nas mudanças da norma.
  5. Treinamento e Conscientização: Capacite seus colaboradores sobre as mudanças na norma e a importância da segurança da informação, garantindo que todos estejam cientes de seus papeis e responsabilidades na proteção dos dados da empresa.
  6. Auditoria Interna: Realize uma auditoria interna para verificar se o seu SGSI está em conformidade com os requisitos da ISO 27001:2022 e identificar quaisquer não conformidades que precisam ser corrigidas antes da auditoria de certificação.
  7. Auditoria de Certificação: Agende uma auditoria com um organismo certificador acreditado para obter a certificação na ISO/IEC 27001:2022.

A transição para a ISO 27001:2022 pode parecer desafiadora, mas é uma oportunidade valiosa para fortalecer a segurança da informação da sua empresa e demonstrar o seu compromisso com a proteção dos dados.

Saiba tudo sobre a Certificação 27001 na Qive e como protegemos os dados das empresas que contam com a gente!

Temas:

Compartilhe nas redes sociais

Escrito por Qive

Uma empresa focada em se tornar o maior SaaS do Brasil, conectando todas as áreas que utilizam documentos fiscais de uma empresa em um só lugar. Trabalhamos com NFes, NFSes, CTes, MDFes, NFCes, CFe-SAT com integrações com SAP, TOTVS, Bling, Tiny e muitos outros ERPs para facilitar as rotinas das empresas brasileiras! Saiba mais sobre o autor

e-Book Grátis: Gestão Financeira Otimizada e Segura

Veja como garantir processos financeiros seguros e eficientes no dia a dia do seu negócio!

Leia agora!

Captura de NFSe em todo o Brasil

Conheça as oportunidades de NFSe Full e Connect e tenha NFSes de todo o território nacional!

Saiba mais!