A versao 2022 da ISO 27001 ja tem mais de tres anos de publicada e o prazo de transicao esta chegando ao limite. No entanto, um numero significativo de organizacoes na America Latina ainda opera com a versao 2013 ou, pior, iniciou a transicao mas a deixou pela metade. Se sua organizacao esta em algum desses dois grupos, este guia rapido cobre os pontos criticos que voce precisa atender agora.
O que mudou entre 2013 e 2022
A estrutura de alto nivel (clausulas 4 a 10) nao sofreu mudancas radicais. Os ajustes principais se concentram em tres areas:
- Clausula 6.3 — Planejamento de mudancas: Foi adicionado um requisito explicito para planejar mudancas no SGSI de maneira controlada.
- Clausula 8.1 — Planejamento e controle operacional: Os criterios para gerenciar processos terceirizados foram reforccados.
- Anexo A — Controles: Passou de 114 controles em 14 dominios (2013) para 93 controles em 4 categorias tematicas (2022): organizacionais, de pessoas, fisicos e tecnologicos.
Os 11 controles novos
Estes controles nao existiam na versao 2013: A.5.7 Inteligencia de ameacas, A.5.23 Seguranca em nuvem, A.5.30 Preparacao de TIC para continuidade, A.7.4 Monitoramento fisico, A.8.9 Gestao de configuracao, A.8.10 Eliminacao de informacao, A.8.11 Mascaramento de dados, A.8.12 Prevencao de vazamento de dados, A.8.16 Monitoramento de atividades, A.8.23 Filtragem web e A.8.28 Codificacao segura.
Erros frequentes na transicao
Segundo dados de nossa pesquisa sobre a transicao para ISO 27001:2022, os erros mais comuns sao: mapear controles 1:1 sem analise de lacunas, ignorar a Declaracao de Aplicabilidade, nao capacitar auditores internos e subestimar os novos controles tecnologicos.
Checklist operacional
Se sua organizacao precisa completar a transicao, comece por um analise de lacunas contra ISO 27001:2022 que fornece respostas concretas em 72 horas operacionais.