Notícias
- Home
- Associados
- Mudanças na Nova ISO/IEC27001 e ISO/IEC 27002 [Wiseplan]
Mudanças na Nova ISO/IEC27001 e ISO/IEC 27002 [Wiseplan]
A ISO/IEC 27001 está em revisão e a ISO/IEC 27002:2022 – Segurança da Informação,Cibersegurança e Proteção da Privacidade – Controles de Segurança da Informação foi lançada. A última revisão da ISO/IEC 27002 foi publicada em fevereiro de 2022, ea ISO/IEC 27001 seguirá logo em seguida. O comitê técnico conjunto da InternationalOrganization for Standardization (ISO)/International Electrotechnical Commission(IEC), ISO/IEC JTC 1, está mudando a estrutura da estrutura de controle ISO/IEC27001/27002 após quase 20 anos.
QUAL É A DIFERENÇA ENTRE ISO/IEC27001 E ISO/IEC 27002?
As organizações podem obter a certificação ISO/IEC 27001, mas não ISO/IEC 27002. AISO/IEC 27001 documenta os requisitos para estabelecer, implementar, manter emelhorar continuamente um sistema de gerenciamento de segurança da informação,enquanto a ISO/IEC 27002 é projetada para as organizações usarem como umareferência para a seleção de controles e fornece diretrizes para práticas de gestão desegurança da informação, incluindo a implementação e gestão de controles, levandoem consideração o ambiente de risco de segurança da informação da organização. Asorganizações podem ser certificadas em padrões que contêm requisitos, mas nãopodem ser certificadas em padrões que fornecem orientação.
MUDANÇAS NA ISO/IEC 27001:2022
As principais mudanças na ISO/IEC 27001:2022 incluem:
-Anexo A referências aos controles na ISO/IEC 27002:2022, que inclui o título decontrole e o controle;
-A nota da Cláusula 6.1.3 c) é revisada editorialmente, inclusive excluindo os“objetivos de controle” e substituindo “controle de segurança da informação” por“controle”;
-A redação da Cláusula 6.1.3 d) é revisada para fornecer clareza e eliminarambiguidades.
Alterações na ISO/IEC 27002:2022 A ISO/IEC 27002:2013 contém 114 controles em 14domínios; A ISO/IEC 27002:2022 contém 93 controles em 4 domínios:
Capítulo 5 – Organizacional (se não se enquadram em nenhum outro domínio) – 37controles
Capítulo 6 – Pessoas (se dizem respeito a pessoas individuais) – 8 controles
Capítulo 7 – Físico (se dizem respeito a objetos físicos) – 14 controles
Capítulo 8 – Tecnológico (se dizem respeito a tecnologia) – 34 controles
Existem agora 5 atributos de controle para cada controle:
Como categorizar – preventivo, detetive, corretivo.
Propriedades de segurança da informação – confidencialidade, integridade,disponibilidade.
Conceitos de cibersegurança – identificar, proteger, detectar, responder, recuperar.
Recursos operacionais – governança, gerenciamento de ativos, proteção deinformações, segurança de recursos humanos, segurança física, segurança desistemas e redes, segurança de aplicativos, configuração segura, gerenciamento deidentidade e acesso, gerenciamento de ameaças e vulnerabilidades, continuidade,segurança de relacionamento com fornecedores, legal e conformidade,gerenciamento de eventos de segurança da informação, garantia de segurança dainformação.
Domínios de segurança – governança e ecossistema, proteção, defesa, resiliência.
Doze novos controles foram introduzidos na nova versão da ISO/IEC 27002:
1. Inteligência de ameaças
2. Gerenciamento de identidade
3. Segurança da informação para uso de serviços em nuvem
4. Prontidão de TIC para continuidade de negócios
5. Monitoramento de segurança física
6. Endpoint do usuário dispositivos
7. Gerenciamento de configuração
8. Exclusão de informações
9. Mascaramento de dados
10. Prevenção de vazamento de dados
11. Filtragem da Web
12. Codificação segura
Dezesseis controles foram excluídos por duplicação ou melhor alinhamento sob outros controles:
1. Revisão das políticas de segurança da informação
2. Política de dispositivos móveis
3. Propriedade de ativos
4. Manuseio de ativos
5. Sistema de gerenciamento de senhas
6. Áreas de entrega e carregamento
7. Remoção de ativos
8. Equipamentos de usuários autônomos
9. Proteção de informações de log
10. Restrições de software instalação
11. Mensagens eletrônicas
12. Protegendo serviços de aplicativos em redes públicas
13. Protegendo transações de serviços de aplicativos
14. Testes de aceitação do sistema
15. Reportando pontos fracos de segurança da informação
16. Revisão de conformidade técnica
Existem alguns controles que foram modificados e integrados para se tornarem um controle principal. Aqui estão alguns exemplos:
-“Inventário de ativos” é modificado como “Inventário de informações e outros ativos associados”
-“Uso aceitável de ativos” alterado para “Uso aceitável de informações e outros ativos associados”.
-Política sobre controles criptográficos e gerenciamento de chaves etc. alterada para “Uso de controles de criptografia”.
-Log de eventos renomeado para “Logging”.
-Os logs do administrador e do operador foram alterados para “Atividades de monitoramento”.
-Políticas e procedimentos de transferência de informações, acordo sobre transferência de informações, etc. combinados como um controle principal em “Transferência de informações”.
Por Alexandre Lopes
Especialista em cybersecurity
Fonte: Assessoria
- Publicado a
Notícias Relacionadas
Webinar – Nacionalidade Portuguesa e o Visto E-2 para os EUA [Araujo Paz Advogados]
A partir de abril de 2023, a obtenção da nacionalidade…
Garantia de lisura testemunhal nas audiências virtuais: um debate necessário [Reis Advogados]
Desde a pandemia do COVID-19, o judiciário implementou tecnologias para…
Nota de imprensa: SEDE do Grupo de Folclore Casa de Portugal inaugurada em Andorra [Castaño Martorani Real Estate]
A nova SEDE do Grupo de Folclore Casa de Portugal…
Viver com Estilo e Sofisticação no Coração do Algarve [Amber Star Real Estate]
Estas deslumbrantes residências, projetadas por um dos mais prestigiados arquitetos…
Como Aumentar sua Potência de Agir e Liderar com Sabedoria! [Virginia Haag]
Nesta semana, Virgínia Haag traz um conceito fascinante para aqueles…
Autoridade Nacional de Proteção de Dados (ANPD) publica Resolução nº 19/2024 regulamentando a transferência internacional de dados pessoais [Campos Thomaz Advogados]
Por: Alan Campos Thomaz, sócio do Campos Thomaz Advogados, escritório…
Metropolis: O Empreendimento Inovador para aqueles que buscam retorno no investimento [Castaño Martorani Real Estate]
Confira: combinando residências modernas e espaços comerciais, o Metropolis surge…
Golden Visa de Portugal: Investimento Empresarial com Segurança Imobiliária [Amber Star Real Estate]
O Golden Visa de Portugal, lançado em 2012, é um…
Novas orientações sobre tributação de não residentes [BMA Advogados]
Apesar de tratarem de casos específicos, os novos precedentes podem…
Exercícios Espirituais para Fortalecer Sua Liderança – Descubra Como! [Virginia Haag]
Virgínia Haag apresenta os exercícios espirituais, uma prática inspirada na…
Segurança em Nuvem: 4 Dicas Essenciais para Proteger Seus Dados [Teltex]
Manter seus dados seguros na nuvem é essencial para evitar…
Matéria da Castaño Martorani e Câmara Portuguesa volta a ser notícia em Portugal [Castaño Martorani Real Estate]
Na última edição da revista da Câmara Portuguesa, a Castaño…