A versão 2022 da norma de sistemas de gerenciamento de segurança da informação (ISMS) permite que as empresas melhorem a compreensão do quadro de risco atual e implementem o controle de segurança necessário.
A segurança da informação é um tema em ascensão na maioria das agendas das empresas. Entre o aumento da adoção de tecnologias de nuvem e automação, inteligência artificial, segurança cibernética, privacidade, malware e ransomware, as empresas são forçadas a enfrentar novos cenários. Isso significa reavaliar seu quadro de risco atual e gerenciar novas ameaças de maneira ativa e estruturada.
“A versão anterior do padrão foi lançada em 2013. Muita coisa no mundo mudou desde então. A nova versão é muito bem-vinda, pois fornece os controles e orientações de segurança necessários para ajudar as empresas a criar confiança em como estão trabalhando para proteger ativos críticos de negócios”, diz Nanda Kumar Shamanna, serviço global de TIC responsável em Business Assurance, DNV.
Principais mudanças na versão
As mudanças estão relacionadas principalmente aos controles de segurança da informação no Anexo A, antecipados pela publicação da ISO/IEC 27002:2022 em fevereiro. 11 novos controles de segurança foram adicionados, 58 são atualizados e 24 mesclados para refletir os novos cenários que as empresas enfrentam. A linguagem de controle foi atualizada e as orientações da ISO/IEC 27002 são atualizadas para ajudar as empresas a gerenciar riscos, garantir que nada seja perdido e fazer o devido acompanhamento. Além das mudanças nos controles, a ISO/IEC 27001 também é realinhada com as últimas atualizações da Estrutura de Alto Nível (HLS) da ISO. No entanto, essas mudanças são consideradas pequenas, pois a edição de 2013 foi uma das primeiras normas a adotar o HLS.
As principais áreas do sistema de gestão impactadas são liderança, segurança corporativa, função de TI e outras funções de suporte. Para os provedores de serviços, a entrega também é afetada.
“A nova versão permite uma gestão de riscos mais eficaz devido aos controles de segurança atualizados. Ele fornece uma abordagem estruturada para as empresas reavaliarem seu quadro de risco atual e restabelecer os controles de segurança”, diz Nanda Kumar Shamanna.
O cronograma de transição está definido para 3 anos, o que significa que os certificados existentes precisam ser transferidos para a nova versão antes de novembro de 2025.