As principais alterações na ISO 27002

A nova revisão 2022 da ISO 27002 foi publicada em 15 de fevereiro de 2022 e as principais alterações não foram só nos controlos mas também na forma de os organizar e utilizar.

A nova ISO 27002 tem 93 Controlos agrupados em apenas quatro secções, em vez das 14 anteriores, e dois anexos:

Das 14 secções anteriores, a ISO 27002:2022 agora tem apenas quatro secções, juntamente com dois anexos:

  • Controlos organizacionais (cláusula 5)
  • Controlos de pessoas (cláusula 6)
  • Controlos físicos (cláusula 7)
  • Controlos tecnológicos (cláusula 8)
  • Anexo A – Usando atributos
  • Anexo B – Correspondência com a ISO/IEC 27002:2013

Fonte: www.iso.org

Os controlos passam a contar com dois novos elementos na sua estrutura, para facilitar a localização das informações de forma a entender melhor a classificação e justificação de determinado controlo.

  • Tabela de atributos: atributos associados ao controlo
  • Objetivo: justificação para aplicar o controlo

Novos Controlos

São 11 controlos novos nesta nova versão da ISO 27002:

  • 5.7 Inteligência de ameaças
  • 5.23 Segurança da informação para utilização de serviços em nuvem
  • 5.30 Agilidade dos TIC para continuidade de negócios
  • 7.4 Monitorização da segurança física
  • 8.9 Gestão da configuração
  • 8.10 Exclusão de informações
  • 8.11 Data Masking
  • 8.12 Prevenção de fuga de dados
  • 8.16 Atividades de monitorização
  • 8.23 Filtragem da Web
  • 8.28 Codificação segura

Controlos com alteração de nome

São 23 os controlos que viram os seus nomes ser alterados. Estas mudanças ajudam a manter o foco nos aspetos de segurança da informação dos processos e atividades de negócios, reduzindo o esforço de implantação e manutenção do Sistema de Gestão da Segurança da Informação.

Exemplo:

  • Controlo 12.7.1 Controlos de auditoria nos sistemas de informação foram alterados para 8.34 Proteção dos sistemas de informação durante testes de auditoria.

Controlos Excluídos

Apesar de o número de controlos ter sido reduzido, nenhum controlo foi excluído nesta nova versão.

Controlos  fundidos

57 controlos foram fundidos em 24 Controlos. Por exemplo:

  • Os Controlos 5.1.1 Políticas para a segurança da informação e 5.1.2 Revisão das políticas para a segurança da informação foram incorporadas na 5.1 Políticas para a segurança da informação.
  • Os controlos 11.1.2 Controlos de entrada física e 11.1.6 Áreas de carga e descarga foram fundidos na 7.2 Entrada física.

Divisão de Controlos

Há apenas um controlo que foi dividido, o controlo 18.2.3 Revisão da conformidade técnica foi dividido em 5.36 Conformidade com políticas, regras e padrões de segurança da informação e 8.8 Gestão de vulnerabilidades técnicas


Os nossos consultores podem ajudar!

Os nossos consultores especializados têm experiência e podem ajudá-lo a implementar os controles de segurança da informação, cibersegurança e privacidade da norma como controles autónomos ou como parte de um sistema de gestão ISO 27001 / ISO 27701.

WeSecure, através de recursos especializados e com experiência, assegura diversos serviços nas áreas de Cibersegurança, Cibercrime, Privacidade dos dados e Análise forense.

Para mais informações contacte-nos.

MORADA

Rua Soares dos Reis, nº765 – 3
4400 – 317 Vila Nova de Gaia
Portugal