A ISO 27001 é uma norma internacionalmente reconhecida para a gestão de segurança da informação.
Não é apenas uma certificação: implementar um Sistema de Gestão da Segurança da Informação (SGSI) de acordo com esta norma significa proteger a sua organização de ciberataques, uma ameaça crescente nos últimos anos.
Este sistema abrange pessoas, processos e tecnologia, criando uma abordagem holística para a segurança da informação.
Em 2022, a ISO 27001 foi atualizada, trazendo mudanças significativas em relação à versão de 2013. Este artigo apresenta as alterações, as suas vantagens e o prazo para transição para a nova versão.
Principais alterações da ISO 27001:2022, em relação à ISO 27001:2013
A ISO 27001:2022 introduz uma série de alterações que têm como objetivo melhorar a segurança da informação nas organizações. As principais alterações incluem:
-
Estrutura do Anexo. A
O Anexo A foi reorganizado, passando de 14 para 4 temas principais: controlos organizacionais, controlos de pessoas, controlos físicos e controlos tecnológicos. Esta reorganização vem simplificar a implementação e o entendimento dos controlos;
-
Novos controlos
Foram introduzidos novos controlos, para refletir as ameaças e práticas modernas de segurança, como a gestão de ameaças e a segurança em cloud;
-
Redução e combinação de controlos
Alguns controlos foram removidos ou combinados para eliminar redundâncias e simplificar a norma;
-
Enfoque em riscos
A nova versão enfatiza ainda mais a abordagem baseada em riscos, incentivando as organizações a identificarem as suas ameaças e vulnerabilidades específicas;
-
Termos e definições
A ISO 27001:2022 atualizou e introduziu novos termos e definições para alinhar melhor a norma com a linguagem atual de segurança da informação.

“A atualização da ISO 27001:2022 aborda as melhores práticas para a gestão de riscos de segurança da informação.“
Vantagens das novas alterações
As alterações na ISO 27001:2022 conduzem a várias vantagens, incluindo:
-
Maior clareza e simplicidade
A restruturação dos controlos e a eliminação de redundâncias tornam a norma mais clara e fácil de entender e implementar;
-
Relevância atualizada
A inclusão de novos controlos e a atualização de definições garantem que a norma esteja alinhada com as práticas e ameaças modernas, como a segurança em cloud e a gestão de ameaças;
-
Maior foco nos riscos
O aumento do foco na abordagem baseada em riscos, permite que as organizações adaptem a norma às suas necessidades específicas, aumentando a eficácia das medidas de segurança implementadas;
-
Melhoria continua
As alterações incentivam uma cultura de melhoria contínua da segurança da informação, crucial num cenário de ameaças em constante evolução.
Prazo para Transição para a ISO 27001:2022 em Portugal
As empresas certificadas na ISO 27001:2013 têm até três anos a partir da data de publicação da nova versão (25 de outubro de 2022) para realizar a transição para a ISO 27001:2022.
Isto significa que o prazo limite para a transição é 25 de outubro de 2025. Durante este período, as organizações devem atualizar seus Sistemas de Gestão de Segurança da Informação (SGSI) para corresponder aos novos requisitos.
Já subscreveu a nossa newsletter?
Receba regularmente, no seu e-mail, todas as ofertas e novidades da Vexillum!
A Vexillum é uma empresa especializada em consultoria de segurança da informação e certificações ISO, podendo, por isso, oferecer um suporte abrangente para ajudar as organizações a realizar a transição para a ISO 27001:2022 de maneira eficiente e eficaz. Os serviços da Vexillum incluem:
-
Diagnósticos de conformidade
Realização de auditorias de conformidade para identificar as lacunas entre a atual implementação da ISO 27001:2013 e os requisitos da ISO 27001:2022;
-
Planeamento da transição
Desenvolvimento de um plano de transição detalhado, incluindo cronograma, recursos necessários e etapas críticas para a atualização do SGSI;
-
Formação
Programas de formação e workshops para capacitar as equipas da organização sobre as novas exigências e melhores práticas da ISO 27001:2022;
-
Apoio na Implementação
Suporte na implementação dos novos controlos e na adaptação dos processos existentes para corresponder aos requisitos da ISO 27001:2022;
-
Auditoria Interna
Condução de auditorias internas para garantir que todas as alterações foram corretamente implementadas antes da auditoria de certificação.
A transição para a ISO 27001:2022 representa uma oportunidade para as organizações atualizarem os seus Sistemas de Gestão de Segurança da Informação, garantindo que estejam alinhados com as melhores práticas atuais. Com as alterações estruturais e de conteúdo, a nova norma oferece maior clareza e relevância.