SobreNormasBlog ✦ IAOrçamento →
Início  /  Blog  /  Guia ISO 27001:2022

Certificação ISO 27001:2022 — Guia Completo

A ISO/IEC 27001:2022 trouxe mudanças significativas na estrutura de controles e nos requisitos do sistema de gestão. Este guia aborda todas as alterações críticas, a nova estrutura do Anexo A e um roteiro prático de transição para organizações que buscam manter ou obter a certificação.

ISO 27001 SGSI Certificação

 ·  8 min de leitura

Por Que a Revisão de 2022 É Importante

A ISO/IEC 27001:2022 substituiu a edição de 2013 em outubro de 2022. O International Accreditation Forum (IAF) estabeleceu uma janela de transição de três anos, o que significa que todos os certificados existentes da versão 2013 precisavam ser migrados para a versão 2022 até 31 de outubro de 2025. Após essa data, qualquer certificado que ainda referenciasse a norma de 2013 passa a ser considerado inválido.

Esta não é uma atualização administrativa menor. Embora as cláusulas centrais do sistema de gestão (4 a 10) tenham recebido mudanças relativamente modestas, o Anexo A passou por uma reestruturação completa. Os 114 controles anteriores, distribuídos em 14 domínios, foram consolidados em 93 controles organizados em apenas quatro temas. Onze controles totalmente novos foram introduzidos, refletindo a evolução do cenário de ameaças em áreas como computação em nuvem, inteligência de ameaças, mascaramento de dados e ciclos de vida de desenvolvimento seguro.

Para organizações que tratavam seu SGSI como um exercício estático de conformidade, essa transição representa um esforço considerável. Para aquelas com uma abordagem madura e orientada a riscos, é uma oportunidade de otimizar e modernizar seus controles de segurança.

Principais Mudanças nas Cláusulas do Sistema de Gestão

Os requisitos do sistema de gestão nas Cláusulas 4 a 10 estão alinhados com a Estrutura Harmonizada (HS) utilizada em todas as normas ISO de sistema de gestão. A revisão de 2022 introduz diversas mudanças direcionadas:

  • Cláusula 4.2 — Partes Interessadas: As organizações agora devem determinar explicitamente quais requisitos das partes interessadas serão endereçados pelo SGSI. Isso exige uma análise documentada, não apenas uma lista de partes interessadas.
  • Cláusula 6.3 — Planejamento de Mudanças: Esta é uma nova subcláusula. Quando a organização identifica a necessidade de mudanças no SGSI, essas mudanças devem ser conduzidas de forma planejada, formalizando a gestão de mudanças no nível do sistema de gestão.
  • Cláusula 8.1 — Planejamento e Controle Operacional: As organizações devem estabelecer critérios para processos de segurança e implementar controles de acordo com esses critérios. A ênfase migrou da documentação de processos para a demonstração de que controles baseados em critérios estão implementados e são eficazes.
  • Cláusula 9.3 — Análise Crítica pela Direção: As entradas da análise crítica agora incluem explicitamente mudanças nas necessidades e expectativas das partes interessadas relevantes para o SGSI.

A Nova Estrutura do Anexo A: Quatro Temas em Vez de Catorze

A mudança mais visível é a reorganização do Anexo A. A versão de 2013 tinha 14 categorias de controles (A.5 a A.18) contendo 114 controles. A versão de 2022 reestrutura esses controles em quatro grupos temáticos:

Tema Controles Descrição
A.5 Organizacionais 37 Políticas, papéis, responsabilidades, inteligência de ameaças, gestão de ativos, controle de acesso, relações com fornecedores e conformidade.
A.6 Pessoas 8 Triagem, termos de contratação, conscientização, treinamento, processo disciplinar e trabalho remoto.
A.7 Físicos 14 Perímetros de segurança física, controles de entrada, monitoramento e proteção contra ameaças ambientais.
A.8 Tecnológicos 34 Dispositivos de endpoint, acesso privilegiado, proteção contra malware, gestão de vulnerabilidades, mascaramento de dados, DLP, monitoramento e codificação segura.

Cada controle agora possui um conjunto associado de atributos — tipo de controle (preventivo, detectivo, corretivo), propriedades de segurança da informação (confidencialidade, integridade, disponibilidade) e conceitos de cibersegurança (identificar, proteger, detectar, responder, recuperar). Embora as organizações não sejam obrigadas a utilizar esses atributos, eles fornecem uma taxonomia útil para mapear controles aos planos de tratamento de riscos.

Os 11 Novos Controles Que Você Precisa Endereçar

A ISO 27001:2022 introduz onze controles que não tinham equivalente direto na versão de 2013. Cada um reflete uma lacuna específica identificada ao longo de anos de experiência de implementação:

  • A.5.7 — Inteligência de Ameaças: As organizações devem coletar e analisar informações sobre ameaças à sua segurança da informação, incluindo feeds de ameaças e participação em comunidades de compartilhamento (ISACs).
  • A.5.23 — Segurança da Informação para Serviços em Nuvem: Um controle dedicado que exige processos para aquisição, uso, gestão e encerramento de serviços em nuvem.
  • A.5.30 — Prontidão de TIC para Continuidade de Negócios: Vai além do planejamento tradicional de continuidade para exigir que sistemas de TIC estejam especificamente preparados para interrupções.
  • A.8.9 — Gestão de Configuração: Configurações de hardware, software, serviços e redes devem ser estabelecidas, documentadas, implementadas, monitoradas e revisadas.
  • A.8.11 — Mascaramento de Dados: O mascaramento de dados deve ser aplicado conforme a política de controle de acesso da organização, considerando a legislação aplicável.
  • A.8.12 — Prevenção contra Vazamento de Dados: Medidas de DLP devem ser aplicadas a sistemas, redes e endpoints que processam informações sensíveis.
  • A.8.16 — Atividades de Monitoramento: Redes, sistemas e aplicações devem ser monitorados quanto a comportamento anômalo.
  • A.8.23 — Filtragem Web: O acesso a sites externos deve ser gerenciado para reduzir a exposição a conteúdo malicioso.
  • A.8.28 — Codificação Segura: Princípios de codificação segura devem ser aplicados ao desenvolvimento de software.

Roteiro de Transição Passo a Passo

Seja para transição ou recertificação, as seguintes etapas fornecem uma abordagem estruturada:

Etapa 1: Análise de Lacunas. Compare sua Declaração de Aplicabilidade (SoA) atual com os novos controles do Anexo A. Mapeie cada controle existente para seu equivalente na versão 2022. Identifique os 11 novos controles e avalie sua maturidade atual em relação a cada um.

Etapa 2: Atualize Sua Avaliação de Riscos. A metodologia de avaliação de riscos em si não precisa mudar, mas o conjunto de controles referenciado em seu plano de tratamento de riscos deve ser atualizado para refletir o Anexo A da ISO 27002:2022.

Etapa 3: Revise a Declaração de Aplicabilidade. A SoA é o documento mais importante do seu SGSI do ponto de vista da auditoria. Ela deve referenciar os 93 controles da versão 2022, indicando claramente quais são aplicáveis e quais não são.

Etapa 4: Atualize Políticas e Procedimentos. Revise todas as políticas de segurança da informação para alinhamento com o novo conjunto de controles, especialmente nas áreas que exigem novos processos.

Etapa 5: Implemente os Novos Controles. Para cada um dos 11 novos controles aplicáveis, defina a abordagem de implementação, atribua responsabilidades, aloque recursos e estabeleça cronogramas.

Organizações que perderam o prazo de outubro de 2025 devem entrar em contato com seu organismo de certificação imediatamente. Alguns organismos podem oferecer caminhos acelerados de recertificação.

Como a BALTUM Apoia Sua Transição

A rede internacional de auditores e consultores da BALTUM vem apoiando organizações na transição para a ISO 27001:2022 desde a publicação da norma. Nossos serviços incluem:

  • Análise de Lacunas: Uma avaliação estruturada comparando seu SGSI atual com os requisitos da versão 2022, entregue como um plano de ação priorizado com estimativas de esforço.
  • Suporte na Revisão da SoA: Orientação especializada na atualização da sua Declaração de Aplicabilidade, incluindo mapeamento de controles e preparação de evidências.
  • Treinamento de Auditores Internos: Programas de treinamento que capacitam sua equipe de auditoria interna para auditar conforme o novo conjunto de controles.
  • Revisão de Pré-Certificação: Uma avaliação completa de prontidão conduzida por auditores experientes para identificar e resolver quaisquer não conformidades remanescentes.

A transição para a ISO 27001:2022 não é apenas uma obrigação de conformidade — é uma oportunidade de fortalecer sua postura de segurança com controles que refletem o cenário moderno de ameaças.