Depois de quase 10 anos, esta semana a ISO publicou a nova versão da ISO/IEC 27001, a principal norma internacional para gestão de segurança da informação. O novo documento substitui a versão anterior de 2013 e teve como principal mudança o seu Anexo A, que foi atualizado com os 93 novos Controles de Segurança da ISO/IEC 27002:2022.

É uma grande notícia para as empresas, temos visto crescer a cada dia o aumento do número e tipo de ameaças cibernéticas, as pessoas e organizações precisam de orientações atualizadas para garantir a segurança e proteger seus ativos e sistemas digitais.

As empresas certificadas têm 3 anos, até novembro de 2025, para fazer a transição para a nova versão!

No mundo inteiro, organizações de todos os tipos e tamanhos tem implementado seu Sistema de Gestão de Segurança da Informação - SGSI (em inglês, Information Security Management Systems - ISMS) baseado nos requisitos da ISO 27001. A norma tem sido usada também como referência para a certificação de empresas, demonstrando seu compromisso com a segurança da informação e conformidade com os requisitos e controles.

Atualmente existem no mundo cerca de 45 mil organizações certificadas ISO 27001, no Brasil, são mais de 150.

O que fazer?

Como primeira orientação, recomendamos que as empresas façam um "gap analysis" para comparar os controles atualmente implementados com a nova lista atualizada do Anexo A, revelando as lacunas e definindo um plano de ação para se adequar aos novos requisitos da norma. É importante também refazer o processo de avaliação de riscos, identificando novas ameaças e oportunidades, além de revisar a documentação existente adaptando as respectivas políticas e outros documentos.

Para saber sobre mais sobre a lista dos Controles de Segurança da ISO 27001, baseados na nova versão da ISO/IEC 27002:2022 lançada em fevereiro, recomendo este artigo que explica as principais mudanças e estrutura e classificação dos controles.