Guia de transição da ISO 27001:2022
A ISO 27001:2022 "Segurança da informação, cibersegurança e proteção da privacidade - Sistemas de gestão da segurança da informação - Requisitos" foi lançada em outubro de 2022 e substitui a ISO 27001:2013 através de um período de transição de três anos. Todas as organizações que pretendam manter a certificação ISO 27001 terão de efetuar a transição para a revisão 2022 da norma dentro do período de transição definido, que termina em outubro de 2025.
O objetivo do NQA é manter uma abordagem de transição clara que seja fácil para os nossos clientes compreenderem e aplicarem. O nosso objetivo é fornecer às organizações a orientação e as ferramentas para que a transição da ISO 27001:2013 para a ISO 27001:2022 seja tão suave quanto possível.
Ambas as versões da norma ISO 27001 permanecem válidas e as auditorias a qualquer uma das versões da norma podem ser efectuadas de acordo com as regras abaixo indicadas, mas devem ser feitos planos para que a transição de uma organização ocorra totalmente antes do fim do período de transição.
Período de transição pormenorizado
- 25 de outubro de 2022 - ISO/IEC 27001:2022 3.ª edição - Data de publicação
-
31 de outubro de 2022 - Início do período de transição
-
1 de maio de 2024 - Todas as certificações iniciais (novas) devem ser efectuadas de acordo com a edição ISO 27001:2022 após esta data e recomenda-se que todas as auditorias de recertificação utilizem a edição ISO 27001:2022 após esta data.
A NQA continuará a aceitar pedidos de certificação e a emitir novos certificados com base na norma ISO 27001:2013 até esta data. -
31 de julho de 2025 - Todas as auditorias de transição devem ser efectuadas até esta data.
-
31 de outubro de 2025 - Fim do período de transição
Os certificados para a norma ISO/IEC 27001:2013 deixarão de ser válidos após esta data.
Análise de alterações da ISO 27001:2022
Foram efectuadas alterações no corpo da norma ISO 27001 para melhor se alinhar com a estrutura harmonizada das normas de sistemas de gestão (ou seja, o Anexo SL).
De notar que foram introduzidas alterações nos seguintes requisitos:
-
4.2 Compreender as necessidades e expectativas das partes interessadas
-
4.4 Sistema de gestão da segurança da informação
-
6.2 Objectivos de segurança da informação e planeamento para os atingir
-
6.3 Planeamento das alterações
-
8.1 Planeamento e controlo operacional
-
9.1 Acompanhamento, medição, análise e avaliação
-
9.3.2 Entradas de análise da gestão
-
10 Melhoria
-
Os controlos do Anexo A foram reagrupados de 14 objectivos de controlo para 4 temas gerais que incluem Controlos organizacionais, de pessoas, físicos e tecnológicos
-
O número total de controlos no âmbito do anexo A é de 93 controlos, em comparação com os 114 controlos da edição anterior
-
No entanto, vários controlos anteriores foram consolidados em novos controlos mais amplos; e foram acrescentados 11 novos controlos, incluindo:
-
Informações sobre ameaças
-
Segurança da informação para utilização de serviços em nuvem
-
Monitorização da segurança física
-
Gestão da configuração
-
Eliminação de informações
-
Mascaramento de dados
-
Prevenção de fugas de dados
-
Filtragem da Web
-
Codificação segura
-
-
Além disso, a norma ISO 27002:2022 identifica 5 atributos de controlo para categorizar os controlos; os atributos incluem
-
Tipo de controlo
-
Propriedades da segurança da informação
-
Conceitos de cibersegurança
-
Capacidades operacionais
-
Domínios de segurança
-
- A ISO 27002:2022 também define um objetivo para cada controlo individual, de modo a explicar melhor a intenção de cada controlo
Para garantir que os clientes sejam bem sucedidos na sua transição, a NQA aconselha os seguintes passos:
Preparar a transição para a ISO 27001
-
As organizações devem efetuar a transição do seu sistema de gestão de acordo com os requisitos da norma ISO 27001:2022 antes da realização da auditoria de transição. Isso deve incluir quaisquer alterações na documentação, juntamente com evidências de quaisquer requisitos de processo novos ou alterados.
-
De notar que as organizações devem efetuar uma auditoria interna e uma análise da gestão dos requisitos novos/alterados antes da realização da auditoria de transição NQA.
- As organizações podem ter uma avaliação de lacunas de transição realizada pelo NQA antes da sua auditoria de transição oficial. Esta avaliação pode ser realizada em conjunto com uma vigilância anterior da ISO 27001:2013 ou em qualquer outro momento autónomo antes da auditoria de transição.
Auditoria de transição para a ISO 27001
-
Todas as organizações devem efetuar uma auditoria de transição para confirmar a implementação da norma revista. A auditoria de transição pode ser realizada em conjunto com uma auditoria existente ou pode ser uma auditoria autónoma.
-
Se a auditoria de transição for realizada em conjunto com uma auditoria de controlo existente (ou seja, controlo de transição) ou de recertificação (ou seja, reavaliação de transição), pode ser acrescentado tempo adicional à duração da auditoria para abranger os novos requisitos/conceitos introduzidos pela norma ISO 27001:2022.
-
Se for efectuada uma auditoria autónoma para a auditoria de transição, a duração será calculada com base numa organização individual.
Nota: A duração específica da auditoria de transição dependerá da situação atual da organização, incluindo a sua dimensão e a complexidade do SGSI. O representante do Cliente NQA informá-lo-á sobre a duração específica da sua auditoria de transição
Certificados ISO 27001:2022 revistos
-
Como em qualquer auditoria, as não-conformidades identificadas durante uma auditoria de transição exigirão a apresentação e aprovação de uma ação correctiva. Após a aprovação da ação correctiva, será emitida uma certificação ISO 27001:2022 actualizada.
-
A emissão e a validade do certificado ISO 27001:2022 atualizado serão as seguintes
-
Vigilância da transição - A atual "Data de validade até" da organização será mantida.
-
Reavaliação da transição - Será emitida uma nova "data de validade até" para o período renovado de 3 anos.
-
Transição autónoma - A atual "Data de validade até" da organização será mantida.
-
Lista de verificação da transição para a norma NQA ISO 27001:2022
O NQA está a desenvolver uma lista de verificação de transição para a ISO 27001:2022, que fornece uma estrutura simples para avaliar o seu sistema de gestão em relação aos requisitos da ISO 27001:2022. Uma vez publicada, encorajamos as organizações a utilizar esta lista de verificação como uma ferramenta para facilitar e registar as alterações no seu sistema de gestão e a conservar este documento para análise na sua auditoria de transição.
Volte nas próximas semanas ou inscreva-se o nosso boletim informativo regular, para ser notificado da sua publicação.
Apoio adicional
A equipa do NQA está aqui para o apoiar durante todo o processo de transição. Se tiver alguma dúvida ou precisar de ajuda, podemos apoiá-lo:
-
Análise técnica e orientação. O NQA fornecerá vários conteúdos adicionais nos próximos meses; consulte o sítio Web do NQA e inscreva-se na nossa newsletter para se manter informado.
- Pré-Avaliação / Análise de lacunas. O NQA pode fornecer uma pré-avaliação ou análise de lacunas do seu SGSI revisto para determinar o nível de conformidade do seu SGSI com os requisitos da norma ISO 27001:2022.
-
Webinars e seminários. A NQA fornecerá análises interpretativas gerais e orientações de transição; consulte o sítio Web da NQA e inscreva-se no nosso boletim informativo para se manter informado.
-
Formação. O NQA oferece uma série de cursos de transição para garantir que os participantes têm toda a informação relevante de que necessitam para assegurar uma transição suave para a sua organização.
Se tiver alguma dúvida ou precisar de falar com alguém sobre a sua transição, contacte-nos.