Contacte-nos!  +351.229 385 060 (chamada p/ rede fixa nacional)   geral@dqa.pt

2022-12-02

A nova norma ISO/IEC 27001:2022 publicada em 25 de outubro de 2022

Como a segurança da informação acompanha a permanente mudança que caracteriza a atualidade onde, por exemplo, a inteligência artificial, a aprendizagem automática, a big data ou a IoT (internet of things), já fazem parte integrante do nosso dia-a-dia.

Nesta nova versão da norma, as principais novidades prendem-se com:

  • O título da norma, que passa a incluir os termos cibersegurança e privacidade;
  • Alterações significativas no Anexo A, que refletem a revisão da ISO/IEC 27002, publicada no início do ano;
  • Alterações menores nos requisitos.

O título da norma

A norma ISO/IEC 27001:2022 passa ter como título: Information security, cybersecurity and privacy protection — Information security management systems — Requirements (a Segurança da Informação, Cibersegurança e Proteção da Privacidade - Sistemas de Gestão da Segurança da Informação - Requisitos)

A alteração no nome da norma reflete a maior ênfase nos riscos de cibersegurança e na proteção da privacidade, que resultam do contexto atual da sociedade com um crescente número de ciberataques e maior regulação em relação à proteção dos dados pessoais (privacidade).


Alterações no Anexo A

Estas preocupações refletem-se essencialmente no Anexo A, que descreve os controlos de segurança a adotar pelas empresas para tratamento dos riscos de segurança de informação. Este anexo é reformulado passando a estar organizado em 4 grupos, passando agora a conter 93 controlos. Esta reorganização não significa que existam menos exigências, sendo que alguns dos controlos anteriores foram agrupados e existem 11 controlos novos, que visam em especial a cibersegurança e a privacidade.

Em resumo o Anexo A passa a estar organizado da seguinte forma:

  • A.5 Controlos Organizacionais (37 controlos)
  • A.6 Controlos Pessoais (8 controlos)
  • A.7 Controlos Físicos (14 controlos)
  • A.8 Controlos Tecnológicos (34 controlos)


Sendo os 11 novos controlos:

A.5.7 Threat Intelligence:

obter informações sobre ameaças, analisá-las e tomar ações de mitigação apropriadas

A.5.23 Segurança da Informação para Uso de Serviços na Cloud:

estabelecer requisitos de segurança em serviços cloud

A.5.30 Prontidão de TIC para a Continuidade de Negócio:

assegurar que as TICs estão preparadas para disrupções e que a informação e ativos necessários estão prontos quando necessários

A.7.4 Monitorização da Segurança Física:

monitorização física de áreas sensíveis para controlo de acessos.

A.8.9 Gestão de Configurações:

gestão do ciclo completo da tecnologia (definição da configuração, implementação, monitorização e revisão)

A.8.10 Eliminação da Informação:

assegurar a eliminação da informação quando esta deixa de ser necessária, como forma de evitar fugas de informação, em particular informação sensível e privada. Este controlo vai de encontro aos requisitos do RGPD de definir tempos de conservação.

A.8.11 Mascaramento de Dados:

utilizar técnicas de "data masking" em conjunto com controlo e acessos para limitar a exposição de informação sensível

A.8.12 Prevenção de Fuga de Dados:

aplicar medidas para evitar a divulgação não autorizada de informação

A.8.16 Atividades de Monitorização:

monitorização dos sistemas para detetar comportamentos anómalos e possíveis incidentes de segurança da informação;

A.8.23 Filtragem Web:

proteção dos sistemas de IT através da gestão dos sites a que os utilizadores têm acesso

A.8.28 Código Seguro:

estabelecer princípios de código seguro a aplicar desde o desenvolvimento do software


Ainda ao nível dos controlos importa referir o que deixa de existir: os objetivos, mas os controlos passam a ter cinco "atributos", que permitem visões e perspetivas diferentes sobre si. Estes atributos podem ser utilizados para filtrar, ordenar, ou apresentar os controlos em diferentes maneiras. São eles:

  • Tipos: preventivo, detetivo e corretivo;
  • Propriedade: confidencialidade, integridade e disponibilidade;
  • Conceito: identificar, proteger, detetar, responder e recuperar;
  • Capacidades operacionais: governança, gestão de ativos, segurança da informação, segurança de recursos humanos, etc;
  • Domínios: governança e ecossistema, proteção, defesa e resiliência.


Alterações nos requisitos

As alterações nas clausulas são menores e permitem sobretudo a harmonização da estrutura do documento com outras normas de sistema de gestão, não se antecipando dificuldades para as empresas já certificadas, em particular que têm também outros sistemas de gestão implementados.

A este nível uma das alterações com maior significado será o novo requisito 6.3 Planeamento de alterações (mas que também já existe noutras normas de sistemas de gestão, como por exemplo, a ISO 9001:2015). Este era um tema já tratado por via de outros requisitos e controlos, mas será importante realçar no sistema que se aplica a qualquer aspeto relevante no sistema de gestão, sendo a transição da própria norma um bom exemplo de uma mudança que deve ser planeada.


Estou certificado ISO/IEC27001:2013 o que fazer?

Como habitual nestas alterações de normas, existe um período de transição de 3 anos para que as empresas que têm sistemas de gestão da segurança da informação façam as adaptações necessárias ao seu sistema, tendo até outubro de 2025 para o fazer. As empresas devem preparar-se e fazer um plano que vise introduzir as alterações necessárias no seu sistema. Na maioria das situações a transição poderá ocorrer no ciclo normal de renovação de certificação.

Em Portugal ainda nenhuma entidade certificadora está acreditada por esta nova norma, aguarda-se essa informação por parte das entidades certificadoras.