Análise detalhada das diferenças entre ISO 27001:2013 e ISO 27001:2022. Reestruturação do Anexo A, novos controles, prazos de transição e estratégia de migração.
A transição da ISO 27001:2013 para a versão 2022 representa a atualização mais significativa em uma década. Embora os requisitos do corpo principal tenham sofrido mudanças menores, o Anexo A foi completamente reestruturado: de 114 controles em 14 domínios para 93 controles em 4 categorias temáticas.
| Aspecto | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| Estrutura do Anexo A | 114 controles organizados em 14 domínios (A.5 a A.18): políticas de segurança, organização, recursos humanos, gestão de ativos, controle de acesso, criptografia, segurança física, operações, comunicações, desenvolvimento, fornecedores, incidentes, continuidade e cumprimento. | 93 controles reorganizados em 4 categorias temáticas: organizacionais (37), de pessoas (8), físicos (14) e tecnológicos (34). A reestruturação eliminou redundâncias, consolidou controles relacionados e adicionou 11 novos controles. |
| Novos controles | Não se aplica. A versão 2013 foi o padrão vigente durante quase uma década sem atualizações de controles. | 11 novos controles: inteligência de ameaças (A.5.7), segurança em nuvem (A.5.23), preparação TIC para continuidade (A.5.30), monitoramento de segurança física (A.7.4), gestão de configuração (A.8.9), eliminação de informação (A.8.10), mascaramento de dados (A.8.11), prevenção de vazamento de dados (A.8.12), monitoramento de atividades (A.8.16), filtragem web (A.8.23) e codificação segura (A.8.28). |
| Atributos de controles | Os controles não incluíam metadados nem categorização além de seu domínio. A avaliação de cada controle se baseava unicamente em sua descrição e na guia de implementação da ISO 27002:2013. | Cada controle inclui 5 atributos de classificação: tipo (preventivo, detectivo, corretivo), propriedade de segurança (CIA), conceito de cibersegurança (NIST), capacidade operacional e domínio de segurança. Isso facilita a filtragem e priorização. |
| Mudanças nas cláusulas principais | Cláusulas 4 a 10 estabeleceram os requisitos originais do sistema de gestão: contexto, liderança, planejamento, suporte, operação, avaliação de desempenho e melhoria. | Mudanças menores, mas significativas: a cláusula 4.2 requer analisar explicitamente quais requisitos das partes interessadas serão abordados via o SGSI. A cláusula 6.3 introduz a gestão de mudanças planejadas. A cláusula 8.1 reforça o planejamento operacional de controles. |
| Prazo de transição | As certificações sob ISO 27001:2013 deixaram de ser válidas em 31 de outubro de 2025. Organizações que não completaram a transição perderam sua certificação. | Todas as novas certificações e recertificações são realizadas exclusivamente sob ISO 27001:2022. Os organismos de certificação auditam a versão 2022 desde abril de 2024. |
A versão 2022 não é uma mudança radical, mas uma evolução necessária. Os 11 novos controles refletem ameaças que não existiam em 2013. Para organizações que implementam do zero, a versão 2022 oferece uma estrutura mais lógica e alinhada com o panorama de ameaças atual.
Desde novembro de 2025, as certificações 2013 não são válidas. É necessário iniciar um processo de certificação sob ISO 27001:2022. No entanto, a experiência e documentação do SGSI anterior são aproveitáveis.
Não. Como na versão 2013, a organização seleciona os controles aplicáveis mediante a Declaração de Aplicabilidade (SoA). Cada exclusão deve ser justificada com base na avaliação de riscos.
Para organizações com um SGSI maduro, a transição técnica pode ser completada em 3-6 meses. O processo inclui: análise de lacunas, atualização da SoA, ajuste da documentação e auditoria de transição.
Diagnostico em 72 horas operacionais. Metodologia ISO. Sem vinculacao com certificadores.
Solicitar diagnostico