ISO/IEC 27001:2013 – O que mudou?

  • 0
ID-100164490

ISO/IEC 27001:2013 – O que mudou?

Tags : 

ID-100164490

Em outubro de 2013 foi lançada a nova versão ISO/IEC 27001:2013 “Information technology— Security techniques — Information security management systems — Requirements”.

As alterações da ISO/IEC 27001, a partir da versão de 2005, não são muito significativas, contudo carecem de alguma análise e compreensão.

Ao nível da estrutura, tal como esperado, a nova ISO 27001 estará alinhada com a nova estrutura de todas as novas normas de gestão, que foi iniciada com a ISO 22301, a norma de gestão de continuidade de negócio.

A nova 27001 enfatiza a monitorização e avaliação do nível de desempenho do sistema de gestão de segurança de informação (SGSI), existindo uma nova secção sobre as atividades asseguradas por terceiros (“outsourcing”), o que vem dar resposta ao facto de que muitas organizações subcontratem atividades do seu sistema de gestão. O ciclo de melhoria tal como preconizado na 27001:2005, deixa de ser obrigatório, passando a ser dada mais atenção ao contexto organizacional da segurança da informação, e tendo a avaliação de risco sido alterada.

Em geral, a 27001:2013 está desenvolvida para um melhor alinhamento com outras normas de gestão, como a ISO 9000 e ISO 20000.

Ao nível da gestão de risco, a cláusula 6.1.3 passa a descrever como uma organização pode responder aos riscos da gestão da segurança da informação, através de um conveniente plano de tratamento de riscos, sendo esta resposta evidenciada com a escolha dos controlos adequados.

O Anexo A, onde estão listados todos os controlos, mantém-se, tendo sido reorganizado. Os restantes anexos foram retirados, uma vez que a sua utilidade era reduzida. Os controlos e objetivos de controlo, estão listados no anexo A, embora as organizações não estão limitadas a estes controlos, podendo escolher outros. Passarão a existir 114 controlos em 14 grupos, face à norma de 2005 que tinha 133 controlos em 11 grupos.

Verificaram-se ainda alterações ao nível da documentação; dos objetivos, monitorização e medição; da comunicação.

Outra grande mudança é que deixam de existir ações preventivas, pelo menos formalmente. Efetivamente passam a fazer parte da avaliação e tratamento de risco, onde se enquadram mais naturalmente.

Com esta nova versão da norma, poderão beneficiar de uma melhor adequação à realidade do contexto organizacional e das atualizações tecnológicas.

Fonte: apcer.pt

Transição

A transição para a norma ISO / IEC 27001:2013 pode ser efetuada até 1 de outubro de 2015. Se ainda não iniciou o plano de transição, entre em contacto connosco!


Categorias

Pretende fazer a transição para a ISO 9001:2015?