Pular para o conteúdo principal

ISO 27001:2022

A norma ISO 27001 define os requisitos de um Sistema de Gestão de Segurança da Informação – SGSI.

Objetivo: Proteger ativos de informação contra ameaças internas e externas.

Download do documento

dica

Algumas bancas, como a Cebraspe, costumam cobrar os controles relacionados à segurança da informação conforme listados na Tabela A.1 da norma original.

Possui como objetivo a provisão de requisitos para:

  • Estabelecer
  • Implementar
  • Manter
  • Melhorar Continuamente

A norma é dividida em 10 tópicos:

  1. Escopo
  2. Referência normativa
  3. Termos e definições
  4. Contexto da organização
  5. Liderença
  6. Planejamento
  7. Apoio
  8. Operação
  9. Avaliação de Desempenho
  10. Melhoria

A atualização da ISO 27001 trouxe quatro principais motivadores:

  1. Ênfase no gerenciamento de riscos – A norma reforça a importância de identificar, avaliar e mitigar riscos, alinhando-se com a ISO 27005.
  2. Integração com outras normas – Houve maior sinergia com outras normas da família ISO e áreas correlatas, promovendo uma gestão integrada além da Segurança da Informação.
  3. Apoio à conformidade com a LGPD – A nova versão oferece mais suporte às organizações que precisam seguir a Lei Geral de Proteção de Dados.
  4. Melhoria na estrutura da norma – Os requisitos foram reorganizados para facilitar a usabilidade e o entendimento por parte dos usuários.

1 - Escopo

O documento define os requisitos para criar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI). Também aborda a avaliação e o tratamento de riscos, adaptando-se às necessidades da organização. Os requisitos são genéricos e aplicáveis a qualquer organização, independentemente do seu porte ou setor.
Nenhum requisito das Seções 4 a 10 pode ser excluído caso a organização queira estar em conformidade com a norma.

2 - Referência Normativa

Apenas uma referência de que a norma está ancorada na família 27000, que abrange uma série de outras questões no âmbito da Segurança da Informação.

3 - Termos de Definições

Mera referência aos termos e definições presentes na família 27000.

4 - Contexto da Organização

4.1 -Entendendo a organização e seu contexto A organização deve determinar as questões internas e externas que são relevantes para o seu propósito e que afetam sua capacidade de alcançar os resultados pretendidos do seu sistema de gestão da segurança da informação.

4.2 – Necessidades das partes interessadas:
A organização deve identificar quem são as partes interessadas relevantes (como clientes, órgãos reguladores, parceiros etc.), entender seus requisitos (legais, contratuais, regulatórios) e decidir quais serão atendidos pelo SGSI.

4.3 – Definição do escopo:
A organização deve definir claramente o que o SGSI vai abranger, considerando fatores internos e externos, os requisitos das partes interessadas e as interações com terceiros. O escopo deve ser documentado.

4.4 – Implementação do SGSI:
A organização deve criar, operar, manter e melhorar continuamente o SGSI, com todos os processos necessários, conforme os requisitos da norma.

5 - Liderança

A liderança da organização tem papel essencial no sucesso do SGSI, adotando uma abordagem top-down — ou seja, o comprometimento começa pela alta direção.

Principais responsabilidades da liderança:

  • Participar ativamente da definição da Política de Segurança da Informação (POSIC).
  • Definir papéis, responsabilidades e autoridades ligados à segurança da informação.
  • Apoiar e promover a melhoria contínua do SGSI.

Sobre a POSIC (Política de Segurança da Informação):

A Alta Direção deve garantir que a política:

  1. Seja adequada à organização.
  2. Estabeleça ou forneça base para objetivos de segurança.
  3. Demonstre compromisso com requisitos legais e normativos.
  4. Promova a melhoria contínua do SGSI.

Além disso, a POSIC deve:

  • Ser documentada.
  • Ser comunicada internamente.
  • Estar disponível às partes interessadas, quando necessário.

Ela também é a base para outras políticas e normas internas e é onde se formaliza o papel do Gestor de Segurança da Informação, responsável por decisões na área.

Subdivisões do capítulo:

  1. Liderança e comprometimento
  2. Política
  3. Papéis, responsabilidades e autoridades organizacionais

Por fim, a Alta Direção pode delegar responsabilidades para que outros relatem sobre o desempenho do SGSI, reforçando uma gestão compartilhada.

6 - Planejamento

6.1.1 – Geral

A organização deve considerar seu contexto (interno e externo) e as partes interessadas para:

  • Garantir os resultados do SGSI;
  • Prevenir ou reduzir impactos negativos;
  • Promover a melhoria contínua.

Deve planejar ações para lidar com riscos e oportunidades, integrando essas ações ao SGSI e avaliando sua eficácia.

6.1.2 – Avaliação de riscos

A organização deve:

  • Estabelecer critérios de risco (aceitação e avaliação);
  • Garantir que avaliações sejam consistentes e confiáveis;
  • Identificar riscos relacionados à confidencialidade, integridade e disponibilidade da informação;
  • Analisar as consequências e a probabilidade dos riscos;
  • Avaliar e priorizar os riscos com base nos critérios definidos;
  • Documentar todo o processo.

6.1.3 – Tratamento de riscos

A organização deve:

  • Selecionar as opções adequadas de tratamento dos riscos;
  • Determinar os controles necessários, baseando-se também no Anexo A da norma;
  • Elaborar uma Declaração de Aplicabilidade, justificando inclusões e exclusões de controles;
  • Criar um plano de tratamento dos riscos;
  • Obter aprovação dos proprietários dos riscos e aceitação dos riscos residuais;
  • Documentar todo esse processo.

6.2 Objetivos da Segurança da Informação

Os objetivos devem:

  • Ser compatíveis com a política da SI;
  • Ser mensuráveis (sempre que possível);
  • Levar em conta os riscos avaliados;
  • Ser monitorados, comunicados e atualizados;
  • Ser documentados.

A organização deve planejar como atingi-los, definindo:

  • O que será feito;
  • Recursos necessários;
  • Responsáveis;
  • Prazos;
  • Como os resultados serão avaliados.

6.3 Planejamento de mudanças

Qualquer mudança no SGSI deve ser feita de forma planejada e controlada, garantindo continuidade e eficácia.

7 - Apoio

a) Recursos
i. A organização deve determinar e prover recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do SGSI.

b) Competência
i. A partir da determinação da competência necessária para as ações, deve-se assegurar que os responsáveis também tenham a competência devida, provendo a educação e capacitação necessárias, com a devida documentação dos processos.

c) Conscientização
i. Todas as pessoas da organização devem conhecer a POSIC e os demais documentos, criando uma ação integrada da organização.

d) Comunicação
i. Deve-se ter rotinas muito bem definidas de comunicações internas e externas para o SGSI, considerando “O QUE”, “QUANDO”, “QUEM” e “COMO”.
ii. Na versão anterior da norma ainda tínhamos o “PROCESSO” (o processo pelo qual a comunicação será realizada.)

e) Informação Documentada i. Por ser um procedimento formal e relevante na organização, deve-se estabelecer rotinas de documentação para o SGSI, permitindo a criação e atualização de maneira facilitada, com o devido controle e versionamento.

8 - Operação

A organização deve planejar, implementar e controlar os processos operacionais necessários para atender aos requisitos do SGSI e aplicar as ações definidas no planejamento (Seção 6).

Principais pontos:

  • Estabelecer critérios claros para os processos e aplicar controles adequados conforme esses critérios.
  • Documentar informações suficientes para garantir que os processos estejam sendo executados conforme o planejado.
  • Controlar mudanças planejadas e analisar as consequências de mudanças não intencionais, mitigando impactos negativos.
  • Controlar serviços e produtos terceirizados que tenham impacto sobre o SGSI.

8.2 – Avaliação de Riscos

A organização deve:

  • Realizar avaliações de risco regularmente ou sempre que houver mudanças significativas.
  • Seguir os critérios definidos anteriormente (em 6.1.2).
  • Documentar os resultados dessas avaliações.

8.3 – Tratamento de Riscos A organização deve:

  • Implementar o plano de tratamento de riscos definido na fase de planejamento.
  • Documentar os resultados do tratamento de riscos.

9 - Avaliação de Desempenho

A seção 9.1 da ISO 27001 exige que a organização defina o que será monitorado e medido no SGSI, incluindo processos e controles de segurança, estabelecendo métodos válidos e consistentes para essa análise. Também é necessário determinar quando e por quem essas atividades serão realizadas, além de quando e por quem os resultados serão avaliados. Todo esse processo deve ser documentado, servindo como evidência da eficácia do sistema de gestão da segurança da informação e permitindo sua melhoria contínua.

Auditoria Interna

A organização deve realizar auditorias internas periodicamente para verificar se o sistema de gestão da segurança da informação está em conformidade com os requisitos internos e com os da norma ISO 27001, além de garantir que ele esteja efetivamente implementado e mantido.

A organização deve planejar e manter um programa de auditoria interna que defina frequência, métodos, responsabilidades, critérios e escopo de cada auditoria, considerando a importância dos processos e resultados anteriores. Os auditores devem ser escolhidos de forma a garantir a objetividade e imparcialidade do processo, e os resultados devem ser comunicados à gestão relevante. Toda a execução e os resultados das auditorias devem ser documentados como evidência.

A seção 9.3 da ISO 27001 determina que a Alta Direção deve revisar periodicamente o sistema de gestão da segurança da informação para garantir sua adequação, eficácia e alinhamento com os objetivos organizacionais. Essa análise deve considerar mudanças internas e externas, necessidades das partes interessadas, desempenho do SGSI (como não conformidades, auditorias, metas e feedbacks), além da avaliação de riscos e planos de tratamento. Como resultado, devem ser tomadas decisões sobre melhorias e eventuais ajustes no sistema, sendo obrigatório documentar essas análises como evidência.

10 - Melhoria

A organização deve buscar constantemente aprimorar sua eficácia, adequação e relevância.

Em caso de não conformidades, é necessário reagir com ações corretivas que controlem, corrijam e tratem suas causas e consequências, evitando recorrências. Isso envolve análise crítica, identificação de causas, implementação de ações e verificação da eficácia das medidas adotadas. Todas as etapas e resultados devem ser documentados como evidência.