Guia de transição para a ISO 27001:2022
O NQA está a meio do período de transição da norma ISO 27001:2022. A partir de 1 de maio de 2024, todas as (novas) certificações iniciais estarão em conformidade com a edição ISO 27001:2022. Além disso, todas as auditorias de recertificação terão de estar em conformidade com a edição de 2022.
Se lhe for marcada uma auditoria de recertificação para depois de 1 de maio de 2024, esta será para a edição de 2022 e o documento de análise de lacunas terá de ser preenchido.
Resumo das alterações
Foram introduzidas alterações no corpo da norma ISO 27001 para a alinhar melhor com a estrutura harmonizada das normas de sistemas de gestão (ou seja, o anexo SL).
Destacam-se as alterações aos seguintes requisitos:
-
4.2 Compreender as necessidades e expectativas das partes interessadas
-
4.4 Sistema de gestão da segurança da informação
-
5.3 Funções, responsabilidades e autoridades da organização
-
6.2.d Objectivos de segurança da informação e planeamento para os atingir
-
6.3 Planear a mudança
-
9.3.2.c Contributos para a análise pela direção
-
Os controlos do Anexo A foram reagrupados a partir de 14 objectivos de controlo em 4 grandes temas, incluindo Controlos organizacionais, pessoais, físicos e tecnológicos.
-
O número total de controlos no Anexo A é de 93, em comparação com 114 na edição anterior.
-
No entanto, alguns dos controlos anteriores foram consolidados em novos controlos mais abrangentes e foram acrescentados 11 novos controlos, entre os quais
-
Informações sobre ameaças
-
Segurança da informação para a utilização de serviços em nuvem
-
Controlo da segurança física
-
Gestão da configuração
-
Supressão de informações
-
Mascaramento de dados
-
Evitar a fuga de dados
-
Filtragem da Web
-
Codificação segura
-
-
Além disso, a norma ISO 27002:2022 identifica 5 atributos de controlo para classificar os controlos de diferentes formas; os atributos incluem
-
Tipo de controlo
-
Propriedades da segurança da informação
-
Conceitos de cibersegurança
-
Capacidades operacionais
-
Domínios de segurança
-
- A ISO 27002:2022 também define um objetivo para cada controlo individual, a fim de explicar melhor a intenção de cada controlo.
Próximas etapas
Para garantir que os clientes sejam bem sucedidos na sua transição, a NQA aconselha os seguintes passos:
Preparar a transição para a norma ISO 27001
-
As organizações devem efetuar a transição do seu sistema de gestão em conformidade com os requisitos da norma ISO 27001:2022 antes da realização da auditoria de transição. Isto deve incluir quaisquer alterações à documentação, juntamente com provas de quaisquer requisitos de processo novos ou alterados e uma análise GAP concluída a tempo da auditoria.
-
É de notar que as organizações devem efetuar uma auditoria interna e uma análise da gestão dos requisitos novos ou alterados antes da realização da auditoria de transição do NQA.
-
O NQA pode efetuar uma avaliação das lacunas de transição das organizações antes da sua auditoria oficial de transição. Esta avaliação pode ser efectuada em conjunto com uma vigilância anterior da ISO 27001:2013, ou em qualquer outra altura antes da auditoria de transição.
Ferramentas e informações úteis
Elaborámos um Guia de Transição e uma Ferramenta de Análise de Lacunas para o ajudar na sua transição. Descarregue estes documentos para saber mais e iniciar a sua transição.
A outra data importante para a sua agenda é:
-
31 de outubro de 2025 - Fim do período transitório
Os certificados para a norma ISO/IEC 27001:2013 deixarão de ser válidos após esta data.
Apoio adicional
A equipa do NQA está disponível para o ajudar durante todo o processo de transição. Se tiver alguma dúvida ou precisar de ajuda, nós podemos ajudá-lo:
-
Pré-auditoria / Análise de lacunas - O NQA pode fornecer uma pré-auditoria ou análise de lacunas do seu SGSI revisto para determinar o nível de conformidade do seu SGSI com os requisitos da norma ISO 27001:2022.
-
Webinars e blogues - O NQA organizou uma série de webinars e blogues para apoiar a sua transição. Estes continuarão a realizar-se nos próximos meses.
-
Formação - O NQA oferece uma gama de cursos de transição para garantir que os participantes têm toda a informação relevante de que necessitam para assegurar uma transição suave para a sua organização.
Se tiver alguma dúvida ou precisar de falar com alguém sobre a sua transição, contacte-nos.