O que mudou na ISO 27002 e quais as consequências para a ISO 27001?

Autor:
Paulo Alexandre
IT Director, SGS Portugal
 

A ISO 27002 foi revista em 2022. Mas quais são as consequências dessa atualização para a ISO 27001, a principal norma de Sistemas de Gestão da Segurança da informação?

Antes de mais, o que é a ISO 27002?

A ISO 27002 é a norma que fornece diretrizes para a implementação eficaz de medidas de controlo no âmbito do Anexo A da ISO 27001.

O que mudou na revisão de 2022 da ISO 27002?

De forma resumida, a ISO 27002:2002 inclui mudanças no Anexo A acima referido, mas também na forma como agrupa diferentes domínios de atuação, além de introduzir novos controlos.

É importante esclarecer que a ISO 27002 não é passível de certificação. A certificação é feita na ISO 27001, com a ISO 27002 a servir-lhe de apoio. A ISO 27002 torna-se relevante no âmbito da implementação de um Sistema de Gestão da Segurança da Informação baseado na ISO 27001, uma vez definidos os controlos a implementar na sua organização.

A ISO 27002 vem fornecer informação adicional sobre cada controlo, sugerindo as soluções mais apropriadas tendo em conta a vulnerabilidade, riscos e domínio relevantes na proteção da informação da sua organização. 

Quais as mudanças no Anexo A da ISO 27001?

Na sua versão anterior (2013), a ISO 27001 contava com 114 medidas de controlo agrupadas em 14 domínios. Na sua versão atual (2022), o número de medidas de controlo foi reduzido para 93, e os domínios de atuação foram também simplificados, reduzindo-se de 14 para 4:

• “Pessoas” (8 controlos): da formação à confidencialidade, responsabilidade, entre outros;
• “Organização” (37 controlos): da gestão à política de segurança, autenticações, etc;
• “Tecnologia” (34 controlos): do acesso à informação à proteção contra vírus e malware, sistemas de segurança, etc;
• “Físicos” (14 controlos): dos equipamentos físicos à gestão de acessos, proteção e monitorização física, defesa contra ameaças ambientais, entre outros.

Entre os novos mecanismos de controlo incluem-se i) prevenção de fugas de dados, ii) atividades de monitorização, iii) segurança da informação em serviços cloud, iv) monitorização de segurança física, v) gestão de configurações, e vi) preparação dos sistemas de IT para a continuidade do negócio, no caso de um ataque ou noutros contextos.