+31(0)115-612689 info@we-management.com

Alterações à ISO 27002

Artigo da data da publicação: 26-10-2021

A organização iso tem como objetivo rever os seus padrões de 5 em 5 anos e processar novos insights. Está prevista uma alteração no final deste ano para a ISO 27002, a norma que está indissociavelmente ligada à ISO 27001 – a norma em que são formulados requisitos para a implementação de um sistema de gestão da segurança da informação. Este artigo fornece brevemente a informação sobre as mudanças que serão e como podem ser tratadas.

Alterações iso 27002 – 1º trimestre de 2022 (esperado)

Artigo da data da publicação: 26-10-2021

Versão atual: NEN-EN-ISO/IEC 27002:2017 nl (não difere em conteúdo da versão de 2013).
Publicação prevista: 1º trimestre de 2022
Impacto: Rever medidas de segurança – ajustar a documentação – possivelmente introduzindo novas medidas
Implementação da alteração da publicação: Após o ajustamento ISO 27001: nova certificação – direta; certificação existente dentro de 3 anos
Conselhos: Após ajustamento ISO 27001: implementação em caso de recertificação (para evitar tempo extra de auditoria durante a auditoria de controlo) – prepare-se internamente para esta alteração

O que cobre a ISO 27002?

Esta norma fornece orientações para a implementação de medidas no contexto da segurança da informação no seio de uma organização. As medidas constam do ISO 27001 do anexo A. Quando uma empresa tiver certificado o seu sistema de gestão da segurança da informação de acordo com a ISO 27001, a empresa deve determinar quais as medidas (114 no total) aplicáveis com base numa análise de risco e na lista das medidas mencionadas no anexo A da ISO 27001. Espera-se que a empresa implemente medidas mínimas ou equivalentes, tal como indicado no presente anexo A. Esta é registada num documento disponível publicamente (recuperável), a chamada “declaração de aplicabilidade” (ISO 27001 6.1.3 parágrafo d).

As alterações

Abaixo está uma breve visão geral das alterações.

O formato das várias medidas de segurança alterou-se de modo a que o documento seja estruturado de forma diferente. As medidas dividem-se agora em 4 categorias (originalmente 14 categorias):

  • Capítulo 5 Organização – 37 medidas
  • Capítulo 6 Pessoas – 8 medidas
  • Capítulo 7 Físico – 14 medidas
  • Capítulo 8 Medidas Tecnológicas -34

A nova classificação conduz a uma classificação mais eficiente das medidas, por exemplo, porque as medidas que foram mencionadas pela primeira vez em diferentes locais, mas que, em princípio, significam que a mesma coisa se reúne agora numa categoria 1. Deste modo, foram fundidas medidas da norma antiga ou retiradas as medidas. Há agora 93 medidas nesta nova norma em vez de 114. 11 novas medidas, 3 medidas existentes retiradas e um número como anteriormente indicado consolidado nas medidas existentes.

As novas medidas de segurança estão mais em linha com a atual transformação digital e com o aumento das ameaças cibernéticas. As novas medidas dizem, portanto, respeito, entre outras coisas, à análise de ameaças, à segurança da informação dos serviços na nuvem e à programação segura.

Cada medida recebeu agora um rótulo # em 5 áreas.

Quando aplicável

O Iso 27002 deverá ser publicado no primeiro trimestre de 2022. Não está certificado contra a norma ISO 27002, mas sim contra a norma ISO 27001. É por isso que esta norma tem de ser alterada antes da aplicação do novo ISO 27002. A alteração mais importante para a ISO 27001 será então a inclusão do anexo A em conformidade com a nova classificação das medidas. Ainda não é claro quando é que a norma ISO 27001 será atualizada (com toda a probabilidade 2022/2023).

O que fazer

O nosso conselho é que se inicie com as mudanças anunciadas. Por exemplo, ter em conta as alterações anunciadas no planeamento, discutir o impacto na organização e realizar auditorias internas com as novas medidas propostas como tema. Claro que pode aproximar-se da gestão da WE para o ajudar com isto!

Segue-se a visão geral das novas medidas:

ISO 27002:2022 Definição
5.7 Inteligência de Ameaça
5.23 Segurança da informação para uso de serviços na nuvem
5.30 Prontidão das TIC para a continuidade do negócio
7.4 Monitorização da vigilância física
8.9 Gestão de configuração
8.10 Eliminação de informação
8.11 Mascaramento de dados
8.12 Prevenção de violação de dados
8.16 Serviços de monitorização
8.22 Filtragem web
8.28 Codificação segura

O quadro a seguir apresenta as medidas que foram fundidas da norma antiga em 1 medida:

ISO 27002:2022 ISO 27002:2017
5.1 Políticas de informação

5.1.1 Políticas de Segurança da Informação
5.1.2 Avaliação da política de segurança da informação

5.9 Inventário de informações e outros ativos associados

8.1.1 Inventário de ativos
8.1.2 Propriedade de ativos

5.14 Transferência de informação

13.2.1 Políticas e procedimentos de transporte de informação
13.2.2 Acordos sobre o transporte de informação
13.2.3 Mensagens electrónicas

5.15 Controlo de acesso

9.1.1 Política de Proteção de Acesso
9.1.2 Acesso a redes e serviços de rede

5.16 Gestão de identidade

9.2.1 Registo e cancelamento de utilizadores
9.4.3 Sistema de Gestão de Passwords

5.17 Informações de autenticação

9.2.4 Gestão das informações secretas de autenticação dos utilizadores
9.3.1 Utilização de informações secretas de autenticação

5.18 Direitos de acesso

9.2.2 Concessão de acesso aos utilizadores
9.2.5 Avaliação dos direitos de acesso dos utilizadores
9.2.6 Revogar ou modificar os direitos de acesso

5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores

15.2.1 Acompanhamento e avaliação dos serviços de fornecedores
15.2.2 Gestão das alterações nos serviços de fornecedores

5.29 Segurança da informação durante a interrupção

17.1.1 Planeamento continuidade da segurança da informação
17.1.2 Implementação da continuidade da segurança da informação
17.1.3 Verificar, avaliar e avaliar a continuidade da segurança da informação

7.10 Meios de armazenamento

8.3.1 Gestão de Mídia Amovível
8.3.2 Eliminação dos Meios de Comunicação Social
8.3.3 Transferência física de meios de comunicação

8.1 Dispositivos de ponto final do utilizador

6.2.1 Política de Dispositivos Móveis
11.2.8 Equipamento de utilização não gerido

8.8 Gestão de vulnerabilidades técnicas

12.6.1 Gestão de vulnerabilidades técnicas
18.2.3 Avaliação da conformidade técnica

8.15 Registos

12.4.1 Eventos de Registo
12.4.2 Proteger informações em ficheiros de registo
12.4.3 Registos de administrador e operador

8.24 Utilização da Criptografia

10.1.1 Política sobre a utilização de controlos criptográficos
10.1.2 Gestão de Chaves
18.1.5 Requisitos para a utilização de controlos criptográficos

8.25 Ciclo de vida seguro de desenvolvimento

14.1.1 Análise e especificação dos requisitos de segurança da informação
14.2.1 Política de Desenvolvimento Seguro

8.26 Requisitos de segurança de aplicação

14.1.2 Assegurar serviços de aplicação em redes públicas
14.1.3 Proteger as operações dos serviços de aplicação

8.29 Testes de segurança no desenvolvimento e aceitação

14.2.8 Testes de Segurança do Sistema
14.2.9 Testes de aceitação do sistema

8.31 Ambientes de separação dos ambientes de desenvolvimento, teste e produção

12.1.4 Ambientes de separação dos ambientes de desenvolvimento, teste e produção
14.2.2 Alterar procedimentos de gestão relacionados com sistemas
14.2.3 Avaliação técnica das candidaturas após alterações
plataforma operacional
14.2.4 Restrições às alterações aos pacotes de software

8.32 Gestão de mudanças

12.1.2 Gestão de mudanças
14.2.2 Alterar procedimentos de gestão relacionados com sistemas
14.2.3 Avaliação técnica das candidaturas após alterações
plataforma operacional
14.2.4 Restrições às alterações aos pacotes de software

Foram retiradas as seguintes medidas da ISO 27002:2017:

8.2.3 Movimentação de ativos
11.2.5 Alienação de ativos
16.1.3 Relatório de vulnerabilidades de segurança da informação

 

Cada medida da nova norma foi dada um #, dividido em 5 categorias:

Como categorizar #preventative, #detetive, #corrective
Propriedades de segurança de informação #confidentiality, #integrity, #availability
Conceitos de cibersegurança #identify, #protect, #detect, #respond #recover
Capacidades operacionais #Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management e #Information_security_assurance
Domínios de segurança #governance_and_ecosystem, #protection, #defence, #resilience

Tabela de conteúdos nova norma:

Prefácio
0 Introdução
1 Âmbito
2 Referência normativa
3 Termos, definições e termos abreviados
4 Estrutura deste documento
4.1 Cláusulas
4.2 Temas e atributos
4.3 Disposição de controlo

5 Controlos organizacionais
5.1 Políticas de segurança da informação
5.2 Funções e responsabilidades de segurança da informação
5.3 Segregação de direitos
5.4 Responsabilidades de gestão
5.5 Contacto com as autoridades
5.6 Contacto com grupos de interesse especial
5.7 Inteligência de ameaça
5.8 Segurança da informação na gestão de projetos
5.9 Inventário de informações e outros ativos associados
5.10 Utilização aceitável de informações e outros ativos associados
5.11 Devolução de ativos
5.12 Classificação da informação
5.13 Rotulagem das informações
5.14 Transferência de informação
5.15 Controlo de acesso
5.16 Gestão de identidade
5.17 Informações de autenticação
5.18 Direitos de acesso
5.19 Segurança da informação nas relações com fornecedores
5.20 Abordar a segurança da informação nos acordos de fornecedores
5.21 Gerir a segurança da informação na cadeia de abastecimento das TIC
5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores
5.23 Segurança da informação para utilização de serviços na nuvem
5.24 Planeamento e preparação de gestão e preparação de incidentes de segurança da informação
5.25 Avaliação e decisão sobre eventos de segurança da informação
5.26 Resposta a incidentes de segurança da informação
5.27 Aprendizagem de incidentes de segurança da informação
5.28 Recolha de provas
5.29 Informações sobre segurança durante a interrupção
5.30 Disponibilidade das TIC para a continuidade das empresas
5.31 Identificação de requisitos legais, legais, regulamentares e contratuais
5.32 Direitos de propriedade intelectual
5.33 Proteção dos registos
5.34 Privacidade e proteção da PII
5.35 Revisão independente da segurança da informação
5.36 Cumprimento das políticas e normas de segurança da informação
5.37 Procedimentos operacionais documentados
6 Controlos de pessoas
6.1 Rastreio
6.2 Termos e condições de trabalho
6.3 Sensibilização para a segurança da informação, educação e formação
6.4 Processo disciplinar
6.5 Responsabilidades após cessação ou alteração do emprego
6.6 Acordos de confidencialidade ou de não divulgação
6.7 Trabalho remoto
6.8 Relatórios de eventos de segurança de informação

7 Controlos físicos
7.1 Perímetro de segurança física
7.2 Controlos de entrada física
7.3 Assegurar escritórios, quartos e instalações
7.4 Controlo físico da segurança
7.5 Proteção contra ameaças físicas e ambientais
7.6 Trabalhar em áreas seguras
7.7 Limpar a mesa e limpar o ecrã
7.8 20dação e proteção dos equipamentos
7.9 Segurança dos ativos fora das instalações
7.10 Meios de armazenamento
7.11 Serviços públicos de apoio
7.12 Segurança de Cablagem
7.13 Manutenção de equipamentos
7.14 Proteger a eliminação ou a reutilização de equipamentos

8
Controlos tecnológicos
8.1 Dispositivos de ponto final do utilizador
8.2 Direitos de acesso privilegiados
8.3 Restrição de acesso à informação
8.4 Acesso ao código fonte
8.5 Autenticação segura
8.6 Gestão da capacidade
8.7 Proteção contra malware
8.8 Gestão de vulnerabilidades técnicas
8.9 Gestão de configuração
8.10 Eliminação de Informação
8.11 Mascaramento de dados
8.12 Prevenção de fugas de dados
8.13 Cópia de segurança de informação
8.14 Redundância das instalações de tratamento de informação
8.15 Registos
8.16 Atividades de monitorização
8.17 Sincronização do Relógio
8.18 Utilização de programas de utilidade privilegiada
8.19 Instalação de software em sistemas operacionais
8.20 Controlos de rede
8.21 Segurança dos serviços de rede
8.22 Filtragem web
8.23 Segregação em redes
8.24 Utilização da Criptografia
8.25 Ciclo de vida seguro de desenvolvimento
8.26 Requisitos de segurança de aplicação
8.27 Princípios seguros de arquitetura e engenharia do sistema
8.28 Codificação segura
8.29 Testes de segurança no desenvolvimento e aceitação
8.30 Desenvolvimento subcontratado
8.31 Ambientes de separação dos ambientes de desenvolvimento, teste e produção
8.32 Gestão de mudanças
8.33 Informações de teste
8.34 Proteção dos sistemas de informação durante a auditoria e teste

Anexo A Utilizando atributos
A.1. Introdução
A.2. Vistas organizacionais
Correspondência do anexo B com ISO/IEC 27002:2013

 

 

Contacte-nos!

 

Terneuzen, Zelândia, NL

+31(0)681924245

tpm.wollrabe@we-management.com