Versão atual: NEN-EN-ISO/IEC 27002:2017 nl (não difere em conteúdo da versão de 2013).
Publicação prevista: 1º trimestre de 2022
Impacto: Rever medidas de segurança – ajustar a documentação – possivelmente introduzindo novas medidas
Implementação da alteração da publicação: Após o ajustamento ISO 27001: nova certificação – direta; certificação existente dentro de 3 anos
Conselhos: Após ajustamento ISO 27001: implementação em caso de recertificação (para evitar tempo extra de auditoria durante a auditoria de controlo) – prepare-se internamente para esta alteração
O que cobre a ISO 27002?
Esta norma fornece orientações para a implementação de medidas no contexto da segurança da informação no seio de uma organização. As medidas constam do ISO 27001 do anexo A. Quando uma empresa tiver certificado o seu sistema de gestão da segurança da informação de acordo com a ISO 27001, a empresa deve determinar quais as medidas (114 no total) aplicáveis com base numa análise de risco e na lista das medidas mencionadas no anexo A da ISO 27001. Espera-se que a empresa implemente medidas mínimas ou equivalentes, tal como indicado no presente anexo A. Esta é registada num documento disponível publicamente (recuperável), a chamada “declaração de aplicabilidade” (ISO 27001 6.1.3 parágrafo d).
As alterações
Abaixo está uma breve visão geral das alterações.
O formato das várias medidas de segurança alterou-se de modo a que o documento seja estruturado de forma diferente. As medidas dividem-se agora em 4 categorias (originalmente 14 categorias):
- Capítulo 5 Organização – 37 medidas
- Capítulo 6 Pessoas – 8 medidas
- Capítulo 7 Físico – 14 medidas
- Capítulo 8 Medidas Tecnológicas -34
A nova classificação conduz a uma classificação mais eficiente das medidas, por exemplo, porque as medidas que foram mencionadas pela primeira vez em diferentes locais, mas que, em princípio, significam que a mesma coisa se reúne agora numa categoria 1. Deste modo, foram fundidas medidas da norma antiga ou retiradas as medidas. Há agora 93 medidas nesta nova norma em vez de 114. 11 novas medidas, 3 medidas existentes retiradas e um número como anteriormente indicado consolidado nas medidas existentes.
As novas medidas de segurança estão mais em linha com a atual transformação digital e com o aumento das ameaças cibernéticas. As novas medidas dizem, portanto, respeito, entre outras coisas, à análise de ameaças, à segurança da informação dos serviços na nuvem e à programação segura.
Cada medida recebeu agora um rótulo # em 5 áreas.
Quando aplicável
O Iso 27002 deverá ser publicado no primeiro trimestre de 2022. Não está certificado contra a norma ISO 27002, mas sim contra a norma ISO 27001. É por isso que esta norma tem de ser alterada antes da aplicação do novo ISO 27002. A alteração mais importante para a ISO 27001 será então a inclusão do anexo A em conformidade com a nova classificação das medidas. Ainda não é claro quando é que a norma ISO 27001 será atualizada (com toda a probabilidade 2022/2023).
O que fazer
O nosso conselho é que se inicie com as mudanças anunciadas. Por exemplo, ter em conta as alterações anunciadas no planeamento, discutir o impacto na organização e realizar auditorias internas com as novas medidas propostas como tema. Claro que pode aproximar-se da gestão da WE para o ajudar com isto!
Segue-se a visão geral das novas medidas:
| ISO 27002:2022 | Definição |
| 5.7 | Inteligência de Ameaça |
| 5.23 | Segurança da informação para uso de serviços na nuvem |
| 5.30 | Prontidão das TIC para a continuidade do negócio |
| 7.4 | Monitorização da vigilância física |
| 8.9 | Gestão de configuração |
| 8.10 | Eliminação de informação |
| 8.11 | Mascaramento de dados |
| 8.12 | Prevenção de violação de dados |
| 8.16 | Serviços de monitorização |
| 8.22 | Filtragem web |
| 8.28 | Codificação segura |
O quadro a seguir apresenta as medidas que foram fundidas da norma antiga em 1 medida:
| ISO 27002:2022 | ISO 27002:2017 |
| 5.1 Políticas de informação |
5.1.1 Políticas de Segurança da Informação |
| 5.9 Inventário de informações e outros ativos associados |
8.1.1 Inventário de ativos |
| 5.14 Transferência de informação |
13.2.1 Políticas e procedimentos de transporte de informação |
| 5.15 Controlo de acesso |
9.1.1 Política de Proteção de Acesso |
| 5.16 Gestão de identidade |
9.2.1 Registo e cancelamento de utilizadores |
| 5.17 Informações de autenticação |
9.2.4 Gestão das informações secretas de autenticação dos utilizadores |
| 5.18 Direitos de acesso |
9.2.2 Concessão de acesso aos utilizadores |
| 5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores |
15.2.1 Acompanhamento e avaliação dos serviços de fornecedores |
| 5.29 Segurança da informação durante a interrupção |
17.1.1 Planeamento continuidade da segurança da informação |
| 7.10 Meios de armazenamento |
8.3.1 Gestão de Mídia Amovível |
| 8.1 Dispositivos de ponto final do utilizador |
6.2.1 Política de Dispositivos Móveis |
| 8.8 Gestão de vulnerabilidades técnicas |
12.6.1 Gestão de vulnerabilidades técnicas |
| 8.15 Registos |
12.4.1 Eventos de Registo |
| 8.24 Utilização da Criptografia |
10.1.1 Política sobre a utilização de controlos criptográficos |
| 8.25 Ciclo de vida seguro de desenvolvimento |
14.1.1 Análise e especificação dos requisitos de segurança da informação |
| 8.26 Requisitos de segurança de aplicação |
14.1.2 Assegurar serviços de aplicação em redes públicas |
| 8.29 Testes de segurança no desenvolvimento e aceitação |
14.2.8 Testes de Segurança do Sistema |
| 8.31 Ambientes de separação dos ambientes de desenvolvimento, teste e produção |
12.1.4 Ambientes de separação dos ambientes de desenvolvimento, teste e produção |
| 8.32 Gestão de mudanças |
12.1.2 Gestão de mudanças |
Foram retiradas as seguintes medidas da ISO 27002:2017:
8.2.3 Movimentação de ativos
11.2.5 Alienação de ativos
16.1.3 Relatório de vulnerabilidades de segurança da informação
Cada medida da nova norma foi dada um #, dividido em 5 categorias:
| Como categorizar | #preventative, #detetive, #corrective |
| Propriedades de segurança de informação | #confidentiality, #integrity, #availability |
| Conceitos de cibersegurança | #identify, #protect, #detect, #respond #recover |
| Capacidades operacionais | #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management e #Information_security_assurance |
| Domínios de segurança | #governance_and_ecosystem, #protection, #defence, #resilience |
Tabela de conteúdos nova norma:
Prefácio
0 Introdução
1 Âmbito
2 Referência normativa
3 Termos, definições e termos abreviados
4 Estrutura deste documento
4.1 Cláusulas
4.2 Temas e atributos
4.3 Disposição de controlo
5 Controlos organizacionais
5.1 Políticas de segurança da informação
5.2 Funções e responsabilidades de segurança da informação
5.3 Segregação de direitos
5.4 Responsabilidades de gestão
5.5 Contacto com as autoridades
5.6 Contacto com grupos de interesse especial
5.7 Inteligência de ameaça
5.8 Segurança da informação na gestão de projetos
5.9 Inventário de informações e outros ativos associados
5.10 Utilização aceitável de informações e outros ativos associados
5.11 Devolução de ativos
5.12 Classificação da informação
5.13 Rotulagem das informações
5.14 Transferência de informação
5.15 Controlo de acesso
5.16 Gestão de identidade
5.17 Informações de autenticação
5.18 Direitos de acesso
5.19 Segurança da informação nas relações com fornecedores
5.20 Abordar a segurança da informação nos acordos de fornecedores
5.21 Gerir a segurança da informação na cadeia de abastecimento das TIC
5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores
5.23 Segurança da informação para utilização de serviços na nuvem
5.24 Planeamento e preparação de gestão e preparação de incidentes de segurança da informação
5.25 Avaliação e decisão sobre eventos de segurança da informação
5.26 Resposta a incidentes de segurança da informação
5.27 Aprendizagem de incidentes de segurança da informação
5.28 Recolha de provas
5.29 Informações sobre segurança durante a interrupção
5.30 Disponibilidade das TIC para a continuidade das empresas
5.31 Identificação de requisitos legais, legais, regulamentares e contratuais
5.32 Direitos de propriedade intelectual
5.33 Proteção dos registos
5.34 Privacidade e proteção da PII
5.35 Revisão independente da segurança da informação
5.36 Cumprimento das políticas e normas de segurança da informação
5.37 Procedimentos operacionais documentados
6 Controlos de pessoas
6.1 Rastreio
6.2 Termos e condições de trabalho
6.3 Sensibilização para a segurança da informação, educação e formação
6.4 Processo disciplinar
6.5 Responsabilidades após cessação ou alteração do emprego
6.6 Acordos de confidencialidade ou de não divulgação
6.7 Trabalho remoto
6.8 Relatórios de eventos de segurança de informação
7 Controlos físicos
7.1 Perímetro de segurança física
7.2 Controlos de entrada física
7.3 Assegurar escritórios, quartos e instalações
7.4 Controlo físico da segurança
7.5 Proteção contra ameaças físicas e ambientais
7.6 Trabalhar em áreas seguras
7.7 Limpar a mesa e limpar o ecrã
7.8 20dação e proteção dos equipamentos
7.9 Segurança dos ativos fora das instalações
7.10 Meios de armazenamento
7.11 Serviços públicos de apoio
7.12 Segurança de Cablagem
7.13 Manutenção de equipamentos
7.14 Proteger a eliminação ou a reutilização de equipamentos
8
Controlos tecnológicos 8.1 Dispositivos de ponto final do utilizador
8.2 Direitos de acesso privilegiados
8.3 Restrição de acesso à informação
8.4 Acesso ao código fonte
8.5 Autenticação segura
8.6 Gestão da capacidade
8.7 Proteção contra malware
8.8 Gestão de vulnerabilidades técnicas
8.9 Gestão de configuração
8.10 Eliminação de Informação
8.11 Mascaramento de dados
8.12 Prevenção de fugas de dados
8.13 Cópia de segurança de informação
8.14 Redundância das instalações de tratamento de informação
8.15 Registos
8.16 Atividades de monitorização
8.17 Sincronização do Relógio
8.18 Utilização de programas de utilidade privilegiada
8.19 Instalação de software em sistemas operacionais
8.20 Controlos de rede
8.21 Segurança dos serviços de rede
8.22 Filtragem web
8.23 Segregação em redes
8.24 Utilização da Criptografia
8.25 Ciclo de vida seguro de desenvolvimento
8.26 Requisitos de segurança de aplicação
8.27 Princípios seguros de arquitetura e engenharia do sistema
8.28 Codificação segura
8.29 Testes de segurança no desenvolvimento e aceitação
8.30 Desenvolvimento subcontratado
8.31 Ambientes de separação dos ambientes de desenvolvimento, teste e produção
8.32 Gestão de mudanças
8.33 Informações de teste
8.34 Proteção dos sistemas de informação durante a auditoria e teste
Anexo A Utilizando atributos
A.1. Introdução
A.2. Vistas organizacionais
Correspondência do anexo B com ISO/IEC 27002:2013
Contacte-nos!
 |
Terneuzen, Zelândia, NL |
 |
+31(0)681924245 |
 |
tpm.wollrabe@we-management.com |
