ATUALIZAÇÃO DA NORMA ISO 27001

Maior alinhamento com outros sistemas de gestão

Uma das dificuldades de quem implementa mais de um sistema de gestão ISO (e.g. 27001 x 9001) é saber que apesar
das normas possuírem requisitos em comum, existem várias diferenças no que tange a definições.

Uma das modificações da 27001:2013 é o alinhamento com as diretrizes do Annex SL (conhecido antigamente como
ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO. Com isso, a norma está
completamente alinhada com outros padrões ISO como ISO 9001, ISO 14000, ISO 20000, ISO 22000, ISO 22301.

Empresas que possuem mais de um sistema de gestão poderão centralizar e integrar os mesmo de uma forma
efetiva, reduzindo a sobrecarga administrativa.

Período de Transição

A ISO 27001:2013 já está válida e publicada no exterior. No Brasil a expectativa é que a ABNT publique a versão em
português ainda este ano. Mas o que acontece com quem ainda está usando a versão 2005?

Se sua empresa está próxima de obter ou já possui certificação 27001:2005 não entre em pânico! Ainda é possível
obter ou renovar a certificação na versão antiga até Setembro de 2014.

O prazo limite para migrar para a versão de 2013 é de dois anos, apenas em Setembro de 2015.

Documentos obrigatórios

A lista de documentos obrigatórios não assusta, especialmente se você já está acostumado com os requisitos da
versão anterior:

Documentos:
Scope of the ISMS (clause 4.3)
Information security policy and objectives (clauses 5.2 and 6.2)
Risk assessment and risk treatment methodology (clause 6.1.2)
Statement of Applicability (clause 6.1.3 d)
Risk treatment plan (clauses 6.1.3 e and 6.2)
Risk assessment report (clause 8.2)
Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
Inventory of assets (clause A.8.1.1)
Acceptable use of assets (clause A.8.1.3)
Access control policy (clause A.9.1.1)
Operating procedures for IT management (clause A.12.1.1)
Secure system engineering principles (clause A.14.2.5)
Supplier security policy (clause A.15.1.1)
Incident management procedure (clause A.16.1.5)
Business continuity procedures (clause A.17.1.2)
Statutory, regulatory, and contractual requirements (clause A.18.1.1)
Registros:
Records of training, skills, experience and qualifications (clause 7.2)
Monitoring and measurement results (clause 9.1)
Internal audit program (clause 9.2)
Results of internal audits (clause 9.2)
Results of the management review (clause 9.3)
Results of corrective actions (clause 10.1)
Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)
Claro, se um documento referenciado acima faz parte do anexo A, este só é obrigatório se existir um risco que exija
sua implementação. Mas falando no famoso Anexo A, vamos a ele!

Anexo A: Comparando as versões!

Ok, a norma está mais alinhada com outros sistemas de gestão e vou ter um bom tempo para me adaptar. Ótimo!
Mas o que realmente muda?

Bem, o objetivo da atualização foi tornar a 27001 mais eficiente e aderente ao contexto atual da Segurança da
Informação nas organizações. A norma mudou bastante, mas isso não significa um trabalho enorme.

Vamos a um resumo das principais mudanças dos Controles e Objetivos de Controles no Anexo A:

Seções: o número de seções aumentou. Enquanto em sua versão anterior a norma era dívida em 11 itens, a
27001:2013 possui 14! Essa mudança ajuda principalmente a organização do framework, que em sua versão anterior
tinha controles inseridos em locais que simplesmente não faziam sentido. Esse problema foi resolvido!

Um exemplo é criptografia, que agora ganhou uma seção própria (10) e não faz mais parte do item Aquisição,
Desenvolvimento e Manutenção de sistemas de informação, o que faz bastante sentido. Outro item que ganhou
uma seção própria foi Relacionamento com Fornecedor (15).

Veja como ficou a nova estrutura:

5 Security Policies
6 Organization of information security
7 Human resource security
8 Asset management
9 Access control
10 Cryptography
11 Physical and environmental security
12 Operations security
13 Communications security
14 System acquisition, development and maintenance
15 Supplier relationships
16 Information security incident management
17 Information security aspects of business continuity
18 Compliance

Número de Controles: Se você achava que uma atualização na norma aumentaria automaticamente o número de
controles… bem, você estava errado! Claro, existem novos controles, mas vários controles considerados muito
específicos ou desatualizados foram excluídos. Veja:

Novos controles:
14.2.1 Secure development policy – rules for development of software and information systems
14.2.5 System development procedures – principles for system engineering
14.2.6 Secure development environment – establishing and protecting development environment
14.2.8 System security testing – tests of security functionality
16.1.4 Assessment and decision of information security events – this is part of incident management
17.2.1 Availability of information processing facilities – achieving redundancy

Controles Excluídos:
6.2.2 - Addressing security when dealing with customers
10.4.2 - Controls against mobile code
10.7.3 - Information handling procedures
10.7.4 - Security of system documentation
10.8.5 - Business information systems
10.9.3 - Publicly available information
11.4.2 - User authentication for external connections
11.4.3 - Equipment identification in networks
11.4.4 - Remote diagnostic and configuration port protection
11.4.6 - Network connection control
11.4.7 - Network routing control
12.2.1 - Input data validation
12.2.2 - Control of internal processing
12.2.3 - Message integrity
12.2.4 - Output data validation
11.5.5 - Session time out
11.5.6 - Limitation of connection time
11.6.2 - Sensitive system isolation
12.5.4 - Information leakage
14.1.2 - Business continuity and risk assessment
14.1.3 Developing and implementing business continuity plans
14.1.4 Business continuity planning framework
15.1.5 Prevention of misuse of information processing facilities
15.3.2 Protection of information systems audit tools

Conclusões

Obviamente você deve estar se perguntando: Qual versão da norma devo usar? 2005 ou 2013?

Bem, a atualização da 27001 – que deve ser publicada em português pela ABNT ainda este ano – teve como
principal objetivo algo que me atrai bastante: uma “gestão de riscos mais efetiva”, trazendo controles atualizados e
organizados de forma mais intuitiva.

Além disso, a 27001:2013 é mais fácil de alinhar com outros sistemas de gestão, o que vai poupar bastante tempo
em um novo projeto ou reduzir a carga administrativa em um ambiente existente.

Com todos esses benefícios é óbvio que a recomendação para novos projetos é partir já com a norma atualizada.
Mas se você já possui um projeto em andamento, que deve ser concluído nos próximos seis a oito meses, eu
recomendaria manter a versão 2005, mas seja rápido!

Fonte: Cláudio Dodt