Explorando a Evolução: ISO 27001:2013 vs. ISO 27001:2022, o que mudou?

ISO 27001 - Imagem Ilustrativa

No mundo dinâmico da segurança da informação, estar atualizado com os padrões mais recentes é fundamental para garantir a proteção dos ativos de informação da organização. Um dos frameworks mais importantes e utilizados para garantir a segurança é a ISO 27001, o padrão reconhecido globalmente para Sistemas de Gestão de Segurança da Informação (SGSI). Após quase uma década, o padrão passou por uma transformação significativa com a introdução da ISO 27001:2022. Neste artigo, exploraremos em detalhes as principais mudanças trazidas por essa última revisão e entenderemos como ela se compara à sua antecessora, a ISO 27001:2013.

 

Uma breve história da ISO 27001

Antes de mergulharmos nas diferenças entre as duas versões da norma, é importante relembrar brevemente a história da ISO 27001. Ela teve sua estreia como BS 7799-2 em 1999 e, ao longo dos anos, passou por várias transformações até se tornar o padrão amplamente reconhecido que é hoje. A versão de 2013 foi utilizada até a atualização da norma, servindo como alicerce para a gestão de segurança da informação de inúmeras organizações ao redor do mundo. Avançando até 25 de outubro de 2022, o cenário estava pronto para o lançamento da muito aguardada ISO 27001:2022.

 

Mudanças sutis, impacto profundo

À primeira vista, comparar a ISO 27001:2013 com a ISO 27001:2022 pode dar a impressão de que as mudanças foram sutis. No entanto, embora a estrutura geral possa parecer familiar, é nos detalhes que as alterações revelam seu impacto profundo e significativo.

 

Aprimoramentos no Sistema de Gestão da ISO 27001:2022

O cerne da ISO 27001 reside em seu sistema de gestão, e a ISO 27001:2022 trouxe diversas alterações notáveis que merecem nossa atenção:

  • Entendimento das Partes Interessadas: Esta revisão enfatiza a importância de analisar cuidadosamente as necessidades das partes interessadas e abordar seus requisitos por meio do SGSI.
  • Planejamento de Segurança da Informação: Um novo requisito foi introduzido nesta cláusula, exigindo a inclusão do planejamento de processos e suas interações dentro do SGSI.
  • Funções Organizacionais: A comunicação das funções dentro da organização ganhou um foco interno, garantindo clareza e eficácia na comunicação interna.
  • Monitoramento de Objetivo: Esta revisão inclui um novo requisito, exigindo o monitoramento contínuo dos objetivos estabelecidos.
  • Mudança Planejada: Novidade nesta versão, esta cláusula coloca a ênfase em mudanças planejadas dentro do SGSI.
  • Comunicação Simplificada: Enquanto na versão anterior havia um processo formal de comunicação, na ISO 27001:2022 isso foi removido, simplificando a abordagem.
  • Planejamento e Controle Operacional: A versão de 2022 exige critérios claros para os processos de segurança, alinhando-se mais de perto com os padrões de gestão ISO.
  • Revisão de Gestão Aprimorada: As contribuições das partes interessadas devem ser relevantes para o SGSI e suas necessidades, garantindo uma abordagem mais direcionada.
  • Melhoria Refinada: Embora a ordem das subcláusulas tenha sido alterada, o conteúdo permanece em grande parte inalterado, visando uma melhoria contínua.

 

Ajustes no anexo A: mudanças na essência

O Anexo A, que concentra os controles de segurança, também passou por mudanças significativas:

  • Consolidação de Controles: O número total de controles foi reduzido de 114 para 93. No entanto, essa redução não implica em uma diminuição da eficácia. Muitos controles foram fundidos ou renomeados para melhor se adaptarem ao cenário atual de segurança.
  • 11 Novos Controles: Reconhecendo a rápida evolução do cenário de tecnologia da informação e suas ameaças, foram adicionados 11 novos controles à ISO 27001:2022. Eles abordam tendências emergentes e desafios únicos enfrentados pelas organizações atualmente.

 

Transição e implementação: preparando-se para o futuro

Para organizações que já possuem certificação sob a ISO 27001:2013, a transição para a ISO 27001:2022 deve ser concluída até 31 de outubro de 2025. Isso garante um período adequado para que as organizações se adaptem às novas exigências e ajustem seus processos de acordo. Os órgãos de certificação começarão a emitir certificações sob o novo padrão a partir de 31 de outubro de 2023, marcando o início de uma nova era de conformidade.

 

Conclusão: Abraçando a evolução

Embora a ISO 27001:2022 possa não ter passado por uma transformação radical em sua estrutura, suas mudanças sutis têm um impacto profundo e significativo. Essas alterações foram cuidadosamente projetadas para alinhar o padrão aos desafios de segurança modernos e às práticas de gestão eficazes. A transição da versão de 2013 para a versão de 2022 pode parecer um passo desafiador, mas é, na verdade, um passo calculado rumo a uma segurança da informação mais sólida e resiliente. À medida que o cenário digital continua a evoluir e novas ameaças surgem, a ISO 27001:2022 emerge como uma bússola confiável para orientar as organizações na proteção de seus ativos de informação. Portanto, quer você já esteja certificado ou esteja considerando obter a certificação, abraçar essa evolução é essencial para garantir que seus dados permaneçam protegidos em um mundo em constante mudança.

A NowCY possui uma equipe de especialistas prontos para ajudar sua empresa a obter a certificação ISO 27001 ou ainda se atualizar para a nova versão da norma! Entre em contato conosco para saber mais!

Quero falar com a NowCy.

 

Autoria do artigo: Milene Yamamura, especialista NowCy.

 

 

Perfil do Autor

Camila Cristina Toledo
Analista de Marketing NowCy.

Compartilhe