2013-09-30

A nova ISO/IEC 27001:2013

A ISO/IEC 27001 tem nova publicação passando agora referenciar-se como ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.

ignificativas, sendo de salientar o seu alinhamento com a nova estrutura de todas as normas de gestão, o que permitirá uma mais fácil integração de sistemas de gestão para as empresas que pretendem/ tenham implementado mais do que referencial.

Salienta-se ainda a existência de uma nova seção relativa às atividades realziadas por terceiros (“outsourcing”), dando uma melhor resposta ao fato de muitas empresas externalizarem atividades do seu sistema de gestão, que têm implicações ao nível da segurança da informação

A norma mantém o seu Anexo A, onde estão listados todos os controlos, mas reorganizado e com a introdução melhorias ao nível dos controlos, no sentido de os manter atualizados e capazes de responder aos riscos atuais. Na nova edição os controlos são 114, agrupados em 14 grupos. (A versão anterior contemplava 133 controlos em 11 grupos).

Também a ISO/IEC 27002 - Information technology -- Security techniques -- Code of practice for information security controls, foi revista e publciada a nova versão na mesma data.

As empresas certificadas pela ISO 27001:2005 têm um ano (a contar da data de publicação do novo referencial) para se adaptarem ao novo referencial e solicitaram uma nova certificação. Na maioria dos casos as empresas poderão integrar esta auditoria no seu plano normal de auditorias de acompanhamento.

A nova ISO/IEC 27001:2013