A ISO/IEC 27002 é uma norma internacional que fornece um conjunto de controlos de referência para a segurança da informação, incluindo orientações para a sua implementação. Este documento foi desenvolvido para ser usado por organizações:

  • no contexto de um sistema de gestão de segurança da informação (SGSI) baseado na ISO/IEC 27001;
  • para a implementação de controlos de segurança da informação com base nas melhores práticas reconhecidas internacionalmente;
  • para o desenvolvimento de diretrizes de gestão de segurança da informação específicas da organização.

A ISO/IEC 27002 é um documento normativo de orientação para as organizações que implementam controlos de segurança da informação, descrevendo como é que os controlos podem ser estabelecidos. Esta norma é aplicável a qualquer tipo de organização, pública ou privada, e de qualquer dimensão, estabelecendo orientações e princípios para iniciar, implementar, manter e melhorar a gestão de segurança da informação.

Principais benefícios da ISO/IEC 27002 para as organizações:

  • Melhor consciencialização sobre a segurança da informação;
  • Maior controlo de ativos e informações sensíveis;
  • Abordagem para implementação de políticas de controlos;
  • Oportunidade para identificar e corrigir pontos fracos;
  • Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;
  • Melhor organização com processos e mecanismos;
  • Promoção da redução de custos com a prevenção de incidentes de segurança da informação;
  • Alinhamento e conformidade com regulamentações legais e outras.

“A ISO/IEC 27002 é um documento normativo de orientação para as organizações que implementam controlos de segurança da informação, descrevendo como é que os controlos podem ser estabelecidos.”

Diferença entre a ISO/IEC 27001 e a ISO/IEC 27002:2022

A ISO/IEC 27001 é a norma principal e as organizações podem ser certificadas de acordo com esta norma. A ISO 27002:2022 é uma norma de suporte pelo que as empresas não se certificam de acordo com esta norma.

O Anexo A da ISO 27001 apresenta uma lista de controlos de segurança, mas não explica como é que esses controlos podem ser implementados. A ISO 27002 vem listar esses mesmos controlos e orienta sobre a sua implementação. De salientar que a orientação disponibilizada na ISO 27002 é facultativa, isto é, as organizações podem decidir sobre a utilização das diretrizes e boas práticas de controles de segurança.

A ISO 27002 foi atualizada em fevereiro de 2022 e o Anexo A da ISO 27001 será oficialmente alinhado durante 2022, em data a anunciar.

O que fazer caso já tenha implementada a ISO 27001

Caso já tenha implementada a ISO 27001 na sua organização, e uma vez que a diferença entre as versões é basicamente a reorganização de controles, não necessitará de implementar alterações tecnológicas, apenas mudanças moderadas na documentação.

O período de transição para estas mudanças ainda não foi estipulado. Contudo, haverá um período de 2 anos para as empresas certificadas, sendo que esse período terá início após a data em que a ISO 27001 venha a estar oficialmente alinhada com estes novos controlos.

Conquiste a certificação ISO/IEC 27001 com consultoria à medida da sua empresa!