A versao 2022 da ISO 27001 entrou em vigor em outubro de 2022. O prazo de transicao encerrou em outubro de 2025.
O que mudou de fato
Os controles passaram de 114 para 93, organizados em 4 temas ao inves de 14 dominios:
- Controles Organizacionais (37 controles) - politicas, papeis, terceiros
- Controles de Pessoas (8 controles) - triagem, treinamento, trabalho remoto
- Controles Fisicos (14 controles) - seguranca fisica, equipamentos
- Controles Tecnologicos (34 controles) - controles tecnicos
Os 11 controles novos (que nao existiam na 2013)
- 5.7 - Threat intelligence
- 5.23 - Seguranca da informacao no uso de servicos em nuvem
- 5.30 - Prontidao de TIC para continuidade de negocios
- 8.9 - Gestao de configuracao
- 8.10 - Exclusao de informacoes (direito ao esquecimento + ciclo de vida)
- 8.11 - Mascaramento de dados
- 8.12 - Prevencao de vazamento de dados (DLP)
- 8.16 - Monitoramento de atividades
- 8.23 - Filtragem de web
- 8.28 - Codificacao segura
O que fazer se voce tem certificacao 2013
- Gap assessment dos 11 controles novos
- Atualizar a Declaracao de Aplicabilidade (SoA)
- Implementar os gaps - foque em nuvem (5.23) e DLP (8.12)
- Auditoria de transicao combinada com a recertificacao trienal
Os controles mais negligenciados
8.12 - DLP: o controle mais novo e menos implementado. Politica + monitoramento basico de email ja atende parcialmente.
5.23 - Servicos em nuvem: exige inventario de todos os SaaS em uso com avaliacao de risco.
Use o checklist completo em checklist-iso27001.com.br.
Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br
Top comments (0)