{"id":4683,"date":"2014-08-26T18:38:54","date_gmt":"2014-08-26T18:38:54","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/014\/08\/26\/uma-primeira-impressao-sobre-nova-iso-27001\/"},"modified":"2022-07-17T15:43:35","modified_gmt":"2022-07-17T15:43:35","slug":"uma-primeira-impressao-sobre-nova-iso-27001","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/08\/26\/uma-primeira-impressao-sobre-nova-iso-27001\/","title":{"rendered":"Uma primeira impress\u00e3o sobre a nova ISO 27001"},"content":{"rendered":"

Atualizado em 25-09-2013<\/em>: Este post foi atualizado de acordo com a vers\u00e3o final da ISO 27001:2013 que foi publicada em 25 de setembro de 2013.<\/p>\n

Quando ouvi a not\u00edcia de que a a vers\u00e3o DIS (draft) da ISO 27001:2013 estava dispon\u00edvel, fiquei impaciente para l\u00ea-la. Quando comparada com a antiga ISO\/IEC 27001 de 2005, as mudan\u00e7as n\u00e3o s\u00e3o na verdade muito dr\u00e1sticas \u2013 aqui est\u00e3o as principais diferen\u00e7as que encontrei:<\/p>\n

A estrutura<\/h2>\n

Como esperado, a nova ISO 27001<\/a> est\u00e1 em conformidade como Anexo SL da ISO\/IEC Directives, de forma a estar alinhada com todas as outras normas de gest\u00e3o \u2013 isto j\u00e1 \u00e9 evidente na ISO 22301<\/a>, a nova norma sobre gest\u00e3o da continuidade de neg\u00f3cio. Assim, aqui est\u00e3o a principais cl\u00e1usulas que voc\u00ea ver\u00e1 em todas as normas de gest\u00e3o:<\/p>\n

0 Introdu\u00e7\u00e3o
\n1 Escopo
\n2 Refer\u00eancias normativas
\n3 Termos e defini\u00e7\u00f5es
\n4 Contexto da organiza\u00e7\u00e3o
\n5 Lideran\u00e7a
\n6 Planejamento
\n7 Suporte
\n8 Opera\u00e7\u00e3o
\n9 Avalia\u00e7\u00e3o do desempenho
\n10 Melhoria<\/p>\n

Naturalmente, o Anexo A ainda est\u00e1 aqui na nova ISO 27001 \u2013 onde est\u00e3o listados todos os controles (clique aqui para ver os novos controles<\/a>). O anexo B da norma antiga, praticamente sem utilidade, foi exclu\u00eddo, enquanto que n\u00e3o h\u00e1 mais necessidade para o Anexo C.<\/p>\n

Partes interessadas<\/h2>\n

A enorme import\u00e2ncia das partes interessadas, que podem incluir acionistas, autoridades (incluindo requisitos legais e regulat\u00f3rios), clientes, parceiros, etc., \u00e9 reconhecida na nova ISO 27001 \u2013 existe uma cl\u00e1usula separada que especifica que todas as partes interessadas devem ser identificadas, juntamente com todos os seus requisitos.<\/p>\n

Esta \u00e9 definitivamente uma excelente forma de definir entradas chave para o SGSI.<\/p>\n

Informa\u00e7\u00e3o documentada<\/h2>\n

Os conceitos de \u201cdocumentos\u201d e \u201cregistros\u201d est\u00e3o unidos; assim, agora ele passa a ser \u201cinforma\u00e7\u00e3o documentada.\u201d Consequentemente, todas as regras que s\u00e3o requeridas para o controle da documenta\u00e7\u00e3o s\u00e3o agora v\u00e1lidas tanto para documentos quanto para registros; as pr\u00f3prias regras n\u00e3o mudaram muito com rela\u00e7\u00e3o a antiga ISO 27001.<\/p>\n

O requisito na norma antiga para procedimentos documentados (Controle de documentos, Auditoria interna, A\u00e7\u00e3o corretiva, A\u00e7\u00e3o preventiva) se foi \u2013 contudo, o requisitos para documenta\u00e7\u00e3o das sa\u00eddas destes processos permanece na nova norma. Assim, voc\u00ea n\u00e3o precisa escrever estes procedimentos, mas voc\u00ea precisa manter todos os registros ao gerir documentos, realizar auditorias\u00a0 internas e executar a\u00e7\u00f5es corretivas.<\/p>\n

Da mesma forma, a cl\u00e1usula da norma antiga onde todos os documentos requeridos s\u00e3o listados (4.3.1) se foi \u2013 n\u00e3o h\u00e1 mais lista central de documentos requeridos.<\/p>\n

Avalia\u00e7\u00e3o e tratamento de risco<\/h2>\n

Ativos, vulnerabilidades e amea\u00e7as n\u00e3o s\u00e3o mais a base para a avalia\u00e7\u00e3o de riscos! \u00c9 requerido apenas que se identifique os riscos associados com a confidencialidade, integridade e disponibilidade \u2013 embora esta possa parecer uma mudan\u00e7a muito radical, os autores da nova norma quiseram permitir mais liberdade na forma como os riscos s\u00e3o identificados; contudo, eu assumo que a metodologia ativos-vulnerabilidades-amea\u00e7as permanecer\u00e1 como uma melhor pr\u00e1tica por um longo tempo.<\/p>\n

O conceito de determinar o n\u00edvel de risco baseado nas consequ\u00eancias e probabilidade permanece o mesmo.<\/p>\n

O conceito de propriet\u00e1rio de ativo se foi \u2013 um novo termo \u00e9 usado: \u201cpropriet\u00e1rio de risco\u201d \u2013 assim a responsabilidade \u00e9 direcionada para um n\u00edvel mais alto.<\/p>\n

Objetivos, monitoramento e medi\u00e7\u00e3o<\/h2>\n

Uma grande mudan\u00e7a aqui: estes n\u00e3o s\u00e3o mencionados dentro de outros requisitos, mas agora s\u00e3o cl\u00e1usulas separadas com regras bem concretas. As regras s\u00e3o que voc\u00ea precisa definir objetivos claros, precisa definir quem ir\u00e1 medi-los e quando e voc\u00ea precisa definir quem deveria analisar e avaliar estes resultados. Adicionalmente, planos abrangentes precisam ser desenvolvidos que descrever\u00e3o como os objetivos ser\u00e3o atingidos.<\/p>\n

Isto definitivamente \u00e9 algo que trar\u00e1 o SGSI para mais perto de outros processos de gest\u00e3o da organiza\u00e7\u00e3o. A esperan\u00e7a \u00e9 que isso coloque a seguran\u00e7a da informa\u00e7\u00e3o na agenda dos gestores, porque \u2013 uma vez que voc\u00ea tenha claramente figuras sobre como a sua seguran\u00e7a funciona \u2013 voc\u00ea n\u00e3o pode desviar-se do assunto.<\/p>\n

A\u00e7\u00f5es corretivas & preventivas<\/h2>\n

A maior mudan\u00e7a \u00e9 que n\u00e3o existem mais a\u00e7\u00f5es preventivas, ao menos n\u00e3o a primeira vista \u2013 elas est\u00e3o basicamente unidas na avalia\u00e7\u00e3o e tratamento de risco, onde elas pertencem por natureza.<\/p>\n

Adicionalmente, um distin\u00e7\u00e3o \u00e9 feita entre corre\u00e7\u00f5es que s\u00e3o feitas como uma resposta direta a uma n\u00e3o conformidade, em oposi\u00e7\u00e3o a a\u00e7\u00f5es corretivas que s\u00e3o feitas para eliminar a causa de uma n\u00e3o conformidade. Desta forma outra ambiguidade da norma antiga \u00e9 resolvida.<\/p>\n

Comunica\u00e7\u00e3o<\/h2>\n

Esta \u00e9 tamb\u00e9m uma nova cl\u00e1usula onde todos os requisitos s\u00e3o sumarizados \u2013 o que precisa ser comunicado, quando, por quem, , atrav\u00e9s de que meios, etc. Isto ajudar\u00e1 a superar o problema da seguran\u00e7a da informa\u00e7\u00e3o ser apenas uma \u201ccoisa de TI\u201dou \u201ccoisa de seguran\u00e7a\u201d \u2013 o sucesso da seguran\u00e7a da informa\u00e7\u00e3o depende tanto da TI quando do lado de neg\u00f3cio, e o entendimento geral destes sobre o prop\u00f3sito da prote\u00e7\u00e3o da informa\u00e7\u00e3o.<\/p>\n

O que isto significa para a implementa\u00e7\u00e3o?<\/h2>\n

Devo admitir que gostei de todas estas mudan\u00e7as \u2013 n\u00e3o apenas a nova ISO 27001 ser\u00e1 mais f\u00e1cil de integrar com as outras normas de gest\u00e3o como a ISO 9001<\/a>, ISO 22301, ISO 20000<\/a> e outras, mas ela tamb\u00e9m d\u00e1 mais liberdade para as organiza\u00e7\u00f5es (especialmente as menores) de escalar o SGSI para suas reais necessidades e com isso evitar sobrecarga desnecess\u00e1ria. Mas isto tamb\u00e9m pode se tornar a grande fraqueza desta nova norma \u2013 por conta de suas defini\u00e7\u00f5es menos r\u00edgidas, algumas organiza\u00e7\u00f5es podem tentar se concentrar em satisfazer os requisitos m\u00ednimos ao inv\u00e9s de se concentrar no aumento da seguran\u00e7a.<\/p>\n

Em outras palavras, organiza\u00e7\u00f5es que desejam e realmente querem aumentar seus n\u00edveis de seguran\u00e7a perceber\u00e3o que ser\u00e1 mais f\u00e1cil estar em conformidade com esta norma; contudo, as organiza\u00e7\u00f5es que n\u00e3o s\u00e3o t\u00e3o positivas e est\u00e3o procurando brechas para implementar a norma apenas pelo certificado ver\u00e3o esta norma como uma oportunidade.<\/p>\n

Para aprender como fazer a transi\u00e7\u00e3o para a nova vers\u00e3o veja artigo gratuito<\/em> Twelve-step transition process from ISO 27001 2005 revision to 2013 revision<\/a>.<\/p>\n

N\u00f3s agradecemos a Rhand Leal pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"

Atualizado em 25-09-2013: Este post foi atualizado de acordo com a vers\u00e3o final da ISO 27001:2013 que foi publicada em 25 de setembro de 2013. Quando ouvi a not\u00edcia de que a a vers\u00e3o DIS (draft) da ISO 27001:2013 estava dispon\u00edvel, fiquei impaciente para l\u00ea-la. Quando comparada com a antiga ISO\/IEC 27001 de 2005, as …<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906,1102],"class_list":["post-4683","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br","tag-iso-27001-pt-br","tag-acoes-corretivas-e-preventivas"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4683","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4683"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4683\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4683"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4683"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4683"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}