Universo Segurança da Informação: NBR ISO/IEC 27001:2022

por Cristiane Selem Ferreira Neves

7 meses atrás 0 comentários
Compartilhe

Ouvir: 00:00

Introdução
Para quem estava com saudades, vamos retomar a nossa série especial de temas sobre Segurança da Informação. No artigo de hoje, atendendo a muitos pedidos de
um querido amigo concurseiro, você verá um resumo exclusivo sobre a NBR ISO/IEC 27001:2022.

Vamos explicar tudo para você ao longo do artigo, mas deixamos claro desde já que essa norma brasileira (adaptada da internacional) não é novidade no mundo dos
concursos e da Segurança da Informação. A última versão havia sido publicada em 2013.

Após um hiato de quase 10 anos, houve uma atualização em 2022. Em outras palavras, vamos apresentar neste artigo a versão de 2022 da norma, traduzida do inglês
para o português, para deixar você bem preparado para as próximas provas. Veja o nosso roteiro:

Escopo da NBR ISO/IEC 27001:2022

Cláusulas da NBR ISO/IEC 27001:2022
Mapa Mental das Cláusulas
Áreas e Controles de Segurança da Informação

Recomendamos que leia o artigo caso esteja estudando para concursos específicos da área de Tecnologia da Informação (TI) ou concursos gerais que cobrem a
disciplina de Segurança da Informação no edital. Esperamos você nas próximas seções!

O artigo de hoje é um pouquinho mais longo do que o normal. Afinal, como ainda não há muitos materiais de concursos disponíveis sobre a atualização da NBR
ISO/IEC 27001:2022, optamos por fazer algo mais completo para te ajudar bastante na preparação. Vamos começar então?

Tempo de leitura aproximada: 15 a 20 minutos

Escopo da NBR ISO/IEC 27001:2022

A norma visa fornecer requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da Informação (SGSI),
considerado estratégico para a organização.

Os critérios para a composição do SGSI são influenciados pelos objetivos e necessidades organizacionais, requisitos de segurança, processos adotados, além do
tamanho e estrutura. Adicionalmente, os critérios tendem a se modificar com o passar do tempo.

Momento Curiosidade: As siglas ISO e IEC são internacionais, indicando que a norma é um padrão mundial. ISO significa International Organization
for Standardization, enquanto IEC significa International Electrotechnical Commission.

Mais Curiosidade: NBR é abreviação de norma brasileira. Ou seja, a NBR ISO/IEC 27001:2022 é a norma internacional ISO/IEC 27001:2022 adaptada
para o Brasil.

A NBR ISO/IEC 27001:2022 é dividida em uma série de cláusulas e controles de Segurança da Informação, assim como na versão anterior. A maior parte das
mudanças ocorreu nos controles. Vamos falar sobre esses tópicos nas próximas seções. Continue com a gente!

Cláusulas da NBR ISO/IEC 27001:2022

As cláusulas da NBR ISO/IEC 27001:2022 estão divididas em contexto da organização, liderança, planejamento, suporte, operação, avaliação de performance e
melhorias. Nesta seção, vamos abordar resumidamente cada uma delas:

Contexto da Organização, Liderança e Planejamento na NBR ISO/IEC 27001:2002

Contexto da Organização: a organização deve analisar problemas relevantes externos e internos, observando como eles afetam o alcance dos resultados do SGSI.
Para a análise, é importante entender as necessidades e expectativas das partes interessadas e determinar o escopo do SGSI.

Liderança: a alta cúpula deve demonstrar liderança e compromisso com o SGSI, além de estabelecer uma Política de Segurança da Informação (PSI) e garantir que
as responsabilidades e as autoridades relevantes para a Segurança da Informação foram atribuídas e comunicadas na organização.

Planejamento: envolve ações para identificar, avaliar e tratar riscos e oportunidades, além de definir os objetivos de Segurança da Informação e estratégias para
alcançá-los. Em caso de eventuais mudanças necessárias no curso do SGSI, estas devem ser encaradas de maneira planejada.

Suporte, Operação, Avaliação de Performance e Melhorias na NBR ISO/IEC 27001:2022

Usamos abrange
Suporte: cookies recursos;
para melhorar a sua experiência
competências em nossosda
ligadas à Segurança serviços. Ao utilizar
Informação; nossos serviços,
conhecimento, você
benefícios concorda com
e implicações taisnão
de sua condições. Para mais
conformidade; informações,
comunicação
interna e externa
visite nossa e informação
Política documentada para estabelecer, implementar, manter e continuamente melhorar o SGSI.
de privacidade.

Operação: a organização deve planejar, implementar e controlar os processos, produtos e serviços necessários ao alcance dos requisitos de Segurança da Informação,
incluindo eventuais mudanças relacionadas, além de prover ações destinadas à avaliação e tratamento dos seus riscos.
 Você Sabia? Algumas características do Suporte e da Operação aparecem em outras cláusulas, o que pode dificultar um pouco o entendimento. Pense
que o Suporte são elementos diversos para apoiar o SGSI, enquanto a Operação é mais focada nos itens que já estão em produção no momento.

Avaliação de Performance: consiste em atividades que envolvem o monitoramento, medição, análise e avaliação do SGSI, bem como programas de auditoria
interna em intervalos planejados e revisões gerenciais para garantir sua adequação e eficácia contínuas.

Melhorias: a organização deve continuamente melhorar a adequação e a eficácia do SGSI, por meio da identificação de não conformidades, da avaliação da
necessidade de ações para eliminar as suas causas, de forma que não se repitam, e da implementação de medidas corretivas.

Mapa Mental das Cláusulas

Chegou um dos momentos mais esperados da leitura. Se você já acompanha o nosso trabalho há algum tempo, então sabe que geralmente fazemos uma revisão no
final do artigo. Porém, resolvemos fazer algo diferente hoje: vamos liberar um mapa mental no meio da publicação.

Optamos por essa mudança porque a próxima seção já será naturalmente esquematizada, pela própria forma de apresentar as informações. Ou seja, o artigo ficará
bem dinâmico. Esperamos que ele seja útil no seu aprendizado, porque tudo é feito pensando em facilitar a sua vida.

Figura 1 – Mapa Mental das Cláusulas da NBR ISO/IEC 27001:2022.

Áreas e Controles de Segurança da Informação

Os controles são tradicionais nas publicações da NBR ISO/IEC 27001. Na versão de 2013, eram 114 controles. Por outro lado, na versão de 2022, são apenas 93
controles. Observe que houve uma redução.

Da mesma forma, as áreas em que os controles estão agrupados também diminuíram: passaram de 14 para somente 4. Vale ressaltar que não há hierarquia entre as
áreas, tampouco entre os controles.

Usamos cookies para melhorar a sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite nossa Política de privacidade.

Á
 Figura 2 – Áreas dos Controles na NBR ISO/IEC 27001:2022.

Ou seja, podemos sintetizar que a versão de 2022 foi levemente enxugada, quando comparada à versão de 2013. Porém, a nova versão passou pela atualização de
conteúdo que uma década exige.

Bom, vamos deixar você por alguns instantes com os benditos quadros dos controles. Faça uma primeira leitura atenta, sem desespero, porque teremos notícias boas
lá na frente para ajudar na memorização.

Controles Organizacionais na NBR ISO/IEC 27001:2022

Controles Organizacionais

1 Políticas para Segurança da Informação

2 Papéis e Responsabilidades de Segurança da Informação

3 Segregação de Funções

4 Responsabilidades de Gestão

5 Contato com Autoridades

6 Contato com Grupos de Interesses Especiais

7 Inteligência contra Ameaças

8 Segurança da Informação no Gerenciamento de Projetos

9 Inventário de Informações e outros Ativos Associados

10 Uso Aceitável da Informação e outros Ativos Associados

11 Devolução de Ativos

12 Classificação das Informações

13 Rotulagem das Informações

14 Transferência das Informações

15 Controle de Acesso

16 Gerenciamento de Identidade

17 Informações de Autenticação

18 Direitos de Acesso

19 Segurança da Informação em Relacionamentos com Fornecedores

20 Abordagem da Segurança da Informação nos Contratos com Fornecedores

21 Gerenciamento de Segurança da Informação na Cadeia de Suprimentos de Tecnologia da Informação e Comunicação (TIC)

22 Monitoramento, Revisão e Gerenciamento de Mudanças de Serviços de Fornecedores

23 Segurança da Informação para Uso de Serviços em Nuvem

24 Preparação e Planejamento de Gerenciamento de Incidentes de Segurança da Informação

25 Avaliação e Decisão sobre Eventos de Segurança da Informação

26 Resposta aos Incidentes de Segurança da Informação

27 Aprendizado com Incidentes de Segurança da Informação

28 Coleta de Evidências

29 Segurança da Informação durante Interrupção

30 Disponibilidade de TIC para a Continuidade do Negócio

31 Requisitos Legais, Estatutários, Regulatórios e Contratuais

32 Direitos de Propriedade Intelectual

33 Proteção de Registros

34 Privacidade e Proteção de Informações de Identificação Pessoal (IIP)

35 Revisão
Usamos Independente
cookies de Segurança
para melhorar da Informação
a sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite
36 nossa Política de
Conformidade privacidade.
com Políticas, Regras e Padrões de Segurança da Informação

37 Procedimentos Operacionais Documentados

Tabela 1 – Controles Organizacionais da ISO/IEC 27001:2022.
Controles Pessoais e Físicos na NBR ISO/IEC 27001:2022

Controles Pessoais

1 Seleção

2 Termos e Condições de Contratação

3 Treinamento, Educação e Conscientização em Segurança da Informação

4 Processo Disciplinar

5 Responsabilidades após Término ou Mudança de Contratação

6 Acordos de Confidencialidade ou Não Divulgação

7 Trabalho Remoto

8 Relatórios de Eventos de Segurança da Informação

Tabela 2 – Controles Pessoais da ISO/IEC 27001:2022.

Controles Físicos

1 Perímetros de Segurança Física

2 Entrada Física

3 Proteção de Escritórios, Salas e Instalações

4 Monitoramento de Segurança Física

5 Proteção contra Ameaças Físicas e Ambientais

6 Trabalho em Áreas Seguras

7 Mesa e Tela Limpas

8 Localização e Proteção de Equipamentos

9 Segurança de Ativos Fora do Local

10 Mídia de Armazenamento

11 Utilitários de Suporte

12 Segurança de Cabeamento

13 Manutenção de Equipamento

14 Descarte ou Reutilização Segura de Equipamento

Tabela 3 – Controles Físicos da NBR ISO/IEC 27001:2022.

Controles Tecnológicos na NBR ISO/IEC 27001:2022

Controles Tecnológicos

1 Dispositivos de Endpoint do Usuário

2 Direitos de Acesso Privilegiados

3 Restrição de Acesso à Informação

4 Acesso ao Código-Fonte

5 Autenticação Segura

6 Gerenciamento de Capacidade

7 Proteção contra Malware

8 Gerenciamento de Vulnerabilidades Técnicas

9 Gerenciamento de Configuração

10 Exclusão de Informações

11 Mascaramento de Dados

12 Prevenção
Usamos cookiesde Vazamento
para melhorardea Dados
sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite nossa Política
13 Backup de privacidade.
de Informações

14 Redundância de Recursos de Processamento de Informações

15 Registro de Logs
 Controles Tecnológicos

16 Atividades de Monitoramento

17 Sincronização de Relógio

18 Uso de Programas Utilitários Privilegiados

19 Instalação de Software em Sistemas Operacionais

20 Segurança de Redes

21 Segurança de Serviços de Rede

22 Segregação de Redes

23 Filtragem da Web

24 Uso de Criptografia

25 Ciclo de Vida de Desenvolvimento Seguro

26 Requisitos de Segurança de Aplicações

27 Princípios de Arquitetura e Engenharia em Sistemas Seguros

28 Codificação Segura

29 Testes de Segurança em Desenvolvimento e Aceitação

30 Desenvolvimento Terceirizado

31 Separação de Ambientes de Desenvolvimento, Teste e Produção

32 Gerenciamento de Mudanças

33 Informações de Teste

34 Proteção de Sistemas de Informação durante Testes de Auditoria

Tabela 4 – Controles Tecnológicos da ISO/IEC 27001:2022.

Dicas Infalíveis para Decorar os Controles

Obviamente, sabemos que é uma tarefa árdua decorar todos os controles e suas descrições. Tente ao menos decorar os nomes dos controles, listados nas tabelas. Por
ser uma norma recente, é bem provável que a banca pergunte o nome do controle e a área relacionada na prova.

Para você que tem dificuldade com muito conteúdo, aí vai uma dica: procure decorar apenas os Controles Pessoais e os Controles Físicos, porque eles são a minoria.
Na hora da prova, você vai ter 22 deles memorizados, de 2 áreas completas.

Quanto aos Controles Tecnológicos, tente ler o quadro várias vezes e decorar as palavras-chave que aparecem repetidamente e possuem cunho técnico, tais como
dados, teste, redes etc. Na hora da prova, você vai acertar intuitivamente, por saber do que o assunto trata.

Por fim, os Controles Organizacionais são os que sobraram. Se a banca perguntar algum que não consta na lista dos que você decorou, nem está relacionado com os
termos de tecnologia, então só pode fazer parte dos Controles Organizacionais. Ou seja, você consegue acertar por eliminação.

Atenção: Caso o seu concurso tenha prova discursiva, a nossa recomendação é que escolha 3 itens dentre os Controles Tecnológicos e os Controles
Organizacionais para decorar. Se a banca pedir para você citar exemplos de cada uma delas, já vai garantir a questão.

Conclusão
Hoje falamos sobre a nova versão da NBR ISO/IEC 27001:2022. Fique atento, pois há uma tendência forte da atualização da norma brasileira ser cobrada nas
próximas provas de TI que exijam a disciplina de Segurança da Informação. Seja esperto e saia na frente da concorrência!

Recomendamos que você faça muitas questões para treinar os tópicos apresentados. Nem só de teoria vive o concurseiro. Exercícios são fundamentais para fixar o
aprendizado. O acesso ao Sistema de Questões do Estratégia Concursos é feito pelo link: https://concursos.estrategia.com/.

Além dos exercícios, não deixe de revisar o tópico periodicamente. As revisões são um artifício essencial para a memorização do conteúdo. Aproveite o mapa mental
disponibilizado gratuitamente neste artigo, pois ele pode ser um poderoso aliado para turbinar o seu aprendizado.

Por fim, se você quiser aprofundar o conteúdo ou tirar dúvidas específicas, busque o material do Estratégia Concursos. Nós oferecemos diversos cursos em pdf,
videoaulas e áudios para você ouvir onde quiser. Saiba mais por meio do link http://www.estrategiaconcursos.com.br/cursos/.

Bons estudos e até a próxima!

Cristiane Selem Ferreira Neves é Bacharel em Ciência da Computação e Mestre em Sistemas de Informação pela Universidade Federal do Rio de Janeiro (UFRJ),
além de possuir a certificação Project Management Professional pelo Project Management Institute (PMI). Já foi aprovada nos seguintes concursos: ITERJ (2012),
DATAPREV (2012), VALEC (2012), Rioprevidência (2012/2013), TJ-RJ (2022) e TCE-RJ (2022). Atualmente exerce o cargo efetivo de Auditora de Controle Externo
– Tecnologia da Informação no Tribunal de Contas do Estado do Rio de Janeiro (TCE-RJ), além de ser produtora de conteúdo dos Blogs do Estratégia Concursos,
Usamos
OAB cookiesJurídicas.
e Carreiras para melhorar a sua experiência em nossos serviços. Ao utilizar nossos serviços, você concorda com tais condições. Para mais informações,
visite nossa Política de privacidade.

Concursos Abertos